如何安全的捂住你的imToken钱包?

知名区块链安全公司慢雾在《假钱包 App 已致上万人被盗，损失高达十三亿美元》中解析了近期频发的假钱包 App 骗局，文中提到此类骗局涉及金额达到 13 亿美元，触目惊心。仅从这个数字上，我们也能够明显感受到假钱包 App 骗局和骗子的肆无忌惮。

假钱包 App 骗局套路常见为以下几种：

骗子向用户发送海报或链接，诱导用户下载假 App；
骗子通过购买搜索引擎的广告位及自然流量，诱骗用户访问虚假官网；
骗子获取受害者信任后，向受害者发送链接下载 App，并鼓励受害者购买加密货币并转入他们的钱包，骗子不断找借口要求受害者存入更多资金以盗取资金。
引自慢雾的骗局解析文章

那么 imToken 作为钱包方，也就是在此类骗局中被仿冒的钱包应用，imToken 如何看待此类骗局？对此又做了哪些来帮助用户提升安全意识，安全保管资产呢？

首先，作为钱包方，imToken 同骗局受害者一样，深受其害。这类骗局已经持续数月，且相较其他诈骗手段，此类骗局更复杂和隐蔽，迫使我们投入大量精力在此类事件的处理和应对上，消耗了大量资源，并对我们苦心经营数年的品牌造成了负面的影响。假钱包 App 骗局就是一个典型，我们甚至看到，imToken 官方最新版本才到 2.9.8（已在部分渠道上线），而骗子的假钱包版本已经到了 3.0.0。

这类骗局之所以能够频频得手，主要原因是其利用了区块链新用户初入门时一知半解的状态。骗子在新用户学习区块链知识、形成安全意识前，就开始设置陷阱，利用其中心化的资产管理观念误导用户。

而作为从业者，我们在新用户进入区块链前进行安全教育的空间相较为有限，难以触及骗子所在的各个角落，甚至于在我们解释劝导时，用户会不解「如何证明你是官方？」。确实，对新人而言，若不借助中心化认证，在去中心化的区块链世界中，如何让别人相信「我」是 imToken 官方呢？

这类骗局的大范围传播从骗子在各类搜索引擎购买广告位、在应用商店中上架假钱包应用开始。新用户入门的源头被骗子污染，一层层编织骗局，令人防不胜防。

诚然，骗局手法多变且日益隐蔽和狡猾。但 imToken 始终认为，作为钱包方，我们需要力所能及地帮助用户避免此类骗局。

以假钱包骗局为例。在常见的诈骗渠道上，我们保持着时刻的攻防，每发现一个骗子网站和假应用，就会启动相应机制，及时联系相关方处理。在预防骗局上，我们也始终在各渠道告知用户新骗局并普及防范注意点，这里有一套我们准备的区块链资产安全自测答卷，看看你的安全意识如何。在受害用户协助上，我们尽可能通过各渠道（如链上数据）了解受骗用户的典型特征，并告知其潜在隐患和最佳处理方案。

如果你身边有遇到假钱包骗局的朋友，请把以下内容发给他：

如何辨别真假官网和应用？

近期欺诈事件频发，诈骗套路和手法也更加隐蔽，需要我们不断提高辨别假 App 和官网的能力。

本文介绍了如何辨别真假官网及应用安装包。

三步辨别真假官网

以 imToken 钱包官网为例。

1、务必确认浏览器中输入的域名为：https://token.im/

注：务必使用 https 协议访问官网，而非 http。

2、务必确认浏览器输入框左侧有 或盾牌等安全图标

以 Chrome 浏览器为例，其他浏览器类似

3、确认点击 或盾牌图标后的信息，如下图所示即为安全。如果提示「不安全」等信息，则说明该网站是假网站，遇到这种情况，请通过 [email protected] 与我们联系，获取官方人员帮助。

以 Chrome 浏览器为例，其他浏览器类似

四步辨别真假应用安装包（App）

同样以 imToken 应用安装包为例。

如果你通过第三方渠道（朋友、第三方网站等）获得了 imToken 安卓应用安装包，在安装前，请按以下步骤检查应用安装包是否为正版。

1、将下载的 imToken 安装包放在系统桌面

2、打开终端（默认路径：启动台 – 其它 – 终端）并输入 cd desktop/

3、输入 shasum -a 256 安装包的文件名，按「回车键」确认，即可获取安装包的 SHA256 值

4、将安装包 SHA256 值与文末「imToken 版本及对应的 SHA256 值」表校对，如果一致，则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://token.im/ 下载正版 imToken 并转移资产。

如有问题，可通过 [email protected] 与我们联系，获取官方人员帮助。

1、将下载的 imToken 安装包放在系统桌面

2、打开命令行工具（Win 键 + R，输入 CMD，回车）并输入 cd desktop/，按「回车键」确认

3、输入 certUtil -hashfile 安装包的文件名 SHA256，按「回车键」确认，获取安装包文件 SHA256

4、将安装包 SHA256 值与文末「imToken 版本及对应的 SHA256 值」表校对，如果一致，则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://token.im/ 下载正版 imToken 并转移资产。

如有问题，可通过 [email protected] 与我们联系，获取官方人员帮助。

1、将 imToken 应用安装包拷贝到电脑

2、打开网站：https://oktools.net/file-hash

注：这是一个计算文件 SHA256 值的工具。

3、将应用安装包上传到该网站，获取安装包文件 SHA256 值

如图，将安装包拖拽到上图绿色区域即可

4、将安装包 SHA256 值与文末「imToken 版本及对应的 SHA256 值」表校对，如果一致，则说明是正版；反之说明是假冒安装包，请立即停止使用该应用，再通过官网：https://token.im/ 下载正版 imToken 并转移资产。

