警惕 | LCS 錢包用戶請注意！_LCS

今天imToken安全團隊收到用戶郵件舉報，錢包中的ETH被惡意盜取。

我們第一時間對被盜錢包地址進行分析，并找到被盜共性-所有被盜地址均是使用LCS錢包創建的錢包地址。

為了進一步確定盜幣手法，我們搜索了關于LCS錢包的相關信息，也和被盜用戶取得聯系，情況如下：

用戶下載使用LCS錢包生成助記詞或在LCS錢包中導入助記詞；在生成或導入助記詞的過程中，助記詞被明文存儲在LCS錢包服務器上，即LCS錢包是一款中心化錢包；用戶將使用過LCS錢包的地址導入imToken錢包或其他去中心化錢包，但助記詞仍存儲于LCS錢包服務器中，存在隨時被盜的風險；所有LCS被盜資產全部被有規律地轉移到一個盜幣地址。imToken安全團隊在這里提醒LCS錢包用戶，請立即停止使用LCS錢包管理過的地址，在imToken中生成新的錢包地址，并將資產進行轉移。被盜幣的LCS受害用戶，請盡快前往當地機關報警。

聲音 | BM：警惕延遲事務以及其 TaPoS 字段的偽隨機性:今日，BM 針對 DApps 安全性問題更新了兩條相關推特動態：

1、（開發者重點注意）我強烈推薦大家不用使用那些依賴于延遲事務中 TaPoS 字段的偽隨機性的應用，因為只要 BPs 應用了所有 bug fix hardforks，這些數字將總為 0。這些應用就存在被攻擊的風險。

2、再說，延遲交易在現在的 EOSIO 版本中已經棄用了，DApps 應該避免使用該功能。[2019/10/19]

---

動態 | eos可疑賬戶集中部署合約 請項目方提高警惕:成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現今天晚間22：00－23:00之間多個eos黑客賬戶相繼進行合約部署，請各大項目方提高警惕，提高運維等級，自查游戲合約是否還存在已經報道過的漏洞，以免遭受攻擊。同時歡迎各項目方加入成都鏈安的鷹眼態勢感知系統和鷹眼合約防火墻，鷹眼態勢感知系統將為大家免費提供預警、報警服務，鷹眼合約防火墻能即時阻斷黑客攻擊。[2019/8/6]

以下是imToken安全團隊追查的相關資料：

分析 | BTC后市看漲預期可能不足 投資人需警惕市場風險:據TokenGazer數據分析顯示：截止至6月24日17點整，BTC價格為$10,906.5，市值為$194,555.7MM，主流交易所24H BTC交易量約為$1,565.6MM；算力方面，BTC算力在歷史高位附近震蕩，有望新高；活躍地址數方面，BTC活躍地址數呈現上升趨勢；市值占比方面，目前BTC市值占比約為59.17%，有一定提高；在此前的行情中，TokenGazer觀察到：UTC時間6月23日，Coinbase上比特幣價格最高漲至11284美元，之后多頭獲利了結，成交量放大。現在，比特幣繼續大幅上漲的阻力很大。最近幾天，三個交易所的成交量都很大，尤其是Bitfinex，其成交量在近段時間內罕見的超過Coinbase。Bitfinex上有不少大筆買單，但相對的卻是大筆的賣一掛單更多，說明買方更愿意直接以市價成交。[2019/6/24]

盜幣地址為0xeba337eeedf030f88a7b0066ec137638f9355189。地址0xeba337eeedf030f88a7b0066ec137638f9355189在17小時內完成了12000多筆交易，而且目前仍有大量未打包的交易等待完成。可以推斷盜幣者掌握了幾萬個被盜錢包的私鑰，通過程序進行了違法的盜幣行為。地址0xeba337eeedf030f88a7b0066ec137638f9355189共有4筆轉出的交易記錄，可以追蹤資產的最終流向，點擊查看交易記錄。LCS合約地址：0xe62e6e6c3b808faad3a54b226379466544d76ea4。LCS錢包為一款中心化錢包，會存儲用戶的助記詞，并不像其所宣傳的是一款去中心化錢包。LCS錢包收集用戶私鑰助記詞

簡單來說，如果你想了解某個錢包是否收集用戶的助記詞私鑰，可以通過抓包的方式，觀察錢包是否將私鑰助記詞通過明文或加密的方式傳至服務器。

以LCS錢包為例：

通過下載安裝LCS錢包，打開首頁是「導入錢包」，我們將一個測試助記詞導入進去，點擊確認導入。在這個過程中，通過抓包分析可以觀察到該錢包，將助記詞上傳至該接口：portal-api-v3.lcs.world/user/importWallet并且助記詞和密碼是直接明文傳至服務器，目前服務端返回的結果是在升級，但是數據已經上傳至服務器，所以測試的小伙伴，一定不要使用真實私鑰或助記詞測試。由此可以判斷，LCS錢包用戶的私鑰和助記詞，在一開始使用LCS錢包的時候，就完全泄漏出去了。

Tags：LCSTOKENTOKTOKELCS價格itokenwallet下載Experty Wisdom Tokentokenguardian

Uniswap