自 18 年 3 月以「用戶支持」的身份加入 imToken，我一直在這個崗位上幫助用戶。工作職責也由用戶常規問題處理升級為用戶常規問題+安全事件處理。

兩年間，我接觸了 10w+ 用戶，由此更加了解區塊鏈行業和數字錢包的用戶，也更堅定了我在這個行業深耕下去，、幫助更多人的信念。

比私鑰丟失、洩露更危險的事

如果在兩年前你問我使用去中心化錢包最危險的操作是什麼，答案一定是「私鑰丟失、洩露」（助記詞等同於私鑰）。因為這會直接導致資產損失，很難追回。

但現在的我會回答：

「用戶的盲目與不理智是比私鑰丟失、洩露更加危險的事情。」

被盜用戶往往無法理解「imToken 是安全的，那麼為什麼我會被盜呢，我是怎麼被盜的」。剛接手安全事件處理的我也疑惑「為什麼他們（被盜用戶）不能妥善保管私鑰、助記詞」。在多次一對一深入交流後，我收穫了這個問題的答案。所有發生安全事件（丟幣、被盜幣）的用戶都有以下共性：

• 不理解「私鑰」的重要性
• 認為自己的資產由 imToken 保管，即使出問題也可以找 imToken 追回
• 沒有基礎的信息安全意識、安全常識
• 抱有僥倖心理，認為自己不會運氣差到被盜

他們常說「我哪裡懂，都是朋友介紹我玩的」、「他們說這個能賺錢，我就搞了」，像是誤入現代社會的古代人，用原始人的眼光看這個日新月異的世界。這樣，由於保管不善導致私鑰丟失、洩露從而發生錢包安全事件也就不足為奇了。

你可以不瞭解「礦工費如何計算」、「中本聰是誰」，但是一定要牢記「私鑰代表著對資產的控制權，在任何情況下都不能丟失、洩露，否則會損失你的資產」，這是使用去中心化錢包必須牢記的原則！

假的去中心，它真的會跑路

我一直很難理解「生活遠比故事精彩」，但是在經歷了 MGC 錢包跑路事件後，我深以為然。

2019 年 6 月有用戶反饋，一個名為 MGC Token 的軟件藉著 imToken 的旗號在虛假宣傳拉人頭，是一個傳銷項目。收到反饋後，安全部門立即進行了調查，並判斷：

• MGC Token 虛假宣傳與 imToken「一鍵互通」，並試圖以此證明他們是去中心化錢包
• 而他們實際是中心化錢包，用戶的私鑰全部存在他們的服務器中，一旦跑路用戶將損失慘重
• MGC Token 在宣傳中提到的「智能搬磚」、「一鍵理財」、「分級推廣」全部為噱頭，類似於之前被警方抓獲的 PlusToken
• MGC Token 項目存在巨大風險，建議在 imToken 中將其代幣標記風險

根據調查結果，我們確定將 MGC 代幣標記為風險幣種，以此來警示用戶。而正當我以為一如往常地又「解救」了一批用戶，沉浸在個人英雄主義氛圍中時，現實卻一巴掌拍醒了我！

我們的郵件系統在 6 月 4 日開始受到了持續「轟炸」，清一色的是 MGC 用戶在質疑、責備我們：

以往經歷中，我接觸過在收到風險提示後來求證諮詢的用戶，也接觸過感謝我們幫助他避免入坑的用戶。但是這種為傳銷、詐騙項目激烈辯解的行為還是第一次見到。

事實證明我們判斷正確，十天後， 6 月 14 日，MGC Token 跑路了，它跑路了！！！

這讓我喜憂參半。喜的是相信 imToken 的用戶在看到我們的風險提示後有足夠的時間退出騙局；憂的是那些「執迷不悟」的用戶以後的生活是否正常順利。

在經歷了標記 MGC 風險 → 被部分用戶誤解 → 詐騙項目跑路這一系列事件後，我深深認識到打擊騙局從來都不是一件簡單的事，其中有誤解和質疑，但下一次，我們仍會義無反顧地揭露騙局。

能把你騙到去工地搬磚的「套利騙局」

我們揭秘過「 」。但是近期，我們又發現了這個騙局的新型手法。

前兩天一個用戶提問「我用 ETH 在電報群裡買了 HT，第一次轉到交易所成功了，但是當我買了更多的 HT 以後，轉賬卻失敗了，我是被騙了嗎」。

我查看了他的地址，發現裡面有假 HT，斷定這又是一個受害者。不同於之前的假 HT 受害者，這個用戶非常確定「第一次買到的 HT 確實能充值到交易所，但是第二次就不行了」。

我直覺有一絲異常，和他再次溝通後，重新查看了他的地址，地址上確實沒有真 HT 的交易記錄，而只有假 HT 的。但是為什麼第一次轉賬成功了呢？難道...是交易所出問題了，又或者是用戶出現了幻覺？

可這些猜測都不切實際。梳理思路後，我在區塊瀏覽器中又一次仔細查看了他的所有交易記錄，終於搞清楚騙子如何給受害者營造「第一次轉賬成功」的錯覺：

• 用戶將 ETH 轉到騙子的地址換假 HT，此時騙子知道了用戶的地址 A
• 用戶將換來的假 HT轉到自己的交易所充值地址 B，這時騙子通過區塊瀏覽器也查到用戶的交易所充值地址是 B
• 監測到用戶向地址 B 充值假 HT 後，騙子同步向 B 轉入相同數量的真 HT
• 用戶在自己的交易所賬戶看到 HT 充值成功，然後放下戒心用更多的 ETH 去兌換假 HT

完成場景重現後，我驚出一身冷汗，騙局又升級了。

我們可以揭秘騙局 A、B、C，但是用戶很難防範升級騙局 A+、B+、C+。我沒辦法打一個響指就讓所有騙子回到正途，但是我可以告訴每一個用戶不被騙的秘訣——別貪，別懶，嚮往財富沒錯，但要腳踏實地！！

寫在最後

加入 imToken 的這兩年，我做的每一件事都在不斷拉近與用戶之間的距離，讓我們能夠更加了解彼此，互相信任。我們常說用戶教育是目前階段最重要的事情，也深刻了解這件事的難度。因為它不只是單純的知識普及和概念講解，在其中，你要看透複雜的人性，相信善良的人心。

「我的願望是守護每一個用戶。

by imToken 小胖」

閱讀更多 baldheaded 的文章

關鍵字: 軟件 中本聰 蘇黎世聯邦理工學院