私钥助记词是资产安全的核心,也是用户管理链上资产的唯一凭证,所以离线备份和妥善保管和合理使用私钥助记词是每个用户的必修课。
由于去中心化自托管钱包需要用户导入私钥助记词来管理链上资产,因此,如何正确下载官方钱包成为了新手上路中重要的一个门槛。
近段时间,社区用户高频反馈钱包资产丢失或钱包被多签。经TokenPocket紧急采取技术分析及被盗用户调研后,我们发现大量假钱包下载是通过搜索工具和第三方社区等渠道“肆意传播”,这些不法分子通过反编译技术,在正版TokenPocket钱包的安卓APK(iOS的IPA)安装包中嵌入能够窃取私钥和助记词的恶意程序,然后将篡改后的安装包发布到搜索网站进行竞价排名优化和钱包相关的社区中,等待毫无戒心的用户上钩。
当用户通过搜索工具或他人推荐下载并使用了这些篡改后的假钱包,他们创建钱包或导入钱包的私钥和助记词就会被泄露,然后加入到监控工具中。一旦发现有大额资产的到账,会马上进行自动盗取或自动执行恶意多签操作,从而导致资产全部丢失。
注:任何使用过假钱包导入或创建的地址都要马上废弃,并迅速转移里面可用资产到安全的地址,不要存在侥幸心理。
安卓版本:
当前TokenPocket提供安卓下载的渠道包括:官网、谷歌商店、三星应用海外商店、华为应用海外商店、OPPO应用海外商店、Vivo应用海外商店。统一开发商名称为:TP Global Ltd
安卓用户可以使用TP官方【版本验证】功能。TokenPocket每发布一个新版,其安装包都会有唯一的哈希值(MD5、SHA256等)。版本验证就是通过匹配不同版本安装包间的MD5或SHA256值来判断您安装的TokenPocket是否为正版。
版本验证链接:https://verify.tpwallet.io/#/
获取钱包的MD5和SHA256值教程:https://help.tpwallet.io/cn/security-knowledge/protective-measures/verification
苹果版本:
iOS版本只有App Store一个下载渠道,App只有使用非内地ID,通过App Store下载的才是正版钱包,因此在使用苹果相关设备时,请务必使用App Store为唯一下载渠道。
TokenPocket当前iOS版本在苹果商店名称为:TP Wallet,开发商名称为:TP Global Ltd。
注:2022年10月8日之前在App Store中下载的开发商为: TOKENPOCKET FOUNDATION LTD 是TokenPocket开发的早期版本,也是正版钱包可以正常的使用,后续将暂停更新服务。
聊天软件(如电报,微信,QQ等)主动私聊你的“热心”客服或“热心”用户,提供来历不明的安装包或者“高仿官网”下载链接。
搜索工具中凡是文章/链接开头带有【广告】、【赞助商】等词的,都是涉及引导用户假钱包下载的诈骗文章/链接。(如发现此类链接,请马上进行举报)
下载TokenPocket前,请认准TokenPocket钱包官网链接:
官网链接1:https://www.tokenpocket.pro/
官网链接2:https://tpwallet.io/
使用联网平台对私钥或助记词进行备份,存在一些潜在的风险和威胁,包括但不限于以下情况:
偷窥风险:当私钥或助记词被存储在联网设备上时,恶意软件、黑客或恶意第三方可能会通过网络渗透或攻击你的设备,窃取这些敏感信息。
云存储风险:使用云存储服务或在线第三方应用存储私钥和助记词可能面临数据泄露的风险。这些服务通常需要信任第三方保护你的数据,但第三方可能会受到攻击、数据泄露或不当使用数据的威胁。
因此,为了增强私钥和助记词的安全性,建议采取以下存储措施:
离线存储:将私钥和助记词保存在离线设备上,如TokenPocket冷钱包功能、硬件钱包KeyPal或纸质备份等。这些设备不直接连接互联网,减少了被攻击的风险。
物理安全:确保离线设备和纸质备份的物理安全性,防止其被盗、丢失或损坏。
创建多签钱包教程:https://help.tpwallet.io/cn/faq/Multisig-Wallet/create
Multi-Sig表示多重签名,而多重签名是一种特定类型的数字签名,而此类型的签名将允许两个以上用户作为一组来进行签名。因此,多重签名则通过多个单一签名的组合来产生。
举例来说,想像有一个拥有两把锁和两把钥匙的保险箱,一把钥匙由A持有,另一把则由B持有。打开此保险箱的唯一办法就是A和B两个人同时提供钥匙开锁。如果你只有其中一把钥匙,是无法打开这个保险箱的。
通俗来讲,就是把该钱包地址的资产控制权分到2个或以上单私钥钱包身上,避免单点泄漏导致资产丢失。
适用场景
用于需要多人管理资产,避免资产被个人挪用;
通过多签对资产进行多重加密,增强资产安全性;
其他安全应用场景。