私钥被盗,满盘皆输——Poker EOS被盗 2万多EOS事件启示
“
A secret between more than two is no secret. 兩人以上知道的秘密就不算秘密。
”
5月24日凌晨,Poker EOS 官方中文電報(bào)群中發(fā)出通知:由于項(xiàng)目方賬戶私鑰泄露,被黑客攻擊。
官方通知
?
截止5月24日19點(diǎn),據(jù)項(xiàng)目方統(tǒng)計(jì),此次黑客攻擊事件項(xiàng)目方損失共計(jì)26992.2297EOS,pokereoshome損失13140EOS,pokereosgame損失8800EOS,poekreobonus損失200EOS,流入交易所900萬(wàn)PKE交易損失約4852.2297EOS。
?
官方公告
?
項(xiàng)目方給出此次攻擊事件發(fā)生的原因是團(tuán)隊(duì)私鑰管理不當(dāng)。其實(shí)因私鑰管理不當(dāng)而導(dǎo)致?lián)p失的事件可以說(shuō)不是罕見(jiàn)的事了。
交易所被盜金額統(tǒng)計(jì)圖
?
據(jù)資料匯總,從2014年起至2019年3月共發(fā)生交易所被盜事件33起,其中主要因私鑰泄露導(dǎo)致?lián)p失的有3起:2018年 4月12日,印度加密貨幣交易所Coinsecure因冷存儲(chǔ)恢復(fù)失敗暴露了用于離線存儲(chǔ)的私鑰被盜438比特幣,警方發(fā)現(xiàn)私鑰在網(wǎng)上曝光超過(guò)12小時(shí);2018年7月26日,KICKICO由于安全漏洞發(fā)生導(dǎo)致黑客成功獲得了“KICK智能合約賬戶”的私鑰,損失770美元;2015年1月9日,Bitstamp多個(gè)操作錢(qián)包遭到破壞,導(dǎo)致19,000比特幣丟失,據(jù)稱是由于該公司一名員工下載了一個(gè)惡意文件,該文件使攻擊者可以訪問(wèn)包含wallet.dat文件的服務(wù)器以及公司熱錢(qián)包的密碼。
?
除交易所被盜外,也有針對(duì)個(gè)別用戶進(jìn)行攻擊,盜取私鑰的,2018年7月發(fā)生的近千萬(wàn)EOS被盜事件,黑客通過(guò)盜取受害人的私鑰而盜走了其價(jià)值近千萬(wàn)的EOS。
?
而今年年初轟動(dòng)一時(shí)的交易所Quadriga CX上億資產(chǎn)被鎖事件則是由于其創(chuàng)始人兼首席執(zhí)行官的突然離世導(dǎo)致其中1.47億美元的加密數(shù)字貨幣秘鑰丟失“被上鎖”。
?
這些丟失的資產(chǎn)一去不復(fù)還。因?yàn)閰^(qū)塊鏈的“去中心化”的特性,基于區(qū)塊鏈技術(shù)的加密貨幣一旦丟失,基本是不可找回的,不可逆的,除非主網(wǎng)分叉。
那么什么是私鑰呢?有賬號(hào)就有私鑰。私鑰是錢(qián)包里資金所有權(quán)的證明和合約擁有權(quán)的證明,其本質(zhì)是32個(gè)byte組成的數(shù)組,由256個(gè)0或者1隨機(jī)組成,可以把它理解成銀行卡的密碼,這個(gè)密碼除了自己不會(huì)有任何人知道,不過(guò)銀行卡密碼是可以自己設(shè)置的,而私鑰是隨機(jī)生成的。
?
?
回到此次事件,我們來(lái)看EOS私鑰。一些普通用戶可能不知道在EOS的賬號(hào)體系中有兩種權(quán)限的私鑰,即Owner 私鑰和Active 私鑰,并不是只有一把私鑰。
?
