近日EOS被盗事件频起,作为EOS中文治理社区的EMAC,截止2018年7月8日,已接到六起报告丢失EOS 的案件,丢失的EOS数量从几十到几十万个不等。本期主要回顾近日EOS被盗事件,并进行分析总结,希望让大家意识到数字货币私钥安全的重要性,保护好自身的资产。
注:EMAC是EOS中文治理社区的缩写。主要职能是有关治理的培训和交流;华语事件的了解和跟踪;与海外社区的沟通。
事件回顾
part.1
黑客承诺帮助账户sunmoke12345的受害者创建EOS帐户。然后,EOS帐户的owner/active权限被修改,如图中浏览器显示的,出现两对owner/active权限(图为修改前+修改后)。
part.2
一位微信名“红尘”的EOS投资者通过https://eostea.githubio/eos-generate-key/ 生成了公私钥对,然后委托微信名叫:null (微信号: smilezx1ng) 帮忙代注册。
注册成功后,通过链上数据分析发现: active和owner权限使用了不同的公钥,其中active权限对应的公钥是受害人自己生成并提供给null的,而owner权限的公钥并非受害人所有,之后受害人被修改权限,丢失14869个EOS。
part.3
baosange1212的创建者通过Tp钱包手机页面创建Tp钱包账号,随后在Tp钱包手机页面上提供的Eostea上空格无内容助记词生成了私钥和公钥,这导致空格助记词生成的私钥公钥全部是一样。先后有8个Tp用户跟此用户同样操作、导致8个用户和他共享公钥,私钥重复意味着自己的资产别人也有权限控制,之后此用户9722个Eos在第二天就被转移到“cceecceeccee”地址。
被盗分析&建议
part.1
分析:
事件一二的主要原因是让陌生人帮助注册账号,由于注册账号需要已经存在的账号帮忙抵押内存,所以最近常见的钓鱼手法就是帮忙注册账号。
这就意味着可能将Owner、Active权限掌握在他人的手上,这相当于把你的资产拱手献上。
更高深的套路是对方会让用户自己生成公钥和私钥,并且只需要用户提供公钥。但是由于EOS账号有两把私钥(关于两把私钥,想要了解更多请点击链接:EOS账号有两把私钥,你造吗?),对方把用户提供的公钥设置为Active权限公钥,把自己的公钥偷偷设置为Owner权限公钥,等用户向这个账号里转入EOS资产后,对方就用自己控制的Owner权限来控制用户的账户,转移EOS资产。
建议:
这里建议小伙伴切忌让陌生人帮忙注册账号,使用EOS帐户创建服务的人务必使用受信任的进程或接口。在账号注册之后仔细检查Owner权限 和 Active 权限的公钥,小伙伴可以在EOS区块链浏览器https://eospark.com/中通过用户名查询。
part.2
分析:
事件三主要是因为用户使用空助记词或较弱的助记词组合生成的私钥,很容易遭受“彩虹”攻击。
据IMEOS了解,近日区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合,而通过这种方式生成的秘钥很容易存在“彩虹”攻击,进而导致账户数字资产被盗。
相关钱包中利用空白助记词生成私钥的功能选项目前也已经关闭,各方都在积极自查,希望可以早日厘清问题原因。
建议:
大家可以在这里检测自己的账号是否安全:https://peckshield.com/eosrescuer
针对此安全威胁,为了帮助用户减少可能的经济损失,PeckShield安全人员定制了一套危机解决方案:
1、披露因助记词使用问题导致的资产被盗漏洞细节,并呼吁EOS社区用户加强安全防范,避免使用空助记词或较弱的助记词组合;
2、启用EOSRescuer(peckshield.com/eosrescuer)公共查询服务,用户可一键查阅自己的账号是否存在安全风险;
3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户,受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害,PeckShield会将上述安全账户的所有记录透明公开,并接受第三方媒体的监督。注:用户认领时需提供EOS账户所有权的证明,包括必要的交易记录等。
part.3
分析:
除了上述被盗原因之外,还有各种各样的原因,私钥不明原因丢失、私钥忘记、丢失和转错账户…………大部分的原因皆跟私钥有关。
建议:
保护资产的第一步是用户需要提升私钥安全意识,了解更多关于Owner、Active权限的知识,妥善保存好两种权限的私钥,最好的办法是用纸和笔抄写下来。
私钥被盗将会成为过去时
值得一喜的是,7月17日,BM 在治理群发表实现更高级别治理的一些必要条件,BM 表示私钥被盗将会成为过去时,和治理范围之外的事。
EOS生态的完善不是一朝一夕的事情,但将会越来越好,无数的社区置身其中为建设生态而努力。除了上述所提到的EMAC解决了一些被盗事件之外,ECAF(核心仲裁论坛)同样解决了不少偷盗事件,MORE.TOP同样致力于资产安全,是市面上首个采用双私钥模式的钱包。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/149846.html<
