近日EOS被盜事件頻起，作為EOS中文治理社區(qū)的EMAC，截止2018年7月8日，已接到六起報告丟失EOS 的案件，丟失的EOS數(shù)量從幾十到幾十萬個不等。本期主要回顧近日EOS被盜事件，并進行分析總結(jié)，希望讓大家意識到數(shù)字貨幣私鑰安全的重要性，保護好自身的資產(chǎn)。

注：EMAC是EOS中文治理社區(qū)的縮寫。主要職能是有關(guān)治理的培訓和交流;華語事件的了解和跟蹤;與海外社區(qū)的溝通。

事件回顧

part.1

黑客承諾幫助賬戶sunmoke12345的受害者創(chuàng)建EOS帳戶。然后，EOS帳戶的owner/active權(quán)限被修改，如圖中瀏覽器顯示的，出現(xiàn)兩對owner/active權(quán)限(圖為修改前+修改后)。

part.2

一位微信名“紅塵”的EOS投資者通過https://eostea.githubio/eos-generate-key/ 生成了公私鑰對，然后委托微信名叫：null (微信號: smilezx1ng) 幫忙代注冊。

注冊成功后，通過鏈上數(shù)據(jù)分析發(fā)現(xiàn): active和owner權(quán)限使用了不同的公鑰，其中active權(quán)限對應的公鑰是受害人自己生成并提供給null的，而owner權(quán)限的公鑰并非受害人所有，之后受害人被修改權(quán)限，丟失14869個EOS。

part.3

baosange1212的創(chuàng)建者通過Tp錢包手機頁面創(chuàng)建Tp錢包賬號，隨后在Tp錢包手機頁面上提供的Eostea上空格無內(nèi)容助記詞生成了私鑰和公鑰，這導致空格助記詞生成的私鑰公鑰全部是一樣。先后有8個Tp用戶跟此用戶同樣操作、導致8個用戶和他共享公鑰，私鑰重復意味著自己的資產(chǎn)別人也有權(quán)限控制，之后此用戶9722個Eos在第二天就被轉(zhuǎn)移到“cceecceeccee”地址。

被盜分析&建議

part.1

分析：

事件一二的主要原因是讓陌生人幫助注冊賬號，由于注冊賬號需要已經(jīng)存在的賬號幫忙抵押內(nèi)存，所以最近常見的釣魚手法就是幫忙注冊賬號。

這就意味著可能將Owner、Active權(quán)限掌握在他人的手上，這相當于把你的資產(chǎn)拱手獻上。

更高深的套路是對方會讓用戶自己生成公鑰和私鑰，并且只需要用戶提供公鑰。但是由于EOS賬號有兩把私鑰(關(guān)于兩把私鑰，想要了解更多請點擊鏈接：EOS賬號有兩把私鑰，你造嗎?)，對方把用戶提供的公鑰設(shè)置為Active權(quán)限公鑰，把自己的公鑰偷偷設(shè)置為Owner權(quán)限公鑰，等用戶向這個賬號里轉(zhuǎn)入EOS資產(chǎn)后，對方就用自己控制的Owner權(quán)限來控制用戶的賬戶，轉(zhuǎn)移EOS資產(chǎn)。

建議：

這里建議小伙伴切忌讓陌生人幫忙注冊賬號，使用EOS帳戶創(chuàng)建服務的人務必使用受信任的進程或接口。在賬號注冊之后仔細檢查Owner權(quán)限 和 Active 權(quán)限的公鑰，小伙伴可以在EOS區(qū)塊鏈瀏覽器https://eospark.com/中通過用戶名查詢。

part.2

分析：

事件三主要是因為用戶使用空助記詞或較弱的助記詞組合生成的私鑰，很容易遭受“彩虹”攻擊。

據(jù)IMEOS了解，近日區(qū)塊鏈安全公司PeckShield在分析EOS賬戶安全性時發(fā)現(xiàn)，部分EOS用戶正在使用的秘鑰存在嚴重的安全隱患。問題的根源在于部分秘鑰生成工具允許用戶采用強度較弱的助記詞組合，而通過這種方式生成的秘鑰很容易存在“彩虹”攻擊，進而導致賬戶數(shù)字資產(chǎn)被盜。

相關(guān)錢包中利用空白助記詞生成私鑰的功能選項目前也已經(jīng)關(guān)閉，各方都在積極自查，希望可以早日厘清問題原因。

建議：

大家可以在這里檢測自己的賬號是否安全：https://peckshield.com/eosrescuer

針對此安全威脅，為了幫助用戶減少可能的經(jīng)濟損失，PeckShield安全人員定制了一套危機解決方案：

1、披露因助記詞使用問題導致的資產(chǎn)被盜漏洞細節(jié)，并呼吁EOS社區(qū)用戶加強安全防范，避免使用空助記詞或較弱的助記詞組合;

2、啟用EOSRescuer(peckshield.com/eosrescuer)公共查詢服務，用戶可一鍵查閱自己的賬號是否存在安全風險;

3、將已經(jīng)監(jiān)測到的存在高安全風險的用戶資產(chǎn)暫時轉(zhuǎn)移到特定的安全賬戶，受影響用戶可聯(lián)系PeckShield進行認領(lǐng)。為確保用戶利益不受侵害，PeckShield會將上述安全賬戶的所有記錄透明公開，并接受第三方媒體的監(jiān)督。注：用戶認領(lǐng)時需提供EOS賬戶所有權(quán)的證明，包括必要的交易記錄等。

part.3

分析：

除了上述被盜原因之外，還有各種各樣的原因，私鑰不明原因丟失、私鑰忘記、丟失和轉(zhuǎn)錯賬戶…………大部分的原因皆跟私鑰有關(guān)。

建議：

保護資產(chǎn)的第一步是用戶需要提升私鑰安全意識，了解更多關(guān)于Owner、Active權(quán)限的知識，妥善保存好兩種權(quán)限的私鑰，最好的辦法是用紙和筆抄寫下來。

私鑰被盜將會成為過去時

值得一喜的是，7月17日，BM 在治理群發(fā)表實現(xiàn)更高級別治理的一些必要條件，BM 表示私鑰被盜將會成為過去時，和治理范圍之外的事。

EOS生態(tài)的完善不是一朝一夕的事情，但將會越來越好，無數(shù)的社區(qū)置身其中為建設(shè)生態(tài)而努力。除了上述所提到的EMAC解決了一些被盜事件之外，ECAF(核心仲裁論壇)同樣解決了不少偷盜事件，MORE.TOP同樣致力于資產(chǎn)安全，是市面上首個采用雙私鑰模式的錢包。