声明：本教程无投资建议

SPACE ID 是什么？

SPACE ID 是基于BNB 链和Arbitrum One 链的去中心化域名协议，为用户提供一站式Web3 域名和身份的平台。

Space ID 发放空投细节

3 月19 日，Space ID 公布了具体的空投细节，共29.4 万个地址符合要求。总共4200 万颗的Space ID 追溯空投的对象是根据钱包地址而不是每一个域名，即使一个钱包拥有多个域名space id 只会计入最忠实的域名，领取时间与上币时间一致，领取的金额根据以下的细节：

持有天数——如果一个地址持有多个域名，只有持有天数最长的域名才会被计算

到期天数——如果一个地址包含多个域名，只考虑到期天数最长的一个

持有有效的主要域名（.bnb 或.arb）

根据3 个持有任务的数量不同Voyage Prime/Legacy/Awakening NFT 比重不同

持有的其他OAT 数量（由SPACE ID 在Galxe 上发布）

持有3 位数/ 4 位数/ 5位数.bnb

持有3 位数/ 4 位数/ 5位数.arb

同时持有.bnb 和.arb

Space ID空投领取教程

1、打开Space IDhttps://space.id/ ，点击右上角【Connect】连接TokenPocket插件钱包。

连接钱包界面中，点击【TokenPocket】。

2、选择自己需要领取空投的地址，然后点击确认，在新跳转的界面中点击【连接】。

3、连接钱包后，点击【Voyage】。

点击打开的界面中显示【Voyage Season】的圆球。

打开的界面中可以查看自己的一些参与数据，左下角就是可以领取空投的数量，在这里只需要点击【Claim】并在弹出的插件钱包中进行签名，完成签名后即可获得ID 代币。

#空投 #Web3 #tp钱包 #插件钱包 #spaceid

写在前面的话

近段时间波场钱包被恶意多签的案例高发，在此之前，我们专门针对此类的诈骗方式做过警示，并分析了导致多签的几种场景。具体的可以查看《警惕 | 波场恶意更改权限骗局》和《假链接、假钱包骗局离我们有多远》这两篇文章。主要从假官网下载假钱包导致私钥助记词泄露被多签以及访问含有恶意代码的链接执行签名后被多签。所以我们再次提示用户不要使用搜索工具查找并使用钱包，也不要随意执行第三方不明来历的链接，尤其是一些验证码、增粉、买卡等平台的充值链接。

TokenPocket官网 : tokenpocket.pro 、 tpwallet.io 

恶意授权特征

Approve即授权。它允许持有 Token 的用户，通过调用 Approve 方法，授权给指定账户一定额度，赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户，那么授权资产就会有极大风险。

通常我们接触的到恶意授权会使用链接的方式来“包装”，例如二维码识别后打开一个仿冒的转账界面链接，当完成转账后就会被恶意授权；还有类似于一些验证码、增粉、买卡等平台的链接，在充值过程中植入了恶意授权的代码在执行成功后就被执行了恶意授权，恶意授权的Token会被盗取。

如果现在恶意授权换一种新的执行方式，你还可以分辨吗？

新型恶意授权骗局

对方会主动联系你，声称可以解决你遇到的问题。例如你持有无法流通的Token，对方说可以通过十六进制的方式帮你处理，他们不会问你索取私钥助记词，也不会给链接让你访问和签名，下面是一个诈骗案例的过程。

骗子会声称拥有“黑科技”手段，可以帮助你解决问题，还会耐心的帮你查看相关的链上信息，最后细心的教导你如何操作，当填写完十六进制的字符并执行了转账操作，你授权的资产就会被对方通过恶意授权的方式盗取。

这里就要了解，像以太坊这类区块链进行转账、授权等操作，任何智能合约的交互都是可以直接通过这个十六进制来完成的。可以通过区块链浏览器查看每个操作中包含的十六进制的数据。

不同函数链上执行数据

为了便于区分，在这里展示普通转账和执行包含十六进制以及approve操作的链上执行数据区别。

普通转账Data数据

代码转账Data数据

恶意授权Data数据

需要说明的是，以上的数据是在解析以后的展示方式，按照下图的选项可以查看原始提交的数据内容。

原始数据查看

演示授权过程

0xeE9E75500741A5936D3884924749b972bF562935这是在BSC公链上新建的地址，使用这个地址作为“诱饵”来执行含有十六进制的转账。0x2f75b95C6B5dE369321e184469691A3FAf92aFC7 这个新建的BSC钱包地址作为模拟“恶意授权”的地址，利用工具得到其十六进制代码为:

0x395093510000000000000000000000002f75b95C6B5dE369321e184469691A3FAf92aFC70fffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff

0x55d398326f99059ff775485246999027b3197955设置为收款地址，数量设置0，高级模式中填入十六进制代码并完成转账。

转账完成也就意味着恶意授权的完成，通过链上的授权记录查看数据，在这里可以看到调用的时间，授权数量和授权的地址，其中地址就是我们上面C7结尾的模拟恶意授权地址。

安全风险提示

由上述案例和数据可以看出，授权执行是通过Data数据的方式发送并调用函数执行的操作，根本上还是使用私钥或助记词的权限对恶意代码进行签名的结果。所以任何主动联系并热心帮助你解决问题的人都可能会心怀鬼胎，请不要相信他们热情的服务，不要按照他们的要求来进行包含有十六进制字符的转账操作。诈骗者从来都是站在与我们资产安全对立面，所以一定要学习区块链知识、了解其工作原理利用掌握的安全和反欺诈知识来更好地保护资产安全。

