MGC錢包被盜啟示錄

文|嚯嚯

編輯|文刀

6月12日，數字錢包MGC Token發生資產被盜事件，大量用戶反映他們存放在錢包里的以太坊不翼而飛。據統計，這些幣被批量轉移到一個0x2B290開頭的地址中，資產總額近300萬元。

此後，外界紛紛傳言MGC團隊正捲款跑路。對此，MGC官方第一時間闢謠，並承諾全額賠付用戶損失。

蜂巢財經調查發現，MGC用戶丟失的幣僅為存放在錢包里的小額礦工費，單個用戶的損失金額在十元到數十元不等。

單個用戶損失雖不多，但該事件也暴露出一個現實問題，投資者存放在MGC錢包里的資產不安全。過去一周時間，官方始終未對事件發生的原因作出令人信服的解答。

「官方工作人員開始說是由於用戶綁定了第三方錢包，所以導致資產被盜，但事實是，我沒有綁定imToken、火幣錢包等第三方軟體，以太坊也被轉走了。」投資者張虹認為，「資產被盜是由於官方儲存了用戶私鑰，而這些私鑰被黑客盜走了。」

蜂巢財經與MGC方面取得聯繫，對方表示，不想接受採訪，希望解決好後用事實說法，「目前漏洞已經修復，資產全都會補給用戶。」

不過，一個懸而未決的問題是自稱「去中心化」的MGC錢包為何會導致大批用戶私鑰及助記詞丟失？它是否私自保存用戶私鑰？錢包完成更新後，又如何保證此類事件不再發生？

「事實上，徹底辨別一個錢包是否去中心化，有無私自保存用戶私鑰的最好方法是開源檢查，不過，目前國內唯一一個開源的軟體錢包是比太錢包。」比特派錢包創始人文浩建議用戶，如果要儲存大額數字資產，最好使用冷儲存的開源錢包。

資產被盜  社群追根究底

6月16日，距離MGC錢包集體丟幣事件過去4天時間，MGC官方亮出了最新的賠償進度，「我們將在48小時內，找回大家的資產，同步到新的錢包地址里。」

如今，在多個MGC社群中，社群管理員正在對丟幣用戶進行統計，包括註冊手機號、丟失的以太坊和MGC Token數量、轉賬記錄等。

隨著官方通報的最新情況，圍繞在MGC團隊身上的跑路傳聞暫告一段落。但用戶對發生「6.12」安全事件的原因追問並未因官方賠償而中止。

6月12日，一則關於MGC錢包被盜的消息刷屏了多個炒幣群。有大量用戶發現，他們存放在MGC錢包里的以太坊被私自轉走，「我被盜的以太坊本來打算用於Token轉賬的礦工費。」一名MGC錢包用戶告訴蜂巢財經。

據多名MGC的投資者及社群用戶反饋，此次丟失的幣僅為MGC錢包里的小額礦工費，單個用戶的損失金額在十元到數十元不等。

MGC投資者提供的被盜截圖

有業內人士通過分析此次轉出的以太坊地址發現，用戶的資產正被批量轉移到一個0x2B290開頭的ETH地址中，共計完成了超4萬次小額轉賬，資產總額近300萬元。

當天下午，多家幣圈媒體報道「MGC團隊疑似捲款跑路」。消息一出，該錢包方發行的代幣MGC的價格瀑布式下跌，跌幅超70%。據Biki交易所數據顯示，MGC幣當日開盤價為0.731美元，最低跌至0.2美元。

事發後，MGC官網回應，用戶反饋發生丟幣問題，他們會儘快補償損失。

儘管單個用戶的損失不大，官方也承諾了會在48小時內對用戶損失進行補償，但此事暴露出的一個現實問題是，投資者存放在MGC錢包里的資產不安全。

「對我來說補償並不重要，十幾塊錢而已，我只想知道問題出在哪？」網名為「皮囊」的用戶表示，「官方是沒有卷錢跑路，問題是，它能否輕而易舉的轉移用戶資產？」

錢包商拒談丟幣原因

MGC Token錢包的安全事件發生後，官方曾將丟幣問題歸咎於第三方錢包供應商，要求用戶解除第三方錢包的綁定。其公告中，第三方錢包imToken被「不幸」點名，認為該應用存在安全漏洞。

