星球日报
搜索
手机客户端
iPhone · Android
公众号
微信公众号

持仓 EOS 需谨慎,又一大户被盗百万 EOS

2018-09-26

别看 EOS 安全不怎么样,但治理还是可以的。

9 月 25 日(昨日)下午,IMEOS 发布公告称,EOS 账户“gm3dcnqgenes”被盗 209 万个 EOS,约合 1080 万美元(后更正为 212 万个EOS)。

事件经过是这样的,25 日凌晨 3 点,该账号被更新 owner 和 active 两把私钥。之后,黑客对该账户实施了系列操作,包括赎回账户抵押的所有 EOS、将账户中的大量糖果(主要是BLACK、IQ、ADD)通过交易所 Newdex 换成 EOS、并通过场外交易平台 OTCBTC 套现了小部分( 5000 个) EOS。

EOS 治理社区得知情况后,各 BP(超级节点)表示将支持被害者,并冻结了黑客未提走的大部分EOS,目前,EOS 核心仲裁论坛(ECAF)正在处理该案件。

持仓 EOS 需谨慎,又一大户被盗百万 EOS

账户“gm3dcnqgenes”的情况,数据来自Blocks.io,时间截至2018.9.26 12:00

回过头看,这一系列操作是如何发生的呢?

Bcsec安全团队介绍,目前事件披露的信息较少,我们只知道该账户可能是被黑客钓鱼了(ECAF 工作人员表示该账户疑似曾使用过一款名为 EOS Wallet 的钓鱼软件),这也是目前比较常见的手段。但实际情况如何还需等待仲裁结果。

自主网上线后,EOS 资产被盗的事件频频发生。据 EOS 中文治理社区的 EMAC 的报告,截止 2018 年 7 月 8 日,已接到 6 起报告丢失 EOS 的案件,丢失数量从几十到几十万个不等。

这些安全事件的发生,一方面是由于用户的安全意识不够,比如一些 EOS 账户使用弱助记词生成私钥,就存在隐含风险;另一面,也要归因于 EOS 独特的账户机制,让黑客有可乘之机。

我们知道比特币和以太坊是每个账户都有一个地址/公钥,以及与之对应的私钥。而 EOS 的账号则有两对不同权限的公/私钥:

  • Active 权限,包括一对 Active 公钥和私钥。Active 即操作权,该权限可以用于转账、投票等日常操作。

  • Owner 权限,包括一对 Owner 公钥和私钥。Owner 即所有权,是账户最高权限,可以用于重置 Active 私钥。

黑客利用这个机制设计,可轻易钓取用户的资产。

举个曾发生过的案例。由于注册 EOS 账户需要已存在的账户帮忙抵押内存,所以一种常见的钓鱼手法是帮助新用户注册账户。注册时,用户需向来帮忙的账户提供公钥,此时,钓鱼者就会将用户提供的公钥设置为新账户 Active 公钥,把自己的公钥偷偷设置为新账户的 Owner 公钥。之后,若有人向新账户转入 EOS 资产,钓鱼者就用自己控制的 Owner 权限来控制用户的新账户,转走 EOS 资产。

据知情人士透露,黑客控制账户后,如果他还未转走 EOS,那么账户实际户主可提请 ECAF 进行仲裁;但若黑客已通过交易所提走 EOS,因为已超出 ECAF 的权责范围,追回资金较困难。

此次 “gm3dcnqgenes” 被盗消息披露后,黑客兑换糖果所用的 EOS 去中心化交易所 Newdex 宣布禁止被盗账户的一切交易(直到账户物归原主);Starteos 节点则自发冻结了该账户,加上BP 和 ECAF 的介入,黑客不得已终止了操作,没给资产所有者造成过大损失。

EOS 是人治程度较高的去中心化平台,大家觉得,这种善后机制的方式如何呢?

(我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由)

原创文章,作者:黄雪姣。转载/内容合作/寻求报道请联系 report@odaily.com ;违规转载法律必究。

参与讨论

登录后参与讨论

黄雪姣

资深作者

黄雪姣

交流可加微信 hxjiapg,劳请注明职务与事由。

总文章数: 120


分享至

微信扫一扫分享

0
金融比特币财富管理

Copyright 2017-2018 Beijing Star Node Media Culture Co., Ltd.