#Web3 #tp钱包 #TokenPocket #资产安全 #approve

在TokenPocket添加zkSync alpha 测试网络

1、打开TokenPocket，点击右上角位置【添加钱包】，在选择网络界面中点击最底部的【添加自定义网络】。

2、在自定义网络编辑界面中，点击右上角的【便捷入口】，在打开界面顶部填入关键词zkSync，选择第一个自定义网络。

3、点击zkSync alpha testnet 公链后会看到下面的参数提示：点击右下角【确认】即可完成新增自定义网络的操作。

4、点击新增网络，可以看到【创建钱包】和【导入钱包】两个选项，可以根据自己的实际需求来创建或导入zkSync alpha testnet 公链钱包。

除了常规的【创建和导入钱包】，还可以使用TokenPocket的钱包同步功能来快速完成其他EVM公链的同步操作，方法如下：

打开TokenPocket，点击蓝色卡牌的右上角【详情】

选择【钱包同步】，在钱包同步界面中下拉找到需要同步的公链后勾选，然后点击【开始同步】即可完成钱包同步的操作。

#Web3 #TokenPocket #zksync #自定义网络

大家心心念念的ARB Token空投要来了。下面带您快速的查看下自己参与过的地址是否有领取资格。

空投规则:

https://docs.arbitrum.foundation/airdrop-eligibility-distribution

空投资产查验教程：

1、打开http://gov.arbitrum.foundation/

2、弹出的界面中点击TokenPocket调用TokenPocket插件钱包。

3、在钱包地址选择界面中，找到自己可能符合空投资格的地址并点击【确认】连接。

4、连接成功后，点击【CHECK ELIGIBILITY】来查看是否符合空投资格。

5、点击后就会看到结果，例如我的地址符合其中的5项要求，空投地址的数量是5250，符合要求的项目越多，那么得到的空投数量也就越多。右下角是【申请代表】和【查看发展的旅程】内容，感兴趣的可以点击查看。

#arbitrum #Web3 #tp钱包 #TokenPocket

声明：本教程无投资建议

如何在TokenPocket添加自定义网络1、打开TokenPocket，点击右上角位置【添加钱包】，在选择网络界面中点击最底部的【添加自定义网络】。

2、在自定义网络编辑界面中，点击右上角的【便捷入口】，在打开界面顶部填入关键词FIL，选择正确的公链。

3、点击Filecoin 公链后会看到下图中的参数提示，点击右下角【确认】即可完成新增自定义网络的操作；添加完成后，可以在选择列表最后一位看到新添加的Filecoin公链。

4、点击新增网络，可以看到【创建钱包】和【导入钱包】两个选项，可以根据自己的实际需求来创建或导入Filecoin公链钱包。

除了常规的【创建和导入钱包】，还可以使用TokenPocket的钱包同步功能来快速完成其他EVM公链的同步操作，方法如下：●打开TokenPocket，点击蓝色卡牌的右上角【详情】

●选择【钱包同步】，在钱包同步界面中下拉找到需要同步的公链后勾选，然后点击【开始同步】即可完成钱包同步的操作。

#filecoin #TokenPocket #Web3 #自定义网络 #添加公链

恶意授权是通过Approve操作给某个Token授权在一定数量范围内可以调用的权限，通常会盗取授权Token的所有余额。那么如果一个普通的地址没有执行过Approve操作是否也可以被调用呢？

近期越来越多的用户反馈，在自己的USDT转账列表中会看到有0USDT被转出的记录，如下图：

看到自己的地址被调用转出0资产，第一反应会认为自己可能会有被恶意授权的风险，于是打开权限检测工具或浏览器查看自己的授权记录。

在授权列表中发现了一条授权记录，但是在右侧发现【已取消】的提示，点击箭头查看授权和取消的记录。

授权变更记录中的内容是空白的，这个时候用户彻底陷入迷茫中。

别担心!让我们一起来还原这一操作。

1.打开波场浏览器，找到USDT合约地址，点击【合约】--【编写合约】--【transferFrom】

2.在这里分别填入发送地址、接收地址和数量，然后点击【Send】利用插件钱包完成签名后就可以看到底部绿色的【true】说明执行成功。如果这里的数量设置其他，那么会提示已发送的内容，但是因为对方并没有可以调用的数量，所以无法执行成功。这里消耗的TRX由对方来买单。

3.执行成功后，我们继续查看这个地址的授权信息，果然是又增加了一条空白的记录。

到这里，相信大家应该对这种问题发生的原因有了充分了解，说明任何地址都可以被拿来调用，只是这种方法是徒劳的，它并不会让我们的资产有任何的风险，但他们的最终目的还是想让你使用错误的地址来触发误转账来谋取利益。和模拟相同尾号地址诈骗属于互补的一种骗局方式。

这种调用在其他EVM链上同样适用，之前的高仿尾号地址诈骗方式是主动转入的方式，现在的这种调用是一个转出的方式，对于触发误操作的迷惑性会更强。骗子的骗术更新很快，大家要多注意防范。

