2026年6月25日,国内多家网络安全机构联合发布预警,近期针对Tokenpocket钱包用户的钓鱼攻击数量较上月增长约40%。攻击者通过社交媒体、短信和伪造邮件,发送所谓“版本强制升级”或“账户异常”通知,诱导用户点击链接下载恶意软件或输入私钥。Tokenpocket官方已发布声明,强调其不会主动要求用户提供私钥,并建议用户仅通过官网或官方应用商店更新应用。
攻击手法升级:虚假客服与克隆网站成主要渠道
据区块链安全公司慢雾科技分析,此次钓鱼攻击的显著特点是利用“社会工程学”手段。攻击者首先在Telegram、微信等平台建立假冒的Tokenpocket客服群,以“协助解决转账延迟”为由,引导用户访问克隆网站。这些网站界面与官方高度相似,但一旦用户输入私钥或助记词,信息即被窃取。此外,部分攻击者还通过搜索引擎投放广告,将恶意链接置于搜索结果前列,增加用户误触概率。
“6月中旬以来,我们已拦截超过500个伪造的Tokenpocket域名。”火线安全研究院研究员李峰表示。他警告,许多用户因贪图方便,习惯在非官方渠道下载应用,这为攻击者提供了可乘之机。数据显示,受骗用户中约六成来自二三线城市,年龄集中在25-40岁,且多数为近期刚接触数字资产的新手用户。
用户资产安全拷问:去中心化钱包的信任危机
此次事件引发了对去中心化钱包安全体系的广泛讨论。Tokenpocket作为国内用户量最大的多链钱包之一,其“非托管”特性意味着用户需自行承担私钥保管责任。然而,现实中大量用户缺乏基本的安全意识,甚至将私钥截图保存在手机相册或云笔记中。律师张磊指出,一旦资产被盗,由于区块链的匿名性,追回难度极大,受害者往往投诉无门。
针对这一困境,中国互联网金融协会已于6月24日发布《数字钱包安全使用指引》,建议用户启用硬件钱包进行大额存储,并定期更换密码。此外,监管部门正酝酿将数字钱包纳入金融消费者权益保护框架,要求平台方承担更多反诈提示义务。Tokenpocket方面也表示,将在下一版本中引入“交易预警”功能,对异常转账行为进行实时拦截。
专家建议,用户应牢记“三不”原则:不点击来源不明的链接、不向任何人透露私钥、不在公共网络下进行转账操作。同时,建议开启钱包的“多重签名”或“白名单”功能,为资产增加一道防线。随着数字资产普及,安全教育的缺失已成为行业最大隐患,唯有用户与平台协同努力,方能构建更安全的数字金融生态。
