imToken通用版安全漏洞曝光？三步紧急修复指南

前些日子，imToken通用版忽然冒出授权签名漏洞，黑客凭借此漏洞，巧妙运用假通知来诱导用户签署恶意合约，进而导致资产被盗。其核心问题是，交易构造逻辑对域名验证不够严谨，这致使用户很容易把真假请求弄混。在此特此提醒，要马上升级到最新版本，并且万万不要点击可疑弹窗。

之所以存在漏洞，根源在于钱包内置的浏览器没能对 DApp 域名权限做出有效的隔离，如此一来imToken通用版中的安全漏洞与修复方案，恶意网站获取到了伪造转账签名页面的机会。面对这种状况，建议开启“每笔交易二次确认”功能用于保障安全，并且在“钱包安全中心”把“自动加载未知代币”功能关闭，凭借这种方式切断攻击路径，从而实现对钱包安全的保障。

应急修复办法：在升级到v2.15加上的版本之后，要进入 “授权管理” 的界面imToken通用版安全漏洞曝光？三步紧急修复指南，把所有可疑的合约授权给撤销掉。对应大额的资产，要转到硬件的钱包或者新建独立的地址去妥善进行保管。与此同时，建议每周对授权的列表开展检查，能够运用Revoke工具去清理其中所存在的风险。

你检查过授权列表吗？