Owner 私鑰是所有權(quán),具有Active 私鑰所有權(quán)限,以及具有重置 Active 私鑰等最高權(quán)限。
?
Active 私鑰即操作權(quán),可以用于平時(shí)的轉(zhuǎn)賬、投票等滿足日常的操作。
?
Owner私鑰和Active私鑰的關(guān)系類似老板和員工的關(guān)系。Owner即老板,擁有最高的權(quán)限,可以做任何事情。Active即員工,相對(duì)而言權(quán)限較小。但是老板只在有重大事件時(shí)參與運(yùn)營(yíng),日常的經(jīng)營(yíng)業(yè)務(wù)則是由員工完成的。
?
于是,平時(shí)最常露面的是員工(Active),主要用來(lái)做平時(shí)的轉(zhuǎn)賬、投票等日常的操作。老板(Owner)并不經(jīng)常出現(xiàn),只有當(dāng)員工(Active)發(fā)生重大問(wèn)題,才會(huì)需要他出面。
?
對(duì)于Owner私鑰和Active私鑰的使用與保管,EOS官方推薦用戶平時(shí)只使用 Active 私鑰,把Owner 私鑰離線保存,只在有重大安全問(wèn)題時(shí)用到 Owner 私鑰。
?
這就意味著會(huì)有兩種操作模式:單私鑰模式和雙私鑰模式。
?
單私鑰模式即Owner 和 Active 使用同一把私鑰,這樣來(lái)說(shuō)相對(duì)簡(jiǎn)單,只需備份一把私鑰。
?
雙私鑰模式即Owner和Active使用不同的私鑰,相對(duì)單私鑰模式而言,這種模式多了一道保險(xiǎn),安全性能更高。
?
有的用戶不知道EOS賬號(hào)體系有兩種權(quán)限,主要原因是錢(qián)包多采用單私鑰模式,自然地這說(shuō)明了大多錢(qián)包的私鑰操作模式實(shí)際上是不夠安全的。
?
而區(qū)塊鏈應(yīng)用中用來(lái)保障用戶資產(chǎn)安全的就是公鑰和私鑰。公鑰與私鑰是成對(duì)出現(xiàn)的,公鑰加密,私鑰解密。公鑰是公開(kāi)的,它相當(dāng)于是銀行卡號(hào),這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產(chǎn)安全的那道“防線”,失私鑰者,失“天下”。
私鑰被盜的原由有許多種,在私鑰映射、創(chuàng)建、使用時(shí)都有可能因操作不當(dāng)導(dǎo)致私鑰被盜。
?
?
私鑰映射時(shí):
?
1.?使用了不安全的映射工具。
?
使用不安全的映射工具,導(dǎo)致映射使用的公私鑰是由工具開(kāi)發(fā)者(實(shí)際是攻擊者)控制的,當(dāng) EOS 主網(wǎng)上線后,攻擊者隨即 updateauth 更新公私鑰。或者映射工具在網(wǎng)絡(luò)傳輸時(shí)沒(méi)有使用 SSL 加密,攻擊者通過(guò)中間人的方式替換了映射使用的公私鑰。
?
私鑰創(chuàng)建時(shí):
?
1.?讓陌生人幫助注冊(cè)賬號(hào)
?
由于注冊(cè)賬號(hào)需要已經(jīng)存在的賬號(hào)幫忙抵押內(nèi)存,這使黑客有機(jī)可乘。黑客利用最常見(jiàn)的釣魚(yú)手法——幫忙注冊(cè)賬號(hào)盜取用戶私鑰。我們前面已經(jīng)說(shuō)過(guò)私鑰其實(shí)有兩把,設(shè)置雙私鑰模式會(huì)增強(qiáng)安全性,但讓他人幫忙注冊(cè)賬號(hào),就意味著Owner和Active權(quán)限都將可能掌握在他人手中,這就喪失了其本該有的安全性。
?
2.?用戶使用空助記詞或較弱的助記詞組合生成的私鑰
?
