私钥被盗,满盘皆输——Poker EOS被盗 2万多EOS事件启示
“
A secret between more than two is no secret. 兩人以上知道的秘密就不算秘密。
”
5月24日凌晨,Poker EOS 官方中文電報群中發出通知:由于項目方賬戶私鑰泄露,被黑客攻擊。
官方通知
?
截止5月24日19點,據項目方統計,此次黑客攻擊事件項目方損失共計26992.2297EOS,pokereoshome損失13140EOS,pokereosgame損失8800EOS,poekreobonus損失200EOS,流入交易所900萬PKE交易損失約4852.2297EOS。
?
官方公告
?
項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。
交易所被盜金額統計圖
?
據資料匯總,從2014年起至2019年3月共發生交易所被盜事件33起,其中主要因私鑰泄露導致損失的有3起:2018年 4月12日,印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣,警方發現私鑰在網上曝光超過12小時;2018年7月26日,KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰,損失770美元;2015年1月9日,Bitstamp多個操作錢包遭到破壞,導致19,000比特幣丟失,據稱是由于該公司一名員工下載了一個惡意文件,該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。
?
除交易所被盜外,也有針對個別用戶進行攻擊,盜取私鑰的,2018年7月發生的近千萬EOS被盜事件,黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。
?
而今年年初轟動一時的交易所Quadriga CX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。
?
這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性,基于區塊鏈技術的加密貨幣一旦丟失,基本是不可找回的,不可逆的,除非主網分叉。
那么什么是私鑰呢?有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明,其本質是32個byte組成的數組,由256個0或者1隨機組成,可以把它理解成銀行卡的密碼,這個密碼除了自己不會有任何人知道,不過銀行卡密碼是可以自己設置的,而私鑰是隨機生成的。
?
?
回到此次事件,我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰,即Owner 私鑰和Active 私鑰,并不是只有一把私鑰。
?
Owner 私鑰是所有權,具有Active 私鑰所有權限,以及具有重置 Active 私鑰等最高權限。
?
Active 私鑰即操作權,可以用于平時的轉賬、投票等滿足日常的操作。
?
Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板,擁有最高的權限,可以做任何事情。Active即員工,相對而言權限較小。但是老板只在有重大事件時參與運營,日常的經營業務則是由員工完成的。
?
于是,平時最常露面的是員工(Active),主要用來做平時的轉賬、投票等日常的操作。老板(Owner)并不經常出現,只有當員工(Active)發生重大問題,才會需要他出面。
?
對于Owner私鑰和Active私鑰的使用與保管,EOS官方推薦用戶平時只使用 Active 私鑰,把Owner 私鑰離線保存,只在有重大安全問題時用到 Owner 私鑰。
?
這就意味著會有兩種操作模式:單私鑰模式和雙私鑰模式。
?
單私鑰模式即Owner 和 Active 使用同一把私鑰,這樣來說相對簡單,只需備份一把私鑰。
?
雙私鑰模式即Owner和Active使用不同的私鑰,相對單私鑰模式而言,這種模式多了一道保險,安全性能更高。
?
有的用戶不知道EOS賬號體系有兩種權限,主要原因是錢包多采用單私鑰模式,自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。
?
而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的,公鑰加密,私鑰解密。公鑰是公開的,它相當于是銀行卡號,這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”,失私鑰者,失“天下”。
私鑰被盜的原由有許多種,在私鑰映射、創建、使用時都有可能因操作不當導致私鑰被盜。
?
?
私鑰映射時:
?
1.?使用了不安全的映射工具。
?
使用不安全的映射工具,導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的,當 EOS 主網上線后,攻擊者隨即 updateauth 更新公私鑰。或者映射工具在網絡傳輸時沒有使用 SSL 加密,攻擊者通過中間人的方式替換了映射使用的公私鑰。
?
私鑰創建時:
?
1.?讓陌生人幫助注冊賬號
?
由于注冊賬號需要已經存在的賬號幫忙抵押內存,這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把,設置雙私鑰模式會增強安全性,但讓他人幫忙注冊賬號,就意味著Owner和Active權限都將可能掌握在他人手中,這就喪失了其本該有的安全性。
?
