TokenPocket关于EOS账户安全的声明

TokenPocket关于EOS账户安全的声明

TokenPocket 感谢用户一直以来的支持与关爱，经过一段时间的发展，目前在EOS钱包中积累了大批的用户，而保障钱包的用户安全一直是团队最核心的任务之一，TP钱包本身采用了银行级多层数据深度加密，是非常安全可靠的，同时一直积极和很多伙伴一起为EOS生态与安全做着自己的努力。

EOS账号安全分为2类，A是账户注册和导入安全，B是使用安全。

在账户注册和导入安全中，涉及到以下两点原因：

1.账户私钥直接导入 2.用户可自行生成公私钥，并通过提供给第三方公钥信息，由第三方协助注册账号。在无论是第一种还是第二种情况中，TokenPocket钱包体系内的安全程序均设定了机制防护用户的安全。

近期，TokenPocket连同国内各大节点、华语社区治理911微信群一起协作处理了几起由于用户在生成公私钥环节的不恰当处理，出现了漏洞，导致EOS账号安全隐患的问题。

造成安全隐患的原因主要有通过空助词或简单助记词生成私钥、导致黑客使用“彩虹攻击”也就是使用常用词汇为助记词生成公私钥再去碰撞匹配，如果正好有用户也使用了相同的简单助记词生成的公私钥，黑客就可获取此用户私钥。尽管TokenPocket钱包自身是非常安全的，但在TP钱包之外的生成公钥操作TP钱包无法监控到，需要用户提高安全意识把好安全关。

6月28日TP官方响应用户需求开通了官方半自助注册EOS账户渠道，用户可通过仅提供公钥的方式注册主网的EOS账户。TokenPocket在生成公私钥的选择上提供了第三方网站的链接。在这一事件上，TokenPocket安全团队在发现有用户使用弱助记词而非随机生成公私钥可能导致账号安全隐患后立即联系相关用户，并移除了第三方网站链接并立即联络了第三方团队告知了该隐患，并表示技术团队可以随时给到第三方支持，配合这一安全问题的解决。

TokenPocket安全团队事后还联合了各大节点，EMAC社区以及白墨子安全实验室做出应对方案。用户使用TP钱包过程中的安全防护，是TP重点打造亦是TP的立足的基础，我们将继续努力，不忘初心。

TokenPocket是去中心化钱包，不会保存用户的私钥，请用户务必要保管好自己的私钥，同时提醒大家在生成私钥时，一定要确保电脑或手机的环境安全，再采用断网方式随机生成，并用纸笔记录私钥并多处备份，分开保管，对于私钥、助记词等敏感信息绝不要存放在不安全的网络环境之中，如微信、照片、邮件、网络笔记等。