EOS被盗事件频起 有一份安全攻略供你食用

近日EOS被盗事件频起,作为EOS中文治理社区的EMAC,截止2018年7月8日,已接到六起报告丢失EOS 的案件,丢失的EOS数量从几十到几十万个不等。本期主要回顾近日EOS被盗事件,并进行分析总结,希望让大家意识到数字货币私钥安全的重要性,保护好自身的资产。

注:EMAC是EOS中文治理社区的缩写。主要职能是有关治理的培训和交流;华语事件的了解和跟踪;与海外社区的沟通。

事件回顾

part.1

黑客承诺帮助账户sunmoke12345的受害者创建EOS帐户。然后,EOS帐户的owner/active权限被修改,如图中浏览器显示的,出现两对owner/active权限(图为修改前+修改后)。

part.2

一位微信名“红尘”的EOS投资者通过https://eostea.githubio/eos-generate-key/ 生成了公私钥对,然后委托微信名叫:null (微信号: smilezx1ng) 帮忙代注册。

注册成功后,通过链上数据分析发现: active和owner权限使用了不同的公钥,其中active权限对应的公钥是受害人自己生成并提供给null的,而owner权限的公钥并非受害人所有,之后受害人被修改权限,丢失14869个EOS。

part.3

baosange1212的创建者通过Tp钱包手机页面创建Tp钱包账号,随后在Tp钱包手机页面上提供的Eostea上空格无内容助记词生成了私钥和公钥,这导致空格助记词生成的私钥公钥全部是一样。先后有8个Tp用户跟此用户同样操作、导致8个用户和他共享公钥,私钥重复意味着自己的资产别人也有权限控制,之后此用户9722个Eos在第二天就被转移到“cceecceeccee”地址。

被盗分析&建议

part.1

分析:

事件一二的主要原因是让陌生人帮助注册账号,由于注册账号需要已经存在的账号帮忙抵押内存,所以最近常见的钓鱼手法就是帮忙注册账号。

这就意味着可能将Owner、Active权限掌握在他人的手上,这相当于把你的资产拱手献上。

更高深的套路是对方会让用户自己生成公钥和私钥,并且只需要用户提供公钥。但是由于EOS账号有两把私钥(关于两把私钥,想要了解更多请点击链接:EOS账号有两把私钥,你造吗?),对方把用户提供的公钥设置为Active权限公钥,把自己的公钥偷偷设置为Owner权限公钥,等用户向这个账号里转入EOS资产后,对方就用自己控制的Owner权限来控制用户的账户,转移EOS资产。

建议:

这里建议小伙伴切忌让陌生人帮忙注册账号,使用EOS帐户创建服务的人务必使用受信任的进程或接口。在账号注册之后仔细检查Owner权限 和 Active 权限的公钥,小伙伴可以在EOS区块链浏览器https://eospark.com/中通过用户名查询。

part.2

分析:

事件三主要是因为用户使用空助记词或较弱的助记词组合生成的私钥,很容易遭受“彩虹”攻击。

据IMEOS了解,近日区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合,而通过这种方式生成的秘钥很容易存在“彩虹”攻击,进而导致账户数字资产被盗。

相关钱包中利用空白助记词生成私钥的功能选项目前也已经关闭,各方都在积极自查,希望可以早日厘清问题原因。

建议:

大家可以在这里检测自己的账号是否安全:https://peckshield.com/eosrescuer

针对此安全威胁,为了帮助用户减少可能的经济损失,PeckShield安全人员定制了一套危机解决方案:

1、披露因助记词使用问题导致的资产被盗漏洞细节,并呼吁EOS社区用户加强安全防范,避免使用空助记词或较弱的助记词组合;

2、启用EOSRescuer(peckshield.com/eosrescuer)公共查询服务,用户可一键查阅自己的账号是否存在安全风险;

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户,受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害,PeckShield会将上述安全账户的所有记录透明公开,并接受第三方媒体的监督。注:用户认领时需提供EOS账户所有权的证明,包括必要的交易记录等。

part.3

分析:

除了上述被盗原因之外,还有各种各样的原因,私钥不明原因丢失、私钥忘记、丢失和转错账户…………大部分的原因皆跟私钥有关。

建议:

保护资产的第一步是用户需要提升私钥安全意识,了解更多关于Owner、Active权限的知识,妥善保存好两种权限的私钥,最好的办法是用纸和笔抄写下来。

私钥被盗将会成为过去时

值得一喜的是,7月17日,BM 在治理群发表实现更高级别治理的一些必要条件,BM 表示私钥被盗将会成为过去时,和治理范围之外的事。

EOS生态的完善不是一朝一夕的事情,但将会越来越好,无数的社区置身其中为建设生态而努力。除了上述所提到的EMAC解决了一些被盗事件之外,ECAF(核心仲裁论坛)同样解决了不少偷盗事件,MORE.TOP同样致力于资产安全,是市面上首个采用双私钥模式的钱包。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/149846.html<

(0)
管理的头像管理
上一篇2025-03-12 19:33
下一篇 2025-03-12 19:35

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注