针对大家比较疑惑的几个问题进行解读：

1.为什么我的资产会被调用。

这种是直接通过USDT的 TransferFrom 功能执行操作，任何地址都可以在这里被调用并在钱包中生成一个记录，在授权记录中生成一个空白的记录。

2.出现这种情况，我的资产还安全吗。

这种操作目的就是为了模拟从用户地址转出的记录，结合伪装地址的方式来诱导用户误操作进行转账，它并不能对你的资产产生任何风险，但是请一定要注意这种可能误操作的执行。

3.钱包为什么不采取措施。

这是一种新出现的辅助诈骗的方式，利用了正常的机制来执行的操作，所以暂时钱包中还没有进行太多优化，不过这个问题TokenPocket会在接下来进行优化。

#TokenPocket #Web3 #资产安全 #区块链骗局 #反诈骗

“我有钱包密码和钱包地址，怎么登录我的钱包呢？”

如果你现在还有这种疑问，就证明还没有真正明白钱包密码和私钥/助记词在去中心化钱包中所扮演的角色。

为什么不能导入钱包密码恢复钱包资产的控制权

钱包密码主要用于对私钥信息进行加密，例如在转账或其他上链操作时需要输入密码；用私钥/助记词导入钱包时，必须设置钱包密码。密码可以在钱包中进行修改或重置，如果原密码忘记，可以用私钥或是助记词导入钱包，设置新的密码。

对于TokenPocket等去中心化钱包来说，私钥/助记词才是控制链上资产的唯一凭证，但钱包密码不是。钱包中设置的密码仅作为钱包的安全保护作用，TokenPocket并不会保存您的密码，也无法帮您找回密码，所以请务必牢记好密码。

如果您还没备份好私钥助记词，请马上行动起来！

钱包私钥/助记词的重要性

私钥/助记词对于去中心化钱包用户来说，非常重要！持有钱包私钥和助记词的用户完全掌握自己的资产。所有操作都在区块链上进行，执行记录透明可查，一切均无法篡改且不可逆。但是，如果您遗失了钱包私钥和助记词，也就意味着您不再拥有该钱包资产的控制权，链上资产也无法找回。除非您能找回钱包的私钥/助记词，否则没有人能帮您恢复资产。

如何保存钱包私钥或助记词

1.备份好私钥或助记词并保存在安全的地方或用KeyPal助记词密盒记录保存；

2.不截屏或者拍照保存私钥助记词；

3.不要将您的钱包私钥或助记词上传到网络；

4.不要和任何人分享您的钱包私钥或助记词。

如何导出钱包私钥或助记词

打开TokenPocket资产页面 > 详情 > 导出助记词/私钥

#Web3 #TokenPocket #资产安全 #crypto2023

多签钱包概念

Multi-Sig表示多重签名，而多重签名是一种特定类型的数字签名，而此类型的签名将允许两个以上用户作为一组来进行签名。因此，多重签名则通过多个单一签名的组合来产生。

举例来说，想像有一个拥有两把锁和两把钥匙的保险箱，一把钥匙由A持有，另一把则由B掌管。打开此保险箱的唯一办法就是A和B两个人同时提供钥匙开锁。如果你只有其中一把钥匙，是无法打开这个保险箱的。

通俗来讲，就是把该钱包地址的资产控制权分到2个以上的人的手上，能够帮助用户更好的保护自己的钱包资产。

适用场景

1.需要多人管理资产，避免资产被个人挪用；

2.资产多签管理，增强资产安全性；

3.其他安全应用场景。

多签钱包创建

1、打开TokenPocket，首次使用点击【我没有钱包】，选择【多签钱包】进行创建。

已经使用TokenPocket创建或导入过钱包的用户可以打开钱包后点击右上角第一个图标，添加多签钱包。

2、在多签网络中选择需要创建多签的网络，例如这里选择币安智能链，请认真阅读【多签创建流程】中的提示内容，阅读完成后点击下一步。

3、多签钱包创建的步骤是最核心的内容，下图中将每一个类型的内容进行了展示，内容如下: 

【多签钱包名】和日常创建钱包名一样，可以自定义设置，并不会上链。

【设置管理钱包】设置多签钱包的管理钱包，多签钱包由管理钱包共同进行管理和控制，最多支持30个管理钱包设置。管理钱包可以灵活设置，适用于企业或团队资产管理或个人的多元化使用。

【最少确认签名数】设置钱包最低签名数，当满足最低签名数时，即可发起转账、合约交互等链上操作。最小确认签名数建议设置大于2以上的数值，可以兼顾安全与便捷。

【费用信息】该费用属于在链上执行多签钱包创建的网络费用，TokenPocket不会收取任何费用。

【支付钱包】这里可以点击选择钱包中导入的钱包地址进行创建Gas（矿工费）费用的支付。

当一切设置妥当后，点击【确认】即可看到多签钱包创建中的提示，界面中可以点击跳转到BSC区块链浏览器上查看相关创建信息。

4、耐心等待合约部署成功后就完成了多签钱包的创建。点击钱包左上角菜单，在钱包列表中可以非常直观的分辨出多签钱包和单签钱包的区别，在钱包切换中会更加的方便。

5、多签钱包创建成功后，点击蓝色区域右上角【详情】在这里可以查看详情信息，主要有【多签队列】和【多签管理】两个分类。

6、多签队列中会显示生成的多签订单，可以点击并执行订单；多签管理中可以查看【最小确认签名数】、【链上最新Nonce】和【关联钱包】等信息，其中关联钱包就是管理地址，如果有未导入的地址，可以通过点击【导入该钱包】使用私钥或助记词导入。