助記詞是私鑰的另外一種表現(xiàn)形式,由于私鑰隨機(jī)產(chǎn)生,識(shí)記較為困難,為了更好地記憶復(fù)雜的私鑰,用戶可以使用助記詞,通過(guò)助記詞導(dǎo)入錢(qián)包。如果用戶使用空助記詞或是強(qiáng)度較弱的助記詞產(chǎn)生的秘鑰,很容易遭受“彩虹”攻擊。
?
3.?使用不安全的第三方私鑰創(chuàng)建工具
?
用戶使用不安全的第三方私鑰創(chuàng)建工具,例如安全保護(hù)不夠強(qiáng)的錢(qián)包,連網(wǎng)在線創(chuàng)建私鑰的網(wǎng)站等。
?
私鑰使用時(shí):
?
1.使用了不安全的 EOS 超級(jí)節(jié)點(diǎn)投票工具
?
使用了不安全的 EOS 超級(jí)節(jié)點(diǎn)投票工具,使得工具開(kāi)發(fā)者(實(shí)為攻擊者)可竊取EOS 私鑰。
?
2.?用戶存儲(chǔ)私鑰的媒介不安全
?
用戶存儲(chǔ)私鑰的方式不安全,例如存儲(chǔ)在郵箱、備忘錄等,可能存在弱口令被攻擊者登錄,從而被竊取私鑰。
?
3.?在復(fù)制粘貼私鑰時(shí),被惡意軟件竊取
?
用戶在手機(jī)或電腦上復(fù)制粘貼私鑰時(shí),被某些惡意軟件監(jiān)聽(tīng),導(dǎo)致被竊取。
針對(duì)私鑰安全防范,我們給出以下建議:
?
1.?使用安全性有保證的映射工具、私鑰創(chuàng)建工具和超級(jí)節(jié)點(diǎn)投票工具。
?
2.?切忌讓陌生人幫自己注冊(cè)賬號(hào)。若不得以需要讓他人幫忙注冊(cè),一定要使用受信任的進(jìn)程或接口。在注冊(cè)好后,對(duì)Owner和Active私鑰做仔細(xì)檢查,以防萬(wàn)一。
?
3.?務(wù)必備份好Owner 助記詞、Active 助記詞。特別注意,不管是Owner 助記詞,還是Active 助記詞,都需要按順序記下并保護(hù)好。一旦有人得到了你的助記詞, 那就等同于掌控了你的錢(qián)包,不需要任何密碼就可以轉(zhuǎn)移你的資產(chǎn)。
?
4.?不管是私鑰還是助記詞最好抄寫(xiě)在一張紙上,不要截屏或記錄在手機(jī)上,也不要通過(guò)任何渠道將助記詞信息傳播給他人(比如截圖等等),這是非常危險(xiǎn)的行為。
?
5.?避免在使用時(shí)進(jìn)行私鑰的復(fù)制、粘貼
?
6.?不要隨意點(diǎn)開(kāi)來(lái)源不明的鏈接,下載來(lái)源不明的文件。
引用及資料數(shù)據(jù)來(lái)源:
?
1.小牛幣讀 《史上最全交易所被盜事件大盤(pán)點(diǎn)》
https://www.hongniuw.com/article/detail/9075
?
2.IMOS 《EOS被盜事件頻起,這里有一份安全攻略供你食用》
https://www.jianshu.com/p/43c515f2b416
?