上述說法很快遭到反擊，im Token公告稱，所有被盜地址均是使用MGC錢包創建的以太坊地址。它建議用戶立即停止使用在MGC 中生成錢包地址，並提醒用戶生成新的錢包地址，將資產進行轉移。

「MGC為一款中心化錢包，會存儲用戶私鑰。並不像其所宣傳的是一款去中心化錢包。查詢以太坊地址的轉賬記錄發現，可以推斷盜幣者掌握了幾萬個被盜錢包的私鑰，通過程序進行了違法的盜幣行為。」imToken表示。

第三方錢包的公告引起MGC社群的討論。投資者張虹認為，資產被盜歸根結底是由於MGC儲存了用戶私鑰，而這些私鑰被黑客盜走了。

他表示，「官方工作人員開始說是由於用戶綁定了第三方錢包，所以導致資產被盜，但事實是，我沒有綁定imToken、火幣錢包等第三方軟體，以太坊也被轉走了。」

對於用戶質疑，截至發稿時，MGC官方未作回應。對此，蜂巢財經通過多方途徑與MGC方面取得聯繫，對方表示，不想接受採訪，希望解決好後用事實說法，「目前漏洞已經修復。」

截至目前，MGC報價0.72美元，過去5天時間內漲幅達最高260%。

MGC的幣價已恢復到6月12日時的開盤價，但作為一個存儲用戶資產的錢包，自稱「去中心化」的MGC到底如何導致大批用戶私鑰及助記詞丟失？它是否私自保存用戶私鑰？錢包更新後，又怎樣保證此類事件不再發生？

MGC幣價5天內經歷暴跌暴漲

MGC官方對於丟幣的核心原因避而不談，用戶的質疑並未就此打住。

有人認為，imToken和MGC錢包雙方的核心代碼都不開源，雙方說自己是去中心化錢包，都沒有說服力。

「掌握用戶私鑰的平台不算錢包」

過去一周時間，MGC官方始終未對事件發生的原因作出令人信服的解答。用戶普遍關心的問題是：即使黑客攻擊了錢包伺服器，如果官方並未保存用戶私鑰和助記詞，攻擊者如何能轉移用戶資產？

有別於中心化的存幣平台，去中心化錢包通過生成私鑰和助記詞，並將助記詞或者私鑰提供給用戶。火幣錢包市場運營負責人李成才告訴蜂巢財經，這些私鑰或者助記詞可以直接導入到其它去中心化錢包，這是去中心化錢包的特徵之一。

李成才解釋，如果此類錢包在去中心化上做得不徹底，或者不專業，而將用戶私鑰或者助記詞明文放在自己的伺服器中,一旦該伺服器被黑客攻擊而導致資產被盜，黑客也會擁有私鑰或者助記詞，也就擁有了轉賬的權力，「這就類似於一把鎖，有兩把鑰匙，用戶持有一把，另外一把被保存在錢包伺服器上。」

比特派錢包創始人文浩介紹，如果錢包服務商掌握了用戶私鑰，或者將私鑰存在伺服器上，那就不能稱之為錢包，只能叫中心化的存幣平台，「類似於交易所。」

對於如何辨別一個錢包是否去中心化， 文浩表示，徹底辨別一個錢包是否去中心化，有無私自保存用戶私鑰，最好方法是開源檢查，「因為只有開源，才能證明私鑰100%是用戶自己掌握的。」

不過他強調，目前國內唯一一個開源的軟體錢包是比太錢包，如果用戶要儲存大額的數字資產，他的建議是「最好使用冷儲存的開源錢包」。

對於錢包商不徹底開源的原因，文浩表示，主要看錢包商自己的考慮，開源閉源都是商家自己的選擇。

他以比特派錢包舉例，它的模式和比太錢包不一樣，比太是純去中心化模式，區塊數據是要和比特幣網路上的節點同步的。而比特派則需要和中心化伺服器同步，也就是私鑰在用戶手裡，但交易數據要從錢包的API來抓取，「考慮到系統結構的複雜性，因此當前我們還未對比特派進行開源。」

隨著區塊鏈行業發展，數字資產呈現多樣化，可以預測的是投資者對數字貨幣錢包應用的需求將長期存在。錢包商獲得了用戶信任並不意味著風險不存在，MGC的安全事故無疑給幣圈用戶敲響了警鐘。