TP钱包爆出惊天大雷，安全漏洞引发2亿美金资产被盗

“你好，平头哥，我要曝光TP钱包有安全漏洞，目前已经有2亿美金资产被盗了”。

什么，去中心化钱包资产也会被盗？

没错，确实会，而且是TP钱包支持的官方空投活动，导致了用户损失了2亿美金的损失。

一个官方支持的空投活动，而且很多账户连燃料费用都没有，NFT就被转出。

下面是盗取用户资产的一些波场钱包地址：

目前受害者已经组建了维权群，其中有人也曝光了TP钱包的钓鱼方式。其实这种方式早就曾经出现过，矿工费授权意味着免密支付，只要授权，可能你的资产就没了。

问题发生后，TP钱包仍未发布任何公告，也未采取挽回措施，甚至连基本的道歉都没有。

上面的NFT官方空投导致用户TP钱包资产被盗，让平头哥很是诧异，这个TP钱包到底是不是去中心化的？他到底是什么来头？

TP钱包从18年开始运行，TokenPocket是深圳拓壳区块链公司旗下，自称是一款支持多币种、多底层、跨链交易的通用数字钱包，也是当前国内投资人使用较多的一款去中心化钱包产品。

针对于以上问题，平头哥整理了几点针对TP钱包的质疑。

TP钱包作为去中心化钱包，给虚拟币项目打广告，是否合适？是否安全？

原本TP钱包对于首页推荐的项目，有着较为严格的审核流程，要求项目方必须有知名公司的审计报告，并要求进行公司或者个人的视频身份认证。

既然是如此，那么这个项目空投是怎么被TP钱包官方收录的呢？

之前有知情人士爆过料，虽然TP钱包对于项目有一定的审核。然而有些别有用心的诈骗项目方可以通过花钱通过，或者在视频身份认证过程中，提供虚假身份信息，也会给与通过。

花钱上币，是中心化交易所赚钱的方式，但是去中心化钱包，真的也能这样做嘛？不应该更中立，更干净吗？

所以TP钱包官方或者首页推荐项目，是不合理，不合规矩的。

几个月前，有一个项目叫gainswap的项目，上了TP的首页推荐，然后也过了链安的审计，最后凌晨就跑路了，差不多是卷了700万美元的资产就跑路了。

GainSwap项目的跑路过程，突破了此前许多被认为“安全”的认知，非常值得引起业内警醒。

Gainswap项目跑路后，为其提供安全审计服务的成都链安第一时间发出声明：

据我司核实调查，Gainswap项目对外公示的安全审计报告是经篡改过后的。成都链安·安全团队于北京时间2021年5月21日完成了不包含后门的合约代码的相关安全审计工作；而该项目于北京时间2021年6月4日部署了存在后门的合约，并将已出具的安全审计报告中的合约地址替换为后门合约地址。

也就是说，Gainswap项目方在提交了没有问题的合约代码，取得成都链安的审计报告后，实际上部署了含有后门的合约代码，正是通过这一后门，项目方卷走了用户全部质押资产。

从正常的商业逻辑来讲，成都链安收取了Gainswap项目方的服务费用，为其提供审计服务，理应掌握项目方的公司、人员情况以及付款银行账户，按照这样的途径去追查，违法犯罪分子将难以遁形。

但是事情往往就是这么巧的，TP钱包以及成都链安的审核都是废的，一点作用不起，问题出了以后，发个公告，就算完事。

这事过去没多久，成都链安爆出惊天大雷，该公司CMO高某挪用警方的钱炒合约亏空了三亿，链安就此落幕，TP还在。

上述问题也揭开了所谓的安全的审计公司和去中心化交易所，不过是笑话而已。

TP钱包上除了空投活动会引发的安全问题之外，还有Defi也出现过很多跑路的，归零的土狗项目。

今年一月份的时候，tp钱包里有个叫翡翠的项目，上线就圈了上千万跑路了。

TP钱包的安全问题一直曾被质疑，之前也有多次有人曝光过，用户因为扫描二维码转账，引发资产被盗。

用户的钱包私钥并没有泄漏，TP钱包也没有什么安全漏洞。

这个二维码看似是TokenPocket钱包的收款二维码，实则却是一个钓鱼码。

扫码之后会进入一个假的转账页，点击右上角的“…”，我们就会看到该页面是由“huobi4.gzimtoken”提供。

转账变成授权，这有点像我们用的“免密支付”功能。

意思很简单，就是你授权了该账户的转账，对方不需要拿到你钱包的私钥或者助记词，就可以直接拿到你的转账权限了。

那么如何防范这种钓鱼转账二维码呢？

在钱包转账时，如果扫码之后页面右上角出现“…”，那么就代表这个页面是web页面，而并非钱包原生转账页面。这个时候就应该立即退出，千万不要再进行任何操作。

当然，还有一个更简单也更保险的方法：那就是直接复制对方的地址进行转账，而不是扫二维码转账。

这样的转账问题，有很多人可能会问？跟TP钱包有没有关系。

平头哥可以负责任的告诉你，是有关系的，首先类似这种转账一般情况下都是空投活动，或者DEFI挖矿，都是陌生人转账，而且是TP上推荐的一些项目。

谁也不会无缘无故的给陌生人转账吧，就好像本文中那个NFT空投，也是类似这种骗局。

那这种免密方式是否存在漏洞，有没有解决的办法？如果没有，去中心化钱包何来安全性，区块链的意义又在哪？

TP钱包作为一个去中心化钱包，却屡屡被深陷这种中心化的安全问题，责任不小吧。

作为TP官方推荐的空投项目NFT出现问题，我觉得受害者应该积极去维权深圳那个公司，毕竟作为主体，应该为自己的行为负责。

同时，平头哥提醒大家，TP钱包的问题不会小问题，我之前就曾经在朋友圈说过，TP钱包可能会有安全风险，因为其中心化的属性导致。

因此，远离TP，珍爱生命，如果你身边仍有人在用TP，赶紧提醒他一下。