今天 imToken 安全团队收到用户邮件举报,钱包中的 ETH 被恶意盗取。
我们第一时间对被盗钱包地址进行分析,并找到被盗共性 - 所有被盗地址均是使用 MGC 钱包创建的钱包地址。
为了进一步确定盗币手法,我们搜索了关于 MGC 钱包的相关信息,也和被盗用户取得联系,情况如下:
1. 用户下载使用 MGC 钱包生成助记词
2. MGC 钱包生成的助记词是明文存储在 MGC 钱包服务器上的,即 MGC 是一款中心化钱包
3. 用户将 MGC 生成的钱包导入 imToken 钱包或其他去中心化钱包,但助记词存在 MGC 项目方的服务器中,存在较高的被盗风险。
4. 所有 MGC 被盗资产全部有规律的转移到两个盗币地址。
imToken 安全团队在这里提醒 MGC 钱包用户,请立即停止使用在 MGC 中生成的钱包,在 imToken 中生成新的钱包地址,并将资产进行转移。被盗币的 MGC 受害用户,请尽快前往当地公安机关报警。
以下是我们追查的相关资料:
1. 第一个盗币地址为 0x2B2906D77Fb7d9Ac81CFCe393A8c249dBb39B18C(此地址盗取的每笔 ETH 数额较小,目前仍有大量未打包交易)。
2. 第二个盗币地址为 0x4f9c8Ec5Fc139e1145dEA4D715e0a29aE60367aF(此地址盗取的每笔 ETH 数额较大)
3. 地址 0x2B2906D77Fb7d9Ac81CFCe393A8c249dBb39B18C 在短短四小时内完成了 29000 多笔交易,而且目前仍有大量未打包的交易等待完成。可以推断盗币者掌握了几万个被盗钱包的私钥,通过程序进行了违法的盗币行为。
4. MGC 为一款中心化钱包,会存储用户私钥。并不像其所宣传的是一款去中心化钱包,详情见文章:MGC钱包生成助记词的简单分析
5. MGC 钱包官方污蔑是 imToken 问题导致被盗事件发生,imToken 官方保留追究其法律责任的权利。