3.ITleaks《近千萬(wàn)EOS被盜事件回顧,大家請(qǐng)保護(hù)好自己的EOS私鑰》
https://blog.csdn.net/itleaks/article/details/81060573
歡迎大家體驗(yàn):
一、智能合約自動(dòng)形式化驗(yàn)證平臺(tái)VaaS精簡(jiǎn)版,準(zhǔn)確率達(dá)到95%以上
Beosin(成都鏈安科技)已向全球發(fā)布VaaS平臺(tái),全球首個(gè)同時(shí)支持ETH、EOS、Fabric、ONT、TRON等多個(gè)區(qū)塊鏈平臺(tái)的智能合約形式化驗(yàn)證平臺(tái),準(zhǔn)確率達(dá)到95%以上。
VaaS(精簡(jiǎn)版)系統(tǒng)為所有區(qū)塊鏈從業(yè)者提供方便而免費(fèi)的智能合約安全審計(jì)服務(wù),對(duì)智能合約安全漏洞進(jìn)行形式化驗(yàn)證,從容應(yīng)對(duì)常規(guī)合約安全問(wèn)題。歡迎大家登陸官方網(wǎng)址體驗(yàn):
官方網(wǎng)址:
https://beosin.com/vaas/index.html#/audit/ptsj
▲VaaS 精簡(jiǎn)版平臺(tái)
二、在線 Beosin-IDE 免費(fèi)版本
Beosin-IDE 是一款免費(fèi)的面向BOS、EOS區(qū)塊鏈平臺(tái)的智能合約在線集成開(kāi)發(fā)環(huán)境,可同時(shí)支持合約開(kāi)發(fā)、部署、測(cè)試和源碼調(diào)試等功能的在線區(qū)塊鏈應(yīng)用開(kāi)發(fā)集成環(huán)境。
歡迎大家免費(fèi)體驗(yàn):通過(guò)瀏覽器訪問(wèn)
https://beosin.com/BEOSIN-IDE/index.html#/
(如下圖,推薦Chrome瀏覽器)。
▲B(niǎo)eosin EOS-IDE
Beosin官方發(fā)表正式聲明:
為了全球化市場(chǎng)戰(zhàn)略需要,公司發(fā)布全新英文品牌 “Beosin”。作為深耕區(qū)塊鏈安全領(lǐng)域的公司,“Beosin”力求為行業(yè)保駕護(hù)航,以打造區(qū)塊鏈全生態(tài)安全為宗旨,竭誠(chéng)為客戶提供包括智能合約安全審計(jì)、智能合約開(kāi)發(fā)審計(jì)一條龍、錢(qián)包安全審計(jì)、DApp安全加固與審計(jì)、區(qū)塊鏈平臺(tái)安全審計(jì)、交易所安全檢測(cè)、安全產(chǎn)品定制化服務(wù)、企業(yè)級(jí)安全服務(wù)等。但公司英文名稱更名并不涉及業(yè)務(wù)架構(gòu)或公司所有權(quán)變化。新品牌的Logo如下圖:
近期,有XX鏈安科技與成都鏈安科技重名,且Logo及宣傳語(yǔ)相似。成都鏈安科技是一家由分布式資本、界石資本、盤(pán)古創(chuàng)富投資的專門(mén)從事區(qū)塊鏈安全的公司,與其他XX鏈安科技無(wú)任何關(guān)聯(lián)。請(qǐng)大家認(rèn)準(zhǔn)成都鏈安科技唯一指定商標(biāo)品牌,謹(jǐn)防上當(dāng)受騙,一切消息以官網(wǎng)及官方公眾號(hào)為準(zhǔn)。
成都鏈安科技官方公眾號(hào)名稱:Beosin成都鏈安
成都鏈安科技官方網(wǎng)址:
www.lianantech.com
——Beosin
關(guān)于Beosin:
Beosin(成都鏈安)成立于2018年,公司位于四川省成都市,專注于區(qū)塊鏈生態(tài)安全。公司由楊霞和郭文生兩位教授共同創(chuàng)建,團(tuán)隊(duì)核心成員由來(lái)自海內(nèi)外知名高校和實(shí)驗(yàn)室留學(xué)經(jīng)歷的教授、博士后、博士及阿里、華為等知名企業(yè)精英組成。已獲得分布式資本、界石資本、盤(pán)古創(chuàng)富等著名投資機(jī)構(gòu)的兩輪股權(quán)投資。其核心技術(shù)為形式化驗(yàn)證,是全球最早一批將此技術(shù)應(yīng)用到區(qū)塊鏈安全領(lǐng)域的公司。
