首页 首页 云计算 查看内容

EOS被盗事件频起 有一份安全攻略供你食用

木马童年 2019-9-18 10:10 113 0

近日EOS被盗事件频起,作为EOS中文治理社区的EMAC,截止2018年7月8日,已接到六起报告丢失EOS 的案件,丢失的EOS数量从几十到几十万个不等。本期主要回顾近日EOS被盗事件,并进行分析总结,希望让大家意识到数字货币 ...

近日EOS被盗事件频起,作为EOS中文治理社区的EMAC,截止2018年7月8日,已接到六起报告丢失EOS 的案件,丢失的EOS数量从几十到几十万个不等。本期主要回顾近日EOS被盗事件,并进行分析总结,希望让大家意识到数字货币私钥安全的重要性,保护好自身的资产。

注:EMAC是EOS中文治理社区的缩写。主要职能是有关治理的培训和交流;华语事件的了解和跟踪;与海外社区的沟通。

EOS被盗事件频起 有一份安全攻略供你食用

事件回顾

part.1

黑客承诺帮助账户sunmoke12345的受害者创建EOS帐户。然后,EOS帐户的owner/active权限被修改,如图中浏览器显示的,出现两对owner/active权限(图为修改前+修改后)。

EOS被盗事件频起 有一份安全攻略供你食用

part.2

一位微信名红尘的EOS投资者通过https://eostea.githubio/eos-generate-key/ 生成了公私钥对,然后委托微信名叫:null 帮忙代注册。

注册成功后,通过链上数据分析发现: active和owner权限使用了不同的公钥,其中active权限对应的公钥是受害人自己生成并提供给null的,而owner权限的公钥并非受害人所有,之后受害人被修改权限,丢失14869个EOS。

part.3

baosange1212的创建者通过Tp钱包手机页面创建Tp钱包账号,随后在Tp钱包手机页面上提供的Eostea上空格无内容助记词生成了私钥和公钥,这导致空格助记词生成的私钥公钥全部是一样。先后有8个Tp用户跟此用户同样操作、导致8个用户和他共享公钥,私钥重复意味着自己的资产别人也有权限控制,之后此用户9722个Eos在第二天就被转移到cceecceeccee地址。

被盗分析&建议

part.1

分析:

事件一二的主要原因是让陌生人帮助注册账号,由于注册账号需要已经存在的账号帮忙抵押内存,所以最近常见的钓鱼手法就是帮忙注册账号。

这就意味着可能将Owner、Active权限掌握在他人的手上,这相当于把你的资产拱手献上。

更高深的套路是对方会让用户自己生成公钥和私钥,并且只需要用户提供公钥。但是由于EOS账号有两把私钥(关于两把私钥,想要了解更多请点击链接:EOS账号有两把私钥,你造吗?),对方把用户提供的公钥设置为Active权限公钥,把自己的公钥偷偷设置为Owner权限公钥,等用户向这个账号里转入EOS资产后,对方就用自己控制的Owner权限来控制用户的账户,转移EOS资产。

建议:

这里建议小伙伴切忌让陌生人帮忙注册账号,使用EOS帐户创建服务的人务必使用受信任的进程或接口。在账号注册之后仔细检查Owner权限 和 Active 权限的公钥,小伙伴可以在EOS区块链浏览器https://eoSpark.com/中通过用户名查询。

part.2

分析:

事件三主要是因为用户使用空助记词或较弱的助记词组合生成的私钥,很容易遭受彩虹攻击。

据IMEOS了解,近日区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合,而通过这种方式生成的秘钥很容易存在彩虹攻击,进而导致账户数字资产被盗。

相关钱包中利用空白助记词生成私钥的功能选项目前也已经关闭,各方都在积极自查,希望可以早日厘清问题原因。

建议:

大家可以在这里检测自己的账号是否安全:https://peckshield.com/eosrescuer

针对此安全威胁,为了帮助用户减少可能的经济损失,PeckShield安全人员定制了一套危机解决方案:

