你把私钥托给谁管理放心呢?
这可能是EOS代币持有者心中可能存在的问题,他们虽然有动力帮助备受期待的技术最终上线,但还没有这么做。由于EOS的建立是为了让用户能够进行自我管理,因此这些个人和公司必须迈出第一步,在全球投票中选择发生在网络上的他们想要处理的交易。
写作本文时,他们并没有确切做到这一点。相反,EOS区块链被锁定在“已启动”和“启动”之间的中间地带,这取决于用户是否愿意完成这个过程。
问题是,要投票,用户必须证明他们持有代币,这一过程需要他们使用私钥,敏感的密码字符串,以证明他们拥有自己的资金,如果输了,将永远消失。就这一点而言,尽管用户渴望参与进来,但他们担心让他们投票的工具可能会使他们的控股处于风险之中。
一位EOS用户在Telegram上写道:“EOS发布,最大的‘失误’是未能理解零售EOS投资者将不愿在网上用他们的私钥投票。”
正如CoinDesk所详述的那样,唯一受到第三方安全审查的投票软件是CLEOS,这是由EOS的创建者Block.one发布的命令行工具。 但是,由于与该工具交互所需的技术能力,许多EOS代币持有者被迫选择不太可信的软件。
事实上,在社区论坛上,对EOS创建的第三方软件的不信任,只与参与投票过程的用户所面临的困惑相匹配。
虽然已经制作了一些软件来解决这个问题,但一些人对缺乏第三方安全审计表示担忧。此外,即使是最诚实的开发者努力,也存在诈骗和攻击的风险。
“每当有些事情对人们来说太复杂时,就会出现那些试图利用这些弱点的不良行为者,”投票工具Tokenika的首席开发者Krzysztof Szumny告诉CoinDesk。
也就是说,有证据表明,这种担忧可能会导致投票速度缓慢,这反过来又促成了EOS实验启动迟缓。 在撰写本文时, 1.5亿份必要投票中只有37.35%投票给区块链。
正如Telegram上的一位EOS用户所写:
“很确定,我并不是唯一一个只有等到100%安全感才会将私钥放入新钱包的人。”
安全范围
备份时,首先理解为什么需要私钥对EOS进行投票是有帮助的。
使用任何EOS投票软件都需要私钥,原因有两个:验证投票是否合法,并将投票与用户持有的资产相关,用于确定投票的权重。
无论你是从钱包、命令行工具还是其他地方投票,都需要你的私钥进行投票,没有人能绕开这一要求,” Bancor的联合创始人、首席技术官Yudi Levi说。
Bancor还为新区块链LiquidityEOS开发了一种投票工具。
本质上,为投票过程使用私钥等同于交易签名——一种需要发送标准加密交易所需的相同类型的签名。
然而,问题归结为私钥如何公开。
在接受CoinDesk采访时,亚洲区块生产商候选人和投票软件提供商EOS Canada联合创始人Alexandre Bourget在致CoinDesk时表示,目前的投票工具涉及从可信度到极高风险的一系列安全性。
一方面,有CLEOS命令行工具私钥暴露的风险最小。随着软件添加代码以提供用户友好的界面,安全变得越来越难以保障。另外,代码越接近internet,私钥被截获的机会就更多。
“你的网站会要求你把你的私钥放进去,并且用它做些事情,” Bourget告诉CoinDesk,并补充道:
“他们可能是完全合法的,但这是一个很大的风险,因为我们一再看到那些本意良好但遭到黑客攻击的网站。”
值得注意的是,考虑到EOS代币持有者处于敏感阶段。Bourget强调,大多数EOS用户都是从代币众包获得,可能没有将访问控制权重新配置到其EOS帐户。 换句话说,尽管可以创建多个私钥来管理帐户,但现在,大多数用户的代币可能都与一个私钥对应。
对于黑客来说,这为钓鱼增加了一个重要的诱因。
最佳实践
也就是说,EOS持有人在投票时可以保护自己。
例如,Bourget建议用户重新配置EOS帐户设置,以生成可用于投票签名的私钥,但这与实际钱包本身并没有关联。
虽然关于如何做到这一点的文件有限,但Bourget暗示EOS加拿大很快可能会创建一个视频解说器。不过,在此之前,用户可以采取一些更简单的措施。
Bancor的Levi表示:“使用可下载的投票工具,可以在您的机器上和浏览器之外运行,投票可能受到工具栏、僵尸网络和其他坏人的操纵。”
另外,他还鼓励人们利用已有公司的工具,他说:
“建立的品牌有更多的损失。”
例如,虽然Scatter,Greymass,LiquidityEOS和EOS Canada的“EOSC”等开源投票工具尚未经过第三方审计,但这些应用程序背后的每个公司或项目都努力限制私钥泄露的程度并小心谨慎记录这些过程。
如前所述,由于私钥在网上使用时更容易被窃取,Tokenika设计了一种工具,可以离线生成选票,只连接到互联网上发布投票记录。
Tokenika的Szumny告诉CoinDesk,“为了最大限度的安全,我们强烈建议人们在上网的时候不要使用他们的私钥。”
尽管如此,用户仍然有可能在他们的设备上激活恶意软件。
Bourget告诉CoinDesk:“了解二进制文件的来源及其构建者是非常重要的,因为存在风险,而且它是冷遇,所以很容易就能侥幸成功。”
因此,Szumny警告EOS持有人不要试验,要勤于使用他们的私钥并慢慢参与投票过程,以免发生快速错误。
开发人员结论出:
“投票宜早不宜迟,但更重要的是在投票过程中不要犯任何错误。”
閱讀更多 鏈道學社 的文章
