imToken钱包

这几天imToken 安全团队收到用户邮件举报，钱包中的 ETH 被恶意盗取。
我们第一时间对被盗钱包地址进行分析，并找到被盗共性 - 所有被盗地址均是使用 LCS 钱包创建的钱包地址。
为了进一步确定盗币手法，我们搜索了关于 LCS 钱包的相关信息，也和被盗用户取得联系，情况如下
用户下载使用 LCS 钱包生成助记词或在 LCS 钱包中导入助记词；
在生成或导入助记词的过程中，助记词被明文存储在 LCS 钱包服务器上，即 LCS 钱包是一款中心化钱包；
用户将使用过 LCS 钱包的地址导入 imToken 钱包或其他去中心化钱包，但助记词仍存储于 LCS 钱包服务器中，存在随时被盗的风险；
所有 LCS 被盗资产全部被有规律地转移到一个盗币地址。
imToken 安全团队在这里提醒 LCS 钱包用户，请立即停止使用 LCS 钱包管理过（生成或导入）的地址，在 imToken 中生成新的钱包地址，并将资产进行转移。被盗币的 LCS 受害用户，请尽快前往当地公安机关报警。

以下是 imToken 安全团队追查的相关资料：
盗币地址为 0xeba337eeedf030f88a7b0066ec137638f9355189（此地址盗取的每笔 ETH 数额较小，目前仍有大量未打包交易）。
地址 0xeba337eeedf030f88a7b0066ec137638f9355189 在 17 小时内完成了 12000 多笔交易，而且目前仍有大量未打包的交易等待完成。可以推断盗币者掌握了几万个被盗钱包的私钥，通过程序进行了违法的盗币行为。
地址 0xeba337eeedf030f88a7b0066ec137638f9355189 共有 4 笔转出的交易记录，可以追踪资产的最终流向，点击查看交易记录：
LCS 合约地址：0xe62e6e6c3b808faad3a54b226379466544d76ea4。
LCS 钱包为一款中心化钱包，会存储用户的助记词，并不像其所宣传的是一款去中心化钱包。
LCS 钱包收集用户私钥助记词【抓包分析】
简单来说，如果你想了解某个钱包是否收集用户的助记词私钥，可以通过抓包的方式，观察钱包是否将私钥助记词通过明文或加密的方式传至服务器。
以 LCS 钱包为例：
1.通过下载安装 LCS 钱包，打开首页是「导入钱包」，我们将一个测试助记词导入进去，点击确认导入。

2.在这个过程中，通过抓包分析可以观察到该钱包，将助记词上传至该接口：portal-api-v3.lcs.world/user/importWallet

3.并且助记词和密码是直接明文传至服务器，目前服务端返回的结果是在升级，但是数据已经上传至服务器，所以测试的小伙伴，一定不要使用真实私钥或助记词测试。

由此可以判断，LCS 钱包用户的私钥和助记词，在一开始使用 LCS 钱包的时候，就完全泄漏出去了。