总结一下，EVM链上的多签钱包就是一个智能合约，创建多签钱包不需要备份助记词或私钥、不需要设置密码、不需要复杂的代码。创建多签钱包的重点是【管理钱包】和【最小确认签名数】的合理设置，只有经过合理的设置才能发挥多签钱包最大程度的安全和便捷。一般常用的多签有 2/3 、3/5等方式， 需根据个人情况进行选择。

多签钱包优势

1.提高钱包安全性

在单签钱包中，决定资产所有权和管理权的私钥仅掌握在个人手中，一旦私钥丢失或持有者遗忘钱包私钥或助记词，那就意味着持有者失去了对该钱包的控制权，与其相关联的资产将丢失。而多签钱包的存在，最大程度降低了单个私钥丢失时的资产损失风险。

多签钱包极大地帮助用户减少了由于私钥丢失或被盗所引起的安全性事件。由于多签钱包是由2个或以上的管理钱包地址控制，即使出现其中一个钱包的私钥泄漏，也无法转移多签地址的钱包资产，这大大降低了资产被盗的风险。

以“2/3”的多签钱包模式为例，在全部3个管理地址中，只要有2个管理地址完成了签名操作就能进行相关资产的转移。即使有1个私钥丢失，还能通过剩下的2个管理地址完成对资产的控制，避免资产损失。

2.多重验证避免错误交互发生

多签钱包还用来进行多重验证避免错误交互发生。银行汇款时，如果银行工作人员或者用户在输入账号时出现错误，交互就会失败，钱会退到原有的账户当中；区块链上已完成的交互是不可逆的，一旦将资产转入到错误收款地址，该笔资产将无法退回。使用多签钱包，当出现某个管理地址发起一笔错误的交互时，其他多签管理者在发现错误时可以通过拒绝签名而阻止该笔错误交互。参与签名验证的人越多，发生错误交互的几率也越低。

#Web3 #TokenPocket #多签钱包 #资产安全

我们日常使用的HD（身份）钱包或多链钱包，通常只可以通过一个公钥进行存储。这意味着，无论是谁，只要获悉了与该公钥匹配的私钥，就能够支配该公钥链上所持有的资产。所以为了解决密钥的问题，多重签名技术应运而生。

今天我们就来讲讲多重签名机制的含义、作用以及意义所在。

多签钱包概念

Multi-Sig表示多重签名，而多重签名是一种特定类型的数字签名，而此类型的签名将允许两个以上用户作为一组来进行签名。因此，多重签名则通过多个单一签名的组合来产生。

举例来说，想像有一个拥有两把锁和两把钥匙的保险箱，一把钥匙由A持有，另一把则由B掌管。打开此保险箱的唯一办法就是A和B两个人同时提供钥匙开锁。如果你只有其中一把钥匙，是无法打开这个保险箱的。

通俗来讲，就是把该钱包地址的资产控制权分到2个以上的人的手上，能够帮助用户更好的保护自己的钱包资产。

名词解释

钱包私钥：用于发送资金和验证交易。去中心化钱包的私钥由用户自己持有，用户有责任保护私钥的安全。

钱包公钥：公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。

钱包地址：它是公钥的散列版本。当用户想要接收资金时，他会向对方透露他的钱包地址。

单签和多签钱包的区别

单签钱包，是目前区块链钱包中最常见的钱包形式。目前大多数人持有的钱包地址，都是单签钱包地址，钱包资产仅由私钥或助记词控制，这就意味着任何人只要持有了对应的私钥就可以控制该笔资金。而这同时也意味着，只需一个密钥就可以签署交易，且任何人只要拥有私钥就可以在不得到任何授权的情况下转移地址中的代币。

相比多签钱包，单签钱包在更加方便管理的同时，也存在更大的风险。也正是因此，不法分子常通过钓鱼网站或冒充客服获取用户单签钱包私钥，盗取用户资产。

多签钱包为这种风险防范提供了解决方案，通过设定多人共同管理一个地址，必须有设定数量的管理者签名同意才能动用地址内的资产，这大大降低了单方面私钥导致的资产被盗的风险。

多签钱包最大的特点是需由多个私钥持有者的授权才能进行钱包交易。通常情况下，多签钱包在创建时便需确认好“m-n模式”，只有这n个私钥中的m个持有者共同签名授权才能完成对该钱包地址所对应的加密货币的转账、交易等操作。

“2-3模式”是多签钱包中最常见的运作模式，即每次交易都需全部3个私钥中的2个进行签名授权才能完成，能够较好地平衡安全性与便捷性之间的关系。

多签钱包的优势

1.提高钱包安全性

在单签钱包中，决定加密货币所有权和管理权的私钥仅掌握在个人手中，一旦私钥丢失或持有者遗忘钱包私钥或助记词，那就意味着持有者失去了对该钱包地址的控制权，与其相关联的加密资产将完全丢失。而多签钱包的存在，最大程度降低了单个私钥丢失时的资产损失风险。

