🥇主流钱包DApp使用安全性测试

近期的钱包使用安全风险集中出现在：假钱包、合约调用转账盗币、恶意授权盗币这几种诈骗方式，当然还有其他的例如钓鱼链接或者挖矿或空投类型的骗局，但是他们的执行操作归根结底还是合约调用转账和恶意授权盗币两种，多发生于波场公链。

假钱包盗币：

假钱包，即非官方发布的版本，通常是利用官方版本的APK进行反编译，加入了可以获取私钥助记词的设置，当用户下载假钱包安装和导入私钥或助记词后，这部分私钥或助记词会自动同步到盗币者的服务器中，对方可以轻松导入钱包中来转移资产。

恶意授权盗币：

会在链上形成一个授权记录，可以清晰的看到授权合约地址、授权收录想和授权时间等内容，这种的在发生资产丢失后在链上比较好辨识，只需要去清理掉权限就可以继续使用，不过更加推荐新注册一个新地址来使用。

合约调用转账盗币：

这是一种隐蔽性很高的盗币行为，当用户打开恶意链接后，点击参与挖矿、空投或兑换操作后，合约后台会自动调取地址中所有的USDT，然后弹出授权界面，用户看上去只是一个普通的转账函数（也有一种是用~ 符号展示），当输入密码授权后，所有的USDT资产被盗，在链上查看只是一个普通的转账操作。

基于以上的DApp恶意链接盗币的高发，特别约上几款主流钱包来一次DApp使用的安全测评，本次主要是以比较隐蔽的波场公链中合约调用转账盗币方式为例，后续会进行恶意授权相关的测评工作。

参评钱包：

参加本次测评的钱包有：TokenPocket、imtoken、BitKeep、波宝钱包、Trust钱包、比特派钱包（排名不分先后），因为MetaMask不支持波场公链，所以此次不在评测之列，后续评测BSC公链DApp安全性测评中会加入。

参加测评的恶意链接是近几天“活跃度”比较高的一个项目，经过和TokenPocket咨询该链接已被拉入到了黑名单列表中无法访问；因为无法访问所以无法完成TokenPocket的安全防护性测试，所以特别申请临时修改为第三方投诉的方式来进行评测的制作。

评测方式：

逐个使用钱包中的DApp浏览器对恶意链接进行访问，查看访问过程中是否有访问第三方链接的风险提示、是否可以拦截（恶意链接黑名单数据库）、执行过程中是否有关于调用的读取和拦截或其他的安全方面的设置。

测评开始：

1、imtoken钱包测评：

1.1、使用imtoken的DApp浏览器打开链接，可以看到明显的访问提示内容，不过对于该链接没有拦截提示（imtoken是有恶意链接拦截功能，只不过链接随时在变，所以没有拦截也是正常的，都有滞后性。）设置兑换数量点击【立即兑换】。

1.2、在弹出的支付详情中可以看到数据内容，不过对于小白来说这个看懂有点难度，点击下一步跳转到密码授权界面，在此过程中没有遇到更多的风险提示或拦截。

2、BitKeep钱包测评：

2.1、使用BitKeep的DApp浏览器打开链接，可以看到明显的风险提示内容，不过对于该链接没有拦截提示（测试了多个恶意链接均未发现拦截提示，不太确定是否内置了该功能。）设置兑换数量点击【立即兑换】。

2.2、弹出的签名信息中可以看到红色字体提示第三方签名转账提示，交易详情中的数据展示完整，不过对于小白来说是无法理解的。点击【确定】弹出密码授权界面，在此过程中没有遇到更多的风险提示或拦截。

3、Trust钱包测评：

3.1、打开Trust钱包的波场公链，在底部只可以看到三个菜单选项，点击发现菜单中并未找到DApp浏览器，应该是做了针对波场链做了特殊处理。

3.2、为了验证我的猜想，专门在Trust钱包中导入了BSC公链钱包，这个时候可以看到正常的四个菜单列表，点击浏览器也可以正常的看到可以输入链接的位置。对于这种限制，不知道作何评价，就都交给用户来评判吧，都是有利有弊的。

4、波宝钱包测评：

波宝钱包可以好不夸张的说它是波场的“亲儿子”，毕竟所有的资源和技术等方面都会优先接入，话不多说，一起来看下波宝钱包的安全测评吧。

4.1、使用波宝钱包的DApp浏览器打开链接，可以看到明显的风险提示以及访问账户地址的提示，比其他的钱包都多一层内容提示，不过打开过程中对于该链接没有拦截提示，设置兑换数量点击【立即兑换】。

4.2、在授权提示中可以看到两个选项，不过这些是针对授权方式的一种功能展示，点击【继续】后弹出【确认交易】界面，在界面中可以看到调用的合约地址，点击交易数据可以看到完整数据，同样的小白也是无法理解的，地啊你【确认】后弹出密码授权界面，在此过程中没有遇到更多的风险提示或拦截。

5、TokenPocket测评：

TokenPocket作为主流钱包受到了很多新用户的青睐，交互上更适合小白操作，不过也经常听到或者看到一些文章在进行“曝光”盗币的行为，那么到底是钱包的设计漏洞问题，还是小白用户自己的使用问题呢，待着这些问题一起来看对TokenPocket的测评。

5.1、使用TokenPocket的DApp浏览器打开链接，因为该恶意链接已经被列为黑名单中，所以是可以看到明显的访问提示，访问提示共分为三种提示，根据风险等级分为：确认风险、标记投诉、第三方提醒。设置兑换数量点击【立即兑换】。

5.2、弹出的签名信息中可以看到操作详情中完整的数据展示，不过同样对于小白来说是无法理解的。点击【确认】中开始调用支付界面，在调用过程中会短暂看到弹窗，不过马上就消失，然后会提示【无效的交易】提示，这个执行过程中是有明显的对调用数据（操作的命令）进行识别和拦截。只是提示无效的交易这个应该做一个弹窗说明，让用户更加直观的了解内容。

6、比特派钱包测评：

6.1、使用比特派钱包的DApp浏览器打开链接，可以看到明显的第三方风险提示内容，不过对于该链接没有拦截提示（测试了多个恶意链接均未发现拦截提示，不太确定是否内置了该功能。）设置兑换数量点击【立即兑换】。

6.2、弹出的签名信息中可以看到目标地址展示，签名消息中的数据展示完整，不过对于小白来说是无法理解的。点击【确定】弹出密码授权界面，在此过程中没有遇到更多的风险提示或拦截。

6.3、就在我以为要完整的技术测试时，意外发生了。因为我在钱包中设置了指纹支付的功能，所以在最后截图的时候粗心按下了HOME+音量下键（截图快捷键），结果直接执行了兑换操作，随即所有的USDT就被转出了，还好只有29个，不过这都已经心疼了。

对于此次主流钱包DApp使用安全评测的内容就到此结束，本期主要使用了合约调用转账盗币的恶意链接来做展示，是在有一定基础和使用小号的前提下进行的，请不要模仿，关于对自行测试导致资产丢失的行为笔者概不负责。

对于本次评测的钱包就不做评分和排名统计，因为每一款钱包都是在用心的服务用户，都是在努力的优化产品，怪只怪这些诈骗的恶人使用拙劣的手段来骗取用户的信任从而骗局资产。

希望各大钱包在对于主流盗币方式的发生、发展上都进行有效遏制，最好是可以建立一套共享的数据库来对诈骗链接进行有效限制，去中心化自托管钱包，所有权限交给了用户，这就意味着随之而来的风险隐患，所以请多积累安全知识、反诈知识、区块链基础知识等内容，更好的武装好自己，就是对自己最大的负责。