如有问题，可通过 [email protected] 与我们联系，获取官方人员帮助。

imToken 安卓版本及对应的 SHA256 值

官网安装包

Google Play 安装包

如何下载 imToken 官方钱包？

提醒：在下载 imToken 官方钱包之前，请确保已卸载手机上的假 imToken ，否则会导致官方 imToken 无法成功安装。

卸载假 imToken 后，通过官网 https://token.im 入口下载 imToken：

打开 imToken 官网：https://token.im，并检查网站证书安全性，点击了解如何检查；

确认网站安全后，点击下载，根据自己的手机系统选择下载入口。

详细操作步骤如下

1、点击 imToken 的官网链接：https://token.im/

2、务必确认浏览器输入框左侧有 或️ 等安全图标

3、点击 或 ️ 图标后，再点击网站名称，如果提示「连接已加密」或「连接是安全的」则说明该网站安全。

真官网

如果跳出「风险提示」等信息，则说明该网站是假网站。

  假网站

如遇到假网站，请点击 imToken 官网 https://token.im/ 右下角的「帮助」-「人工帮助」-「聊天」反馈给我们，并获得官方人员帮助。

谨记，在以上三步检查都确认无误的情况下，才可继续下载安装 imToken。

如果你的手机是安卓系统的，在 imToken 官网点击「立即下载」，然后选择页面左侧的「Android APK」即可下载安装

如果你的手机是苹果 iOS 系统的，则在 imToken 官网点击「App Store」，然后点击下载图标进行安装。

如果点击「App Store」后，页面提示「App 不可用」，说明 imToken 未在你的 Apple ID 所在国家或地区上架。

另外请注意，在 App Store 中以下这些均为假冒 imToken App：

imToken.pro

imToken-Clock

imtoken-reminder

imToken-Pro

imToken-ket

从苹果 App Store 下载 imToken 时，请认准开发者为 IMTOKEN PTE.LTD. 开发的 App，其他所有的均为假冒 imToken App。

请注意在下载 imToken 时务必认准官网：https://token.im/

因为除此之外的下载方式都极有可能下载到假冒的 imToken。例如以下这 4 种下载方式，稍有疏忽就有可能下载到假冒的 imToken，导致资产被骗子盗取

从朋友发送的链接、海报中下载

百度搜索 imToken下载

非小号等第三方网站下载

App Store 搜索 imToken 下载

由于骗子的诈骗套路和手法不断升级，我们自身需要提高对真假官网的辨别能力，确保自己下载是官方正版 imToken。

如何转移资产到安全钱包？

如何安全转移假 imToken 中的资产

如果你仅有一部手机，请查看这份教程了解如何安全转移资产：

https://support.token.im/hc/zh-cn/articles/4405337708185

如果你有两部的手机，请查看这份教程了解如何安全转移资产：

https://support.token.im/hc/zh-cn/articles/4405337663769

如果遇到任何问题，请及时联系官方客服 [email protected]

常见错误操作

请注意，如果你在转移资产时进行了以下操作，那么你的资产仍处于随时被盗的风险之中！

错误操作1：将假 imToken 中的地址导入真 imToken 继续使用。

原因：假 imToken 中地址的助记词已经泄露，即便导入真 imToken 依然存在资产被盗风险。想要保证资产百分百安全，请务必使用真 imToken 中创建的新钱包地址。

将假 imToken 中的资产全部转入真 imToken 中新创建的钱包地址后，你应该删除假 imToken 钱包和地址。假 imToken 中使用过的地址均存在风险，所以请务必不要再使用！

错误操作2：在当前使用的假 imToken 中重新生成新的助记词和地址，然后将原地址中的资产转移到新地址。

原因：由于你使用的仍然是假 imToken，因此新生成的助记词依旧会泄露，仍存在资产安全隐患。

错误操作3：没有按照官方提示在官网 https://token.im 下载真 imToken，依然从骗子网站下载假 imToken。

原因：通过百度搜索、朋友发送的链接等方式下载的 imToken 均无法保证正版。我们只推荐通过官网 https://token.im 入口下载 imToken：

1. 打开 imToken 官网：https://token.im，并检查网站证书安全性，点击了解如何检查；
2. 确认网站安全后，点击下载，根据自己的手机系统选择下载入口。

imToken 官网：https://token.im/

imToken 努力打造最为安全可靠、简单易用的数字钱包，并且已成为千万区块链用户的放心选择，离不开我们对用户资产安全和风险防范的高强度持续投入。从产品设计到安全审计，从用户教育到员工安全考察，从用户支持到和警方的紧密联系。对于用户资产安全这条底线，我们有着一丝不苟的安全追求。

我们相信并实践着「数字资产，尽在掌控」，同时也深知自主掌控资产赋予了用户同等重大的责任和自由。而作为服务千万用户的去中心化钱包，imToken 将始终把用户资产安全放在首位，提供最安全可靠的钱包服务，并持续区块链安全教育和普及，我们知道，这任重而道远。

最后，也希望作为用户的你，身处区块链世界，不忘对自己的资产多一份重视和谨慎；希望作为从业者的你，和我们一起努力为区块链新人门打造更安全友好的加密世界。