多签钱包极大地帮助用户减少了由于私钥丢失或被盗所引起的安全性事件。由于多签钱包是由2个或以上的钱包地址控制，即使出现其中一个钱包的私钥泄漏，也无法转移多签地址的钱包资产，这大大降低了资产被盗的风险。

以“2-3”的多签钱包模式为例，在全部3个私钥中，只要有2个私钥完成了签名授权操作就能进行相关加密货币的转移。即使有1个私钥丢失，还能通过剩下的2个私钥完成对资产的转移，避免资产损失。

2.多重验证避免错误交易发生

多签钱包还用来进行多重验证避免错误交易发生。银行汇款时，如果银行工作人员或者用户在输入账号的时候出现错误，交易就会失败，钱会退到原有的账户当中；区块链上的交易是不可逆的，一旦将加密资产转入到错误收款地址，该笔资产将无法退回。使用多签钱包，当出现某个私钥所有者发起一笔错误的交易时，其他私钥持有者在发现错误时可以通过拒绝签名而阻止该笔错误交易。参与签名验证的人越多，发生错误交易的可能性也越低。

总结内容

由于多签钱包要求多个签名才能完成资金转移，使得多签名钱包提供了更高的安全性，但是目前用户对多签钱包的认识了解还不够，我们也将持续为用户科普更多区块链知识，帮助用户了解，不断学习！

#Web3 #TokenPocket #多签钱包 #资产安全 #去中心

为什么“零金额”转账记录会出现？

“零金额”转账操作是直接通过USDT合约中的 TransferFrom 功能执行，任何链上地址都可以被调用并在链上中生成一个记录并在钱包中同步，在授权记录中生成一个空白记录。

这种操作目的就是为了模拟从用户地址转出\转出的记录，结合伪装地址小额资产转入的方式来诱导用户错误的复制地址并进行转账。这种调用从本质上它并不能对资产产生任何风险，调用消耗的Gas也会由对方支付。历史记录中的地址复制时要进行完整的地址信息核对，避免发生使用错误收款地址并转账的误操作。

如何隐藏小额记录？

1、打开TokenPocket（安卓1.6.6及以上版本支持隐藏小额记录功能），点击任意Token进入历史记录界面，此处以USDT为例。

2、打开历史记录界面后，可以在底部看到弹出的提示窗口，这里针对功能的入口和作用进行了说明，点击【我知道了】。

点击右边的设置图案（如图），打开【小额隐藏】设置开关，输入您所需要设置的额度，点击【保存修改】即可成功设置。

请注意：设置后，当前网络小于您所输入的小额额度的所有记录将被隐藏，并看到已开启小额过滤功能的提示。

3、设置隐藏小额记录功能成功后，所有小额转账记录将会被隐藏。可以通过下图清楚看到隐藏前后的历史记录对比。

钱包安全功能会根据诈骗的手段不断完善，在此提醒各位用户，进行钱包操作的时候要谨慎，在复制钱包地址进行转账的时候，一定要认真检查核对完整的钱包地址。提高安全和反诈意识，认真的查看钱包中出现的提示信息可以为用户的安全操作提供更多的帮助。

TokenPocket官网：tokenpocket.pro tpwallet.io 请不要通过任何搜索引擎搜索钱包相关关键词，现在充斥着大量的假冒网站和假钱包，请一定不要使用。假钱包会泄露私钥助记词，导致所有资产被盗，请一定认准唯一的官网链接并牢记。

#crypto2023 #Web3 #TokenPocket #骗局 #资产安全

正版钱包下载渠道

近期，在搜索站点上出现大量假冒TokenPocket的下载链接，如果通过这些假链接下载了上面的假钱包，那么假钱包会在用户导入私钥助记词的时候进行拦截和盗取，获取权限后他们可能会直接盗取钱包中的资产，也可能会对钱包进行监控，等待地址中转入大量的资产时马上盗取。

在此提醒各位：不要随意访问和下载钱包，尤其是在搜索站点中；不要使用他人推荐的假安装包，远离假TokenPocket钱包。使用正版钱包才是您资产安全最基础的第一步。

谨记官方网站1. tokenpocket.pro 2. www.tpwallet.io

创建钱包的安全提示

在创建钱包过程中将看到以下安全提示，请您保管并备份好您的钱包助记词，非常建议通过视频内容学习，谨记安全要点，提高钱包安全意识。

导出钱包的安全提示

1.导出私钥的安全提示

为了提高用户钱包安全意识，在您执行私钥导出操作的过程中，请认真学习并勾选安全要点，不要与任何第三方分享您的私钥！

2.导出助记词的安全提示

为了提高用户钱包安全意识，在您执行助记词导出操作的过程中，请认真学习并勾选安全要点，不要与任何第三方分享您的助记词！

转账的安全提示

1.合约地址转账提示

为了避免用户往Token合约地址转账，当您在转账过程中将合约地址设置为收款地址时，TokenPocket将会显示如下图中的内容，请一定认真查看钱包中的安全提示信息。