1、披露因助记词使用问题导致的资产被盗漏洞细节,并呼吁EOS社区用户加强安全防范,避免使用空助记词或较弱的助记词组合;

2、启用EOSRescuer(peckshield.com/eosrescuer)公共查询服务,用户可一键查阅自己的账号是否存在安全风险;

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户,受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害,PeckShield会将上述安全账户的所有记录透明公开,并接受第三方媒体的监督。注:用户认领时需提供EOS账户所有权的证明,包括必要的交易记录等。

part.3

分析:

除了上述被盗原因之外,还有各种各样的原因,私钥不明原因丢失、私钥忘记、丢失和转错账户大部分的原因皆跟私钥有关。

建议:

保护资产的第一步是用户需要提升私钥安全意识,了解更多关于Owner、Active权限的知识,妥善保存好两种权限的私钥,最好的办法是用纸和笔抄写下来。

私钥被盗将会成为过去时

值得一喜的是,7月17日,BM 在治理群发表实现更高级别治理的一些必要条件,BM 表示私钥被盗将会成为过去时,和治理范围之外的事。

EOS生态的完善不是一朝一夕的事情,但将会越来越好,无数的社区置身其中为建设生态而努力。除了上述所提到的EMAC解决了一些被盗事件之外,ECAF(核心仲裁论坛)同样解决了不少偷盗事件,MORE.TOP同样致力于资产安全,是市面上首个采用双私钥模式的钱包。

在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!

数据分析 区块链 安全性 数字资产 安全威胁 解决方案
0
为您推荐
人算不如天算,数据驱动的云计算远超天算啦!

人算不如天算,数据驱动的云计算远超天算啦

在今天的世界, 一切业务数据化,一切数据业务化,只有这样才能迎接这个时代。所以我希…...

业务不到两年增速85%,是哪家公司这么厉害?

业务不到两年增速85%,是哪家公司这么厉害?

核心提示:自从2015年9月的OracleOpenWorld大会上推出全线的SaaS和PaaS产品以来,甲骨…...

打开企业云计算之门的利剑,不容错过?

打开企业云计算之门的利剑,不容错过?

在现实中,很多企事业单位的IT基础设施就处于此层次级别,即:只是采用了虚拟化技术去…...

云计算炙手可热,究竟是谁在背后?

云计算炙手可热,究竟是谁在背后?

核心提示:前不久,万达网络科技集团与美国IBM公司达成合作,借助IBM的云计算技术,进…...

云计算对数据进行智能分析,云计算核心技术有哪些?

云计算对数据进行智能分析,云计算核心技术

随着信息技术不断进步,闪存、磁盘、数据中心、DNA等各种新的存储技术不断出现。即便…...

“云”上存储日渐成熟, 那么最关键的是什么?

“云”上存储日渐成熟, 那么最关键的是什

展望未来,世界并不只是由公有或私有化技术组成,还有许多两者的混合体。因此势必会有…...

云计算开源呈现爆发式增长,如何使用云计算开源技术成为产业链关注的热点?

云计算开源呈现爆发式增长,如何使用云计算

近几年来,在云计算领域,开源技术呈现爆发式的增长,借用云计算领域的主流看法,这个…...

云计算提供了基础平台,云计算产业进入2.0

云计算提供了基础平台,云计算产业进入2.0

云计算引发了软件开发部署模式的创新,成为承载各类应用的关键基础设施,并为大数据、…...

私有云的建设是一个需要长期迭代的过程,我们都还在路上!

私有云的建设是一个需要长期迭代的过程,我

伴随着IT新技术的发展,像虚拟化、云计算和大数据对大家来说已经不再陌生了。在企业里…...

大家都要向云计算转型,为什么?

大家都要向云计算转型,为什么?

我们曾经开玩笑说硬件也要向云计算转型,软件也要向云计算转型,系统集成商也要向云计…...