首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

避免EOS被盗,你需要知道这3点

随着RAM价格爆涨以及交易所陆续开放EOS充提,许多用户开始注册EOS账号参与进来。但由于用户对EOS体系下的钱包知识知之甚少,从而频频发生EOS被盗事件,造成巨额损失。因此我们希望通过这篇文章为大家科普一下钱包和EOS账户的相关知识,希望能引起更多用户对私钥安全的重视,也希望能帮助到更多EOS社区的朋友们。

一、使用钱包必须理解的几个名词

用户保管不好自己的虚拟财产、发生丢币的情况,很多都是因为不清楚公钥、私钥和助记词这3个概念。

我们都知道,有账号就有私钥,私钥是我们钱包里资金所有权和操作权的证明。但很多人不知道的是,在EOS的账号体系中有两种权限,即Active 和Owner。Active私钥拥有操作权,可用于平时转账、投票等日常操作,而Owner私钥拥有对账户的所有权,它具有管理和重置 Active 私钥等更高权限,就好比在一家公司里,老板的权限要高于员工一样。

有Owner私钥和Active私钥,对应的就有Owner公钥和Active公钥,这对公钥我们可以在EOS区块链浏览器 https://eospark.com/ 中通过用户名查询得到。Owner权限和 Active权限的公钥相同则为单私钥模式(如下图),反之不同则为双私钥模式,而近期发生的部分钱包安全事件正是一些有心人基于双私钥模式漏洞开展的(这个问题会在第二部分作进一步说明)。

图:双私钥

图:单私钥

由于私钥是64位,长得太难看,没有可读性,直接复制保存在联网的电脑上有被其他人看到的风险,手抄下来又比较麻烦,于是有了助记词工具——它利用某种算法将64位私钥转换成十多个常见的英文单词(如下图),其功能上等同于私钥

所以,无论私钥还是助记词,都直接和你的资产挂钩,所以你都需要妥善安全保存,都需要妥善安全保存,都需要妥善安全保存,重要的事情说三遍!

二、近期EOS被盗事件频起的原因

当了解私钥以及助记词的功能机制后,我们再回看分析近期发生的这几起EOS被盗案例,不难发现盗币者就是利用EOS投资者对私钥及助记词知识不甚了解这个漏洞展开的,而这些案例基本可以分为两类:一类是找人代注册账号结果EOS被盗,另一类则是使用了空助记词/弱助记词从而EOS被盗。

第一类案例:

找陌生人代注册账号

由于注册EOS账户需要已经存在的账户帮忙抵押内存,所以用户一般会选择找人代注册账号,而最近发生的一些钓鱼手法就是帮忙注册账户。

钓鱼者的套路一般是这样的:他们首先会让你提供账户名称和两串公钥,分别对应active权限和owner权限,但实际上他们只把用户提供的其中一个公钥设置为active权限公钥,而把自己的公钥设置为owner权限公钥,然后等用户向这个账号里转入EOS资产后,钓鱼者就用自己控制的Owner权限来控制用户的账户,从而转移EOS资产(因为这种情况下,钓鱼者拥有的owner权限高于用户拥有的active权限)。

这类案例就是利用用户对EOS账户体系下私钥权限不了解。

第二类案例:

使用空助记词/弱助记词生成私钥,导致“彩虹”攻击

区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用空助记词/弱助记词生成私钥,而通过这种方式生成的秘钥很容易存在“彩虹”攻击,进而导致账户数字资产被盗。

所谓“彩虹”攻击我们可以这样简单理解:我们前面提到助记词功能等同于私钥,假设先后有10个用户用空助记词生成私钥公钥,那么他们生成的私钥公钥全部都是一样的,这意味着这10个用户之间相互共享私钥,而私钥的重复意味着自己的资产别人也有权限控制,所以这些账户都处于高危状态。

相信看到这里,大家都十分关心自己的账号是否存在安全风险吧,所以我们也整理了相关的查询方法:大家可以通过登录EOSRescuer(peckshield.com/eosrescuer),输入自己的账户名即可一键检测:

三、如何保护个人账户的资产安全

首先,用户要提高私钥安全意识,在注册和使用EOS账户前,一定要了解EOS账户机制、Owner、Active权限的知识;同时务必要保管好自己的私钥、助记词,最好用纸笔记录并多处备份、分开保管,千万不要在不安全的网络环境之中(如微信、照片、邮件、网络笔记等)进行存放和传输;

其次,请陌生人/第三方机构代注册账号要谨慎,在账号注册后需仔细检查 Owner权限和 Active权限的公钥是否是本人提供,如非本人提供的公钥,应立即停止使用该账户,在确信账户安全钳切记不要转入任何EOS资产;

最后,用户要了解目前存在的求助渠道,包括但不限于媒体、社区、钱包机构和EMAC911。如若发现账户被盗可以寻求媒体以及社区的力量制造舆论压力,或者及时通过社区渠道联系EMAC911,同时要收集账户被盗证据,做好情况陈述材料等。

四、结语

虽然EOS现在还很不完善,也频频爆出一些安全问题,但我们也看到包括节点、社区以及区块链爱好者在内所有人为EOS生态所做的贡献,他们不余遗力地帮助为被盗用户找回资产,积极地为生态繁荣建言献策......所以我们有理由也有信心看到BM所说的愿景“私钥被盗将成为过去”的到来。

End

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180718G1S6KL00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券