请注意，智能合约是由一个地址和该地址对应存储的代码构成的。例如在以太坊上发ERC20的Token，本质上就是创建了一个Token的智能合约，智能合约的代码决定了这个地址里的Token的所有内容。智能合约通常没有私钥，一旦转入合约地址，则有可能再也无法转出。

温馨提示，TokenPocket支持多签地址转账，当您往多签地址转账时，也会出现这个提示，是因为多签钱包地址本身就是一个智能合约地址，因此，多签钱包地址如果作为收款地址，那么可以正常收到转账的资产。

2.不同网络地址转账提示

以EVM兼容链为例，当您在转账过程中，将非EVM兼容链钱包地址设置为收款地址时，TokenPocket将会进行以下安全提示。

请注意，不同网络之间不能互相直接转账，如果收款地址都是EVM兼容链地址，可以通过将接收钱包地址的私钥助记词导入至发送方网络。例如 ETH、HECO、BSC、OKC等公链都是 EVM 兼容链，虽然其地址格式相同，但是这些地址的Token是不能直接进行转账的。

但由于这些公链属于EVM兼容链，所以他们的私钥或助记词可以互相导入。例如BSC链的Token转到了ETH链的收款地址，那么只需要把ETH链的私钥或助记词在安全的环境下导入BSC钱包就能成功找回。

3.风险地址转账提示

TokenPocket针对诈骗钱包地址进行本地化的风险标记，当您在输入收款地址后出现以下风险提示，请马上停止转账操作，注意资产安全！（仅限于TokenPocket用户可以查看到风险标记）

4.多签地址提示

针对波场多签钱包骗局，TokenPocket进行了特别安全提示。当钱包转账过程中出现以下提示时，则您的签名权限被修改，是一个多签钱包（或权限被替换）。

同时，针对波场多签钱包，当您把私钥或助记词导入到钱包中时，TokenPocket也提供了以下安全提示弹窗。

请注意，当看到以上弹窗或安全提示时（观察钱包出现提示属于正常现象），请根据提示分析是否遇到骗局，并立即弃用当前钱包。

5.转账地址复制提示

“0金额”转账以及“伪装地址”骗局很容易会让有用户发生错误转账的情况，为了提醒用户错误复制收款地址，TokenPocket增加了以下安全提示，请在转账前务必仔细核对完整的收款地址是否正确。

建议经常有的资金往来业务的用户，在转账的时候核对好收款地址，对收款地址做一个完整的验证；其次，使用钱包地址簿转账的功能，将日常使用的钱包地址在通讯录中收录，转账时直接通过地址薄选择地址即可。

使用DApp的安全提示

1.进入DApp提示

在TokenPocket钱包内，当您使用DApp浏览器打开第三方链接时，会弹出以下安全提示，来强调使用DApp的注意事项并展示了常见骗局的科普。

请注意，不要进入任何来历不明的第三方网站，不要相信任何自称高收益的项目。TokenPocket仅作为钱包工具使用，所有第三方DApp都不属于TokenPocket，同时这些DApp都是由项目方控制，请您在使用前务必了解DApp的安全性！

2.进入风险DApp提示

TokenPocket将会对风险网站及被投诉网站进行本地化提示功能，当您打开某DApp出现以下安全提示时，请停止所有操作，并退出该网站。

3.关于授权的安全提示

为了避免用户随意授权，在您执行授权操作前，请您务必了解弹窗内的安全知识，并确认勾选以下安全提示。

请您不要参与来路不明的DApp，不要参与没有开源的DApp，不要参与没有审计报告的DApp，不要参与匿名团队的DApp，不要轻信社区传播的任何项目。

Token的安全提示

为了帮助用户识别“貔貅”或“假Token”等安全风险，TokenPocket针对此类token进行本地化风险标记，如您在资产页面看到图中的风险提示，请马上停止任何操作，并主动删除该资产！

安全检测工具介绍

Token安全检测工具

在DEX中完成Token流通是日常中经常使用的一个功能，因为Token流通平台去中心化的开放性，可以允许任何人或者团队上线不同类型的Token，在这个过程中有些诈骗份子就会在合约中做手脚，例如无法流通（貔貅）、有增发功能、有隐藏Owner权限等非正常功能。这个时候就需要用到Token合约安全检测工具，虽然工具的检测无法保证百分之百的准确，但是它可以在很大程度上排除一些风险，选择更安全的Token进行流通。

钱包地址授权检测工具

Approve即授权。它允许持有 Token 的用户，通过调用 Approve 方法，授权给指定账户一定额度，赋予该账户自由支配额度内 Token 的权力。如果授权给恶意账户，那么授权资产就会被全部盗取而无需告知。

因为Approve是日常和DApp交互中一种非常常见的操作，所以我们需要定期的对授权的历史记录进行管理，在执行授权的时候要对授权的数量进行合理设置。如果检测到不再需要交互的合约地址就看可以通过授权检测工具进行清理。

本期安全知识科普为各位TokenPocket用户归纳整理了目前钱包内最重要的几个钱包安全提示，在帮助用户提高资产安全意识的同时，也希望各位用户能够认真，仔细地阅读钱包内的所有安全提示，保护钱包资产安全！