公司首批入選Etherscan智能合約審計(jì)推薦名單及普華永道創(chuàng)新加速器,榮獲全國(guó)首屆中小微企業(yè)SaaS應(yīng)用創(chuàng)新創(chuàng)業(yè)大賽冠軍,獲得OKEx最佳安全審計(jì)合作伙伴獎(jiǎng)等榮譽(yù),參加工信部多項(xiàng)區(qū)塊鏈安全標(biāo)準(zhǔn)的撰寫(xiě),入選工信部“2018區(qū)塊鏈白皮書(shū)”,作為唯一安全公司入選“2018中國(guó)區(qū)塊鏈企業(yè)百?gòu)?qiáng)榜”,榮膺金色財(cái)經(jīng)“2018年度最專業(yè)安全服務(wù)機(jī)構(gòu)”、“2019中國(guó)區(qū)塊鏈安全領(lǐng)軍企業(yè)”稱號(hào),榮獲火星財(cái)經(jīng)“最佳區(qū)塊鏈數(shù)據(jù)安全團(tuán)隊(duì)”獎(jiǎng)項(xiàng),成為2019年區(qū)塊鏈技術(shù)與數(shù)據(jù)安全工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室成員單位。已與Huobi、OKEx、KuCoin、CoinBene、CoinTiger、ONT、Qtum、比原鏈、Wanchain、BOS、Scry、布比區(qū)塊鏈、云象區(qū)塊鏈、QuarkChain、麥子錢(qián)包、EOSPark等共計(jì)超過(guò)50家區(qū)塊鏈公司建立戰(zhàn)略合作關(guān)系,審計(jì)報(bào)告被國(guó)內(nèi)外各大知名交易所認(rèn)可,為助力本體智能合約安全發(fā)布形式化驗(yàn)證平臺(tái)VaaS-ONT。公司審計(jì)智能合約超500份,獨(dú)立發(fā)現(xiàn)區(qū)塊鏈安全漏洞幾十種,獲得行業(yè)及客戶的一致好評(píng)和認(rèn)可。讓區(qū)塊鏈生態(tài)更安全,是我們的美好愿景!
「Beosin」
作為Huobi、OKEx、KuCoin
CoinBene、CoinTiger等
著名交易所指定的合約審計(jì)公司。?
入選Etherscan智能合約安全審計(jì)名單。
歡迎聯(lián)系Beosin,了解智能合約安全審計(jì)
智能合約開(kāi)發(fā)審計(jì)一條龍
錢(qián)包安全審計(jì)
DApp安全加固與審計(jì)
區(qū)塊鏈平臺(tái)安全審計(jì)
交易所安全檢測(cè)
安全產(chǎn)品定制化服務(wù)
企業(yè)級(jí)安全服務(wù)
?·
電話:028-83262585
網(wǎng)站:www.lianantech.com
郵箱:vaas@lianantech.com
地址:成都市世紀(jì)城南路599號(hào)
天府軟件園D7座504室
官網(wǎng):
https://www.lianantech.com
GitHub網(wǎng)址:
https://github.com/Lianantech/VCA
Facebook網(wǎng)址:
https://www.facebook.com/BeosinChengdu/
twitter網(wǎng)址:
https://twitter.com/Beosin_com
Telegram中文群:
https://t.me/LiananTech_cn
Telegram英文群:
https://t.me/LiananTech_en
微博:
https://weibo.com/u/6566884467
CSDN博客:
https://blog.csdn.net/CDLianan
知乎專欄:
??點(diǎn)擊了解更多
總結(jié)
以上是生活随笔為你收集整理的私钥被盗,满盘皆输——Poker EOS被盗 2万多EOS事件启示的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Zero WL biases read
- 下一篇: platEMO里多目标进化算法对应的参考