EOS被盜事件頻起，這裡有一份安全攻略供你食用其它頭條網

2018-07-17 19:49:43 IMEOS

近日EOS被盜事件頻起，作為EOS中文治理社區的EMAC，截止2018年7月8日，已接到六起報告丟失EOS 的案件，丟失的EOS數量從幾十到幾十萬個不等。本期主要回顧近日EOS被盜事件，並進行分析總結，希望讓大家意識到數字貨幣私鑰安全的重要性，保護好自身的資產。

注：EMAC是EOS中文治理社區的縮寫。主要職能是有關治理的培訓和交流；華語事件的瞭解和跟蹤；與海外社區的溝通。

事件回顧

part.1

黑客承諾幫助賬戶sunmoke12345的受害者創建EOS帳戶。然後，EOS帳戶的owner/active權限被修改，如圖中瀏覽器顯示的，出現兩對owner/active權限（圖為修改前+修改後）。

part.2

一位微信名“紅塵”的EOS投資者通過https://eostea.githubio/eos-generate-key/ 生成了公私鑰對，然後委託微信名叫：null (微信號: smilezx1ng) 幫忙代註冊。

註冊成功後，通過鏈上數據分析發現: active和owner權限使用了不同的公鑰，其中active權限對應的公鑰是受害人自己生成並提供給null的，而owner權限的公鑰並非受害人所有，之後受害人被修改權限，丟失14869個EOS。

part.3

baosange1212的創建者通過Tp錢包手機頁面創建Tp錢包賬號，隨後在Tp錢包手機頁面上提供的Eostea上空格無內容助記詞生成了私鑰和公鑰，這導致空格助記詞生成的私鑰公鑰全部是一樣。先後有8個Tp用戶跟此用戶同樣操作、導致8個用戶和他共享公鑰，私鑰重複意味著自己的資產別人也有權限控制，之後此用戶9722個Eos在第二天就被轉移到“cceecceeccee”地址。

被盜分析&建議

part.1

分析：

事件一二的主要原因是讓陌生人幫助註冊賬號，由於註冊賬號需要已經存在的賬號幫忙抵押內存，所以最近常見的釣魚手法就是幫忙註冊賬號。

這就意味著可能將Owner、Active權限掌握在他人的手上，這相當於把你的資產拱手獻上。

更高深的套路是對方會讓用戶自己生成公鑰和私鑰，並且只需要用戶提供公鑰。但是由於EOS賬號有兩把私鑰（關於兩把私鑰，想要了解更多請點擊鏈接：EOS賬號有兩把私鑰，你造嗎？），對方把用戶提供的公鑰設置為Active權限公鑰，把自己的公鑰偷偷設置為Owner權限公鑰，等用戶向這個賬號裡轉入EOS資產後，對方就用自己控制的Owner權限來控制用戶的賬戶，轉移EOS資產。

建議：

這裡建議小夥伴切忌讓陌生人幫忙註冊賬號，使用EOS帳戶創建服務的人務必使用受信任的進程或接口。

在賬號註冊之後仔細檢查Owner權限和 Active 權限的公鑰，小夥伴可以在EOS區塊鏈瀏覽器https://eospark.com/中通過用戶名查詢。

part.2

分析：

事件三主要是因為用戶使用空助記詞或較弱的助記詞組合生成的私鑰，很容易遭受“彩虹”攻擊。

據IMEOS瞭解，近日區塊鏈安全公司PeckShield在分析EOS賬戶安全性時發現，部分EOS用戶正在使用的秘鑰存在嚴重的安全隱患。問題的根源在於部分秘鑰生成工具允許用戶採用強度較弱的助記詞組合，而通過這種方式生成的秘鑰很容易存在“彩虹”攻擊，進而導致賬戶數字資產被盜。

相關錢包中利用空白助記詞生成私鑰的功能選項目前也已經關閉，各方都在積極自查，希望可以早日釐清問題原因。

建議：

大家可以在這裡檢測自己的賬號是否安全：https://peckshield.com/eosrescuer

針對此安全威脅，為了幫助用戶減少可能的經濟損失，PeckShield安全人員定製了一套危機解決方案：

1、披露因助記詞使用問題導致的資產被盜漏洞細節，並呼籲EOS社區用戶加強安全防範，避免使用空助記詞或較弱的助記詞組合；