#TokenPocket #资产安全 #tp钱包 #Web3

近期有部分社区用户反馈波场钱包被莫名的执行了多签，导致Token无法操作。针对这类问题我们整理了本次的波场多签的相关科普，希望可以帮助用户了解波场多签的原理，认识到恶意更改权限的危害，更好的保护资产安全。

波场多签场景

根据和用户的沟通及相关数据的验证，得到了以下几种可能会导致多签的场景。

1、自己设置了多签，需要自己管理地址执行签名；

2、使用假钱包导致私钥助记词泄露，被对方获取后设置多签；

3、网络获取的私钥助记词导入钱包，该地址已经被多签；

4、执行了第三方恶意链接，并且签名完成了更改权限操作。

一句话总结：

波场钱包地址创建后是默认的单权重设置，可以执行任何的链上操作，如果地址被多签，一定是因为私钥或助记词的泄露或执行恶意链接导致的权限变更。

波场多签简介

波场（TRON）的多重签名机制是一种安全措施，通过设置阈值和权重来限制特定的操作，只能在多个签名方的共同确认下才能执行。

在波场多签机制中，阈值是指多少个签名方需要确认才能执行特定的操作。例如阈值为 2，那么在执行特定操作时至少需要签名方权重大于等于阈值才进行确认。阈值可以在多签合约中进行设置，根据具体需求进行调整。

权重是指每个签名方的权重大小，它可以决定每个签名方在多签操作中所占比例。例如，如果设置了阈值为2，两个签名方权重为 1，那么在执行特定操作时，需要两个拥有权重为 1 的签名方的确认才可以生效。权重的设置需要在合约中进行设置，并且必须满足所有签名方权重之和大于等于总权重的要求。

一句话总结：

通过设置阈值和权重，波场多签机制可以提高合约的安全性，防止合约被未经授权的操作所篡改或者被攻击者利用进行恶意操作。

波场多签骗局

波场的更改权限和Approve（授权）是有区别的，授权后影响的只有授权过的这个Token；而更改权限则会导致波场地址权限的变更，从而失去了对地址的管理权限。

波场恶意的更改权限，多发生于一些使用TRC20充值的过程中，例如以很低的价格购买加油卡、礼品卡、使用一些验证码平台充值等途径。根本上就是利用了人们贪图便宜的心态进行布局，当用户使用他们提供的链接进行充值时，就会调用恶意更改权限的代码，当用户确认并输入密码签名后，地址的权限便发生了变更。

下面的是一个典型的恶意更改权限的案例。

用户通过某种渠道得到了第三方链接，通过恶意链接的充值入口跳转到钱包中打开界面（如下图）。收款地址填写的是Token的合约地址，点击立即支付，提示不要复制地址进行转账，这个是骗子为了防止用户自行复制地址绕过恶意代码执行转账的“友情提示”。

点击确认后弹出详情界面，在下图中通过三个箭头所示的位置提示正在进行的操作以及操作后可能带来的风险。点击第二个箭头位置，可以查看更改权限的作用和风险，如果无视风险提示并执行了操作，就会导致恶意更改权限。这时再进行转账就会看到错误的提示信息，实际上已经失去了对改地址的控制权。

一句话总结：

多签设置的初衷是为了更好的保护用户资产，但是被骗子精心利用后会成为其盗取资产的工具。所以请一定要认真查看钱包中出现的每一个提示，这些内容都是经过大量考证后才会添加的信息，适用于绝大多数用户。

多签骗局防范

TokenPocket很早就支持了波场更改权限操作的预警提示，只需要认真的查看钱包中出现的提示信息就可以绕过大多数的骗局。同时请不要相信网络上虚假宣传的各类礼品卡、加油卡、验证码等网站，更不要参与他们的充值，尤其是提供充值跳转服务的链接。正常的充值类服务，只需要使用对方的收款地址转账就可以完成操作。

一句话总结：

如果遇到类似的诈骗链接，请发送到我们的邮箱：service@tokenpocket.pro 进行举报，我们验证后会对链接进行本地化处理，防止更多TokenPocket用户上当受骗。

#Web3 #tron #TokenPocket #tp钱包 #资产安全

区块链概念现在已经被更多人群所了解，其中基于区块链的数字钱包已成为人们了解和参与区块链生态的主要方式。人们已经习惯于中心化的数据处理方式，而这种思维性和习惯性都可能会给自己的资产安全带来巨大风险。如最基础的下载和使用一款正版的数字钱包就可能会成为新手上路中的“绊脚石”，因为假钱包网站和假钱包现在已经大量的出现在网络中。

本期文章将从概念阐述、用户使用习惯、思维方式分析；假网站、假钱包的识别和防范等方面进行总结。

什么是区块链

区块链是一种分布式账本技术，具有以下几个特点：

去中心化：区块链是由分布在网络上的节点共同维护和管理的，没有机构或个人控制和管理。这种去中心化的特点使得区块链更加安全、透明和公正。

不可篡改性：区块链上的每一笔数据都被记录在一个区块中，而这些区块都是通过加密算法相互链接起来的，因此一旦记录在区块链上的操作被确认，就不可能被篡改或删除，保证了数据的真实性和完整性。