2.?用戶使用空助記詞或較弱的助記詞組合生成的私鑰
?
助記詞是私鑰的另外一種表現形式,由于私鑰隨機產生,識記較為困難,為了更好地記憶復雜的私鑰,用戶可以使用助記詞,通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰,很容易遭受“彩虹”攻擊。
?
3.?使用不安全的第三方私鑰創建工具
?
用戶使用不安全的第三方私鑰創建工具,例如安全保護不夠強的錢包,連網在線創建私鑰的網站等。
?
私鑰使用時:
?
1.使用了不安全的 EOS 超級節點投票工具
?
使用了不安全的 EOS 超級節點投票工具,使得工具開發者(實為攻擊者)可竊取EOS 私鑰。
?
2.?用戶存儲私鑰的媒介不安全
?
用戶存儲私鑰的方式不安全,例如存儲在郵箱、備忘錄等,可能存在弱口令被攻擊者登錄,從而被竊取私鑰。
?
3.?在復制粘貼私鑰時,被惡意軟件竊取
?
用戶在手機或電腦上復制粘貼私鑰時,被某些惡意軟件監聽,導致被竊取。
針對私鑰安全防范,我們給出以下建議:
?
1.?使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。
?
2.?切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊,一定要使用受信任的進程或接口。在注冊好后,對Owner和Active私鑰做仔細檢查,以防萬一。
?
3.?務必備份好Owner 助記詞、Active 助記詞。特別注意,不管是Owner 助記詞,還是Active 助記詞,都需要按順序記下并保護好。一旦有人得到了你的助記詞, 那就等同于掌控了你的錢包,不需要任何密碼就可以轉移你的資產。
?
4.?不管是私鑰還是助記詞最好抄寫在一張紙上,不要截屏或記錄在手機上,也不要通過任何渠道將助記詞信息傳播給他人(比如截圖等等),這是非常危險的行為。
?
5.?避免在使用時進行私鑰的復制、粘貼
?
6.?不要隨意點開來源不明的鏈接,下載來源不明的文件。
引用及資料數據來源:
?
1.小牛幣讀 《史上最全交易所被盜事件大盤點》
https://www.hongniuw.com/article/detail/9075
?
2.IMOS 《EOS被盜事件頻起,這里有一份安全攻略供你食用》
https://www.jianshu.com/p/43c515f2b416
?
3.ITleaks《近千萬EOS被盜事件回顧,大家請保護好自己的EOS私鑰》
https://blog.csdn.net/itleaks/article/details/81060573
歡迎大家體驗:
一、智能合約自動形式化驗證平臺VaaS精簡版,準確率達到95%以上
Beosin(成都鏈安科技)已向全球發布VaaS平臺,全球首個同時支持ETH、EOS、Fabric、ONT、TRON等多個區塊鏈平臺的智能合約形式化驗證平臺,準確率達到95%以上。
VaaS(精簡版)系統為所有區塊鏈從業者提供方便而免費的智能合約安全審計服務,對智能合約安全漏洞進行形式化驗證,從容應對常規合約安全問題。歡迎大家登陸官方網址體驗:
官方網址:
https://beosin.com/vaas/index.html#/audit/ptsj
▲VaaS 精簡版平臺
二、在線 Beosin-IDE 免費版本
Beosin-IDE 是一款免費的面向BOS、EOS區塊鏈平臺的智能合約在線集成開發環境,可同時支持合約開發、部署、測試和源碼調試等功能的在線區塊鏈應用開發集成環境。
歡迎大家免費體驗:通過瀏覽器訪問
https://beosin.com/BEOSIN-IDE/index.html#/
(如下圖,推薦Chrome瀏覽器)。
▲Beosin EOS-IDE
Beosin官方發表正式聲明:
為了全球化市場戰略需要,公司發布全新英文品牌 “Beosin”。作為深耕區塊鏈安全領域的公司,“Beosin”力求為行業保駕護航,以打造區塊鏈全生態安全為宗旨,竭誠為客戶提供包括智能合約安全審計、智能合約開發審計一條龍、錢包安全審計、DApp安全加固與審計、區塊鏈平臺安全審計、交易所安全檢測、安全產品定制化服務、企業級安全服務等。但公司英文名稱更名并不涉及業務架構或公司所有權變化。新品牌的Logo如下圖:
近期,有XX鏈安科技與成都鏈安科技重名,且Logo及宣傳語相似。成都鏈安科技是一家由分布式資本、界石資本、盤古創富投資的專門從事區塊鏈安全的公司,與其他XX鏈安科技無任何關聯。請大家認準成都鏈安科技唯一指定商標品牌,謹防上當受騙,一切消息以官網及官方公眾號為準。
成都鏈安科技官方公眾號名稱:Beosin成都鏈安
成都鏈安科技官方網址:
www.lianantech.com
——Beosin
關于Beosin:
Beosin(成都鏈安)成立于2018年,公司位于四川省成都市,專注于區塊鏈生態安全。公司由楊霞和郭文生兩位教授共同創建,團隊核心成員由來自海內外知名高校和實驗室留學經歷的教授、博士后、博士及阿里、華為等知名企業精英組成。已獲得分布式資本、界石資本、盤古創富等著名投資機構的兩輪股權投資。其核心技術為形式化驗證,是全球最早一批將此技術應用到區塊鏈安全領域的公司。
公司首批入選Etherscan智能合約審計推薦名單及普華永道創新加速器,榮獲全國首屆中小微企業SaaS應用創新創業大賽冠軍,獲得OKEx最佳安全審計合作伙伴獎等榮譽,參加工信部多項區塊鏈安全標準的撰寫,入選工信部“2018區塊鏈白皮書”,作為唯一安全公司入選“2018中國區塊鏈企業百強榜”,榮膺金色財經“2018年度最專業安全服務機構”、“2019中國區塊鏈安全領軍企業”稱號,榮獲火星財經“最佳區塊鏈數據安全團隊”獎項,成為2019年區塊鏈技術與數據安全工業和信息化部重點實驗室成員單位。已與Huobi、OKEx、KuCoin、CoinBene、CoinTiger、ONT、Qtum、比原鏈、Wanchain、BOS、Scry、布比區塊鏈、云象區塊鏈、QuarkChain、麥子錢包、EOSPark等共計超過50家區塊鏈公司建立戰略合作關系,審計報告被國內外各大知名交易所認可,為助力本體智能合約安全發布形式化驗證平臺VaaS-ONT。公司審計智能合約超500份,獨立發現區塊鏈安全漏洞幾十種,獲得行業及客戶的一致好評和認可。讓區塊鏈生態更安全,是我們的美好愿景!
「Beosin」
作為Huobi、OKEx、KuCoin
CoinBene、CoinTiger等
著名交易所指定的合約審計公司。?
入選Etherscan智能合約安全審計名單。
歡迎聯系Beosin,了解智能合約安全審計
智能合約開發審計一條龍
錢包安全審計
DApp安全加固與審計
區塊鏈平臺安全審計
交易所安全檢測
安全產品定制化服務
企業級安全服務
?·
電話:028-83262585
網站:www.lianantech.com
郵箱:vaas@lianantech.com
地址:成都市世紀城南路599號
天府軟件園D7座504室
官網:
https://www.lianantech.com
GitHub網址:
https://github.com/Lianantech/VCA
Facebook網址:
https://www.facebook.com/BeosinChengdu/
twitter網址:
https://twitter.com/Beosin_com
Telegram中文群:
https://t.me/LiananTech_cn
Telegram英文群:
https://t.me/LiananTech_en
微博:
https://weibo.com/u/6566884467
CSDN博客:
https://blog.csdn.net/CDLianan
知乎專欄:
??點擊了解更多
總結
以上是生活随笔為你收集整理的私钥被盗,满盘皆输——Poker EOS被盗 2万多EOS事件启示的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Zero WL biases read
- 下一篇: platEMO里多目标进化算法对应的参考