Bitaigen Research 我们在本篇报告中梳理了imToken安全团队对LCS钱包近期异常的深度调查,揭示了助记词泄露的关键风险点,并提供了止损和迁移资产的实用建议。阅读后可帮助用户快速判断是否受影响并采取必要措施,避免资产进一步损失。
imToken 官方提醒:使用 LCS 钱包的用户需立即停止使用该钱包,尽快在 imToken 生成新地址并转移资产,防止进一步被盗。
今天,imToken 安全团队收到用户举报,称钱包中的 ETH 被恶意盗取。我们第一时间对被盗钱包地址进行分析,发现所有被盗地址均为 LCS 钱包创建的地址。
为进一步确认盗币手法,安全团队检索了 LCS 钱包的相关信息,并与受害用户取得联系,情况如下:
- 用户下载 LCS 钱包后生成助记词,或在 LCS 钱包中导入已有助记词;
- 在生成或导入助记词的过程中,助记词以明文形式存储在 LCS 钱包服务器上,说明 LCS 钱包是一款中心化钱包;
- 用户随后将使用过 LCS 钱包的地址导入 imToken 或其他去中心化钱包,但助记词仍保存在 LCS 服务器,随时可能被窃取;
- 所有被盗资产均被有规律地转移至同一盗币地址。
基于以上发现,imToken 安全团队强烈建议 LCS 钱包用户立即停止使用该钱包管理的地址,在 imToken 中生成全新钱包并将资产迁移。已遭盗币的 LCS 受害者应尽快向当地公安机关报案。
以下是安全团队追查到的关键信息:
| 项目 | 细节 |
|---|---|
| 盗币地址 | 0xeba337eeedf030f88a7b0066ec137638f9355189(每笔 ETH 数额较小,仍有大量未打包交易) |
| 交易情况 | 该地址在 17 小时内完成 12000 多笔交易,仍有大量未完成交易,推测盗币者掌握数万私钥并使用程序批量盗币 |
| 转出记录 | 共 4 笔转出交易,可追踪资产最终流向(点击查看交易记录) |
| LCS 合约地址 | 0xe62e6e6c3b808faad3a54b226379466544d76ea4 |
| 钱包属性 | LCS 为中心化钱包,会存储用户助记词,实际并非宣传的去中心化钱包 |
LCS 钱包收集用户私钥助记词【抓包分析】
如果想确认某钱包是否收集用户的助记词或私钥,可通过抓包观察是否以明文或加密方式将数据上传至服务器。
以 LCS 钱包为例:
- 下载并打开 LCS 钱包,首页显示“导入钱包”。将测试助记词导入并确认。
- 抓包后发现钱包将助记词上传至接口 `portal-api-v3.lcs.world/user/importWallet`。
- 助记词和密码均以明文形式发送至服务器,尽管服务器返回“升级中”,数据已完成上传。测试时务必不要使用真实私钥或助记词。
由此可判定,LCS 钱包用户的私钥和助记词在首次使用时即全部泄露。
以上即为 imToken 官方提醒 的全部内容。欲了解更多 LCS 钱包相关信息,请关注 Bitaigen(比特根)其他相关文章。
关键要点
- LCS 钱包在服务器明文存储助记词
- 被盗地址均为 LCS 创建的账户
- 助记词泄露导致资产被批量转移
- 建议用户停止使用并迁移资产至新钱包
常见问题
LCS 钱包被认定为中心化钱包的依据是什么?
imToken 安全团队通过抓包发现,用户在 LCS 钱包生成或导入助记词时,助记词会以明文形式上传并存储在 LCS 服务器上,说明其私钥由中心化服务器管理,违背去中心化钱包的设计原则。
LCS 钱包的助记词是如何被泄露的?
在用户首次使用 LCS 钱包时,助记词和密码会通过接口 portal‑api‑v3.lcs.world/user/importWallet 以明文发送至服务器。服务器虽返回“升级中”,但数据已完成上传,导致助记词全部泄露。
被盗的 ETH 最终流向哪个地址?
所有被盗资产均被转入同一地址 0xeba337eeedf030f88a7b0066ec137638f9355189。该地址在约 17 小时内完成 12000 多笔交易,并有少量转出记录,可在区块链浏览器追踪其流向。
LCS 钱包用户应如何止损并迁移资产?
imToken 官方建议受影响用户立即停止使用 LCS 钱包,使用 imToken 生成全新去中心化钱包地址,将所有资产转入新地址。迁移完成后,切勿再导入或使用 LCS 钱包的助记词。
已遭盗币的用户应向哪里报案?
imToken 安全团队提醒,已出现盗币情况的 LCS 钱包用户应尽快向当地公安机关报案,并提供被盗钱包地址、交易记录及相关证据,以协助调查。
相关阅读
💡 注册币安使用邀请码 B2345 享平台手续费折扣。详见 币安完整教程。
⚠️ 风险提示:加密货币价格波动极大,本文不构成投资建议,请理性投资。