透明性：由于区块链是公开的、去中心化的账本，每个参与者都可以在网络上查看所有执行记录，确保了数据的透明性和公正性。

高安全性：区块链采用了复杂的密码学算法来确保数据的安全性和隐私保护，同时去中心化的特点也使得区块链更加难以被攻击或篡改。

可编程性：区块链可以通过智能合约实现自动化的执行和操作，具有高度的可编程性，可以满足不同场景下的需求。

中心化和去中心化服务

中心化服务：

是指由一家或多家机构或个人掌控和管理的服务，这些机构或个人拥有决策权、管理权和控制权，用户需要向它们提供个人信息、信用评估等信息才能使用这些服务。中心化服务通常是由一些大型机构或公司提供，如社交媒体平台、电子商务平台、在线支付平台等。

去中心化服务：

去中心化服务是指在不需要机构或个人掌控和管理的情况下，通过分布式网络和协议来提供服务的一种形式。这些服务通常由分布式网络中的节点和用户协同完成，不依赖于机构的控制和管理。去中心化服务的典型应用是区块链技术领域。

去中心化更不容易遭受攻击和控制，它们具有更高的灵活性和可定制性。去中心化服务通常是透明的，用户可以实时地查看服务的状态和运行情况，从而获得更多的信任和支持。

中心化思维的风险

中心化思维是一种集中式的思维方式，会把安全控制和管理的重点放在机构或个人身上。相反，去中心化思维是一种分散式的思维方式，会把安全和可信度放在第一位，追求分布式的架构和自治，可以更加安全和可信。

如果使用中心化思维方式来使用去中心化自托管钱包，那么主观上会认为资产是在钱包中被保存和管理，只要不泄露自己的密码别人就无法控制自己的资产。所以在选择使用钱包的时候比较随意，使用搜索到的链接或他人发送的安装包安装，当使用假钱包后，就会导致自己导入或创建的助记词、私钥泄露，最终导致资产丢失。

区块链特有的匿名性和不可篡改性，链上执行成功后的结果就变得无法干涉，并且任何人都无法冻结盗取人的链上地址或资产。所以，去中心化自托管钱包的使用必须要通过官网或者安全统一的平台，例如App Store或Google Play，其他所有搜索平台中的结果都不可信。

假官网骗局

假网站的出现主要是因为欺诈分子利用互联网技术进行官网的模板和素材进行套用，使用户误认为他们是正规的钱包网站。他们还会利用网站排名优化等方式使网站在搜索引擎中提高可见度和排名，从而吸引更多的访问流量和潜在客户。假网站是用户下载假钱包的主要途径，所以诈骗分子会在假网站做足文章。以下是某主流搜索工具对关键词“TP钱包”的搜索结果。

如此庞大的假链接数据，用户访问使用其中任意一个假钱包，都会带来资产的损失。

假钱包骗局

假钱包是诈骗分子通过对apk或 ipa进行反编译，加入对钱包创建或导入的私钥、助记词数据上传功能，重新打包后分发到假网站中提供下载。一旦用户下载使用假钱包导入私钥、助记词等内容，这些数据会自动同步到诈骗分子服务器中，从而盗取用户资产或对用户资产进行监控，最终导致用户的资产损失。以下是假网站中提供的假钱包安装后多客户端的展示。

正版的安卓钱包无论是官网版或Google Play版只能在钱包中存在一个客户端，所以如果发现手机中可以多个客户端共存，那么说明是遇到了假钱包。

正版的iOS钱包，只能通过App Store平台下载，请核对好钱包名称：TP Wallet，开发者：【TP Global Ltd】。

钱包版本号可以在官网的下载界面中查看，如果有任何高于官方版本的客户端，那么肯定会是假钱包，极个别会有如1.3.7版本的假钱包，这些钱包的验证可以通过安装包哈希值验证教程来验证。

如何避免假官网和假钱包

正版钱包的使用需要通过官网：www.tokenpocket.pro  和  www.tpwallet.io ，或通过App Store或Google Play中下载。不要使用搜索平台所提供的网站和安装包，也不要相信任何主动私聊你并发送假链接或假钱包安装包的人。

在使用正版钱包的前提下，做好私钥助记词的离线备份和保管，做好授权防护，不要随意使用第三方来路不明的链接和授权，转账过程中要对收款地址和额度进行认真核对。除此之外，TokenPocket还支持冷钱包、多签钱包和硬件钱包，适用于不同场景，都可以让资产得到更好的保护。

资产安全的几种因素

在使用去中心化自托管钱包时，影响资产安全的风险主要集中在以下三种途径：

第一，私钥助记词泄露问题。例如使用假钱包、假客服诱导骗取、参与钓鱼网站、个人保管问题（将私钥、助记词联网存放，如聊天工具收藏夹，相册，云端的网盘等渠道），这些都是有可能会引起泄露问题发生；

第二，恶意授权类的问题（验证码网站、购买礼品卡、虚假活动链接、虚假空投、二维码扫码等近百种骗局）；

第三，“零金额”、“相同地址尾号”等比较“低级”的骗局，利用粗心大意复制错误的收款地址并进行转账。

所以在日常使用中，我们根据上述风险因素进行相关知识的补充和学习，认真查看好钱包里出现的每一个提示信息，增强反诈骗意识才可以让自己的资产有更好的安全保证。

#Web3 #TokenPocket #资产安全 #反诈骗 #新手上路