EOS节点投票暴露巨大私钥安全隐患,超百万EOS已被盗_红领财经_专注儿童成长产业商业创新_希鸥网战略合作伙伴
EOS节点投票暴露巨大私钥安全隐患,超百万EOS已被盗
发布时间 2018-06-14 13:45 巴比特 阅读 183次

你会信任让谁知道自己的私钥?

这个问题可能正是EOS代币持有者所关注的,持有者被激励去帮助这个期待已久的项目正式上线,但是他们还没有这样做。由于EOS被建立以实现其用户的自我管理,这些个人和企业必须迈出第一步,通过精心设计的全球网络投票来选出想要谁来处理交易,也就是选出区块生产者(BP)。

QQ截图20180614115145

但是截至到目前为止,EOS持有者对这场选举的的积极性并不高。相反,EOS区块链被锁定在了“已启动”和“上线运行”之间的一个中间地带,而这个过程的完成完全取决于用户的意愿。

问题是,要参与投票,用户必须证明他们持有自己的代币,这一过程需要使用到他们的EOS私钥、这一敏感的密码字符串来证明他们拥有自己的EOS资金,如果私钥丢失了,那么这些资金就会永远消失。因此,尽管用户渴望参与投票,但他们担心那些能够让他们投票的工具可能会使他们的持有权处于危险之中。

一个EOS用户在电报群中写道:“在EOS启动过程中,最大的“失算”就是未能了解到散户EOS投资者并不愿意用他们的私钥投票。”

正如coinDesk所详述的,唯一受到第三方安全审查的投票软件是CLEOS,这是eos创建者block.one发布的命令行工具。然而,由于使用该工具需要具备较高的计算机技术能力,许多eos代币持有者被迫选择不那么受信任的软件。

事实上,在整个社区论坛上,为eos创建的第三方软件中的不信任导致了参与投票过程的用户面临混乱。

虽然已经制作了几个软件来解决这个问题,但也有人表达了表达了对这些软件缺乏第三方安全审计的担忧。此外,还有可能发生欺诈和攻击,甚至可以拦截最诚实的开发人员的努力。

“每当事情对人们来说太复杂时,就会出现一些不法分子,他们试图利用这些弱点,”一种名为Tokenika的投票工具的首席开发者Krzysztof szumny告诉CoinDesk。

尽管如此,有一些证据表明,这样的担忧可能会导致投票进展缓慢,进而导致EOS主网运行启动缓慢。截止发稿时,在所需要的1.5亿EOS选票中,目前只完成了37.35%。

正如一位EOS用户在电报群中所写的那样:

“可以肯定的是,我并不是唯一一个正在等待把私钥放进新钱包能够百分之百安全的人。”

 

安全

 

首先要了解为什么需要私钥才能对EOS进行投票,这是很有帮助的。

在使用任何EOS投票软件时都需要一个私钥,原因有两个:1.验证投票是否合法;2.将该投票与用户的持有量相关联,后者用于确定投票的权重。

Bancor联合创始人兼CTO尤迪·利维(Yudi Levi)表示:“无论你是从钱包、命令行工具还是其他任何地方投票,都必须使用你的私钥投票。”

Bancor也开发了一种投票工具,名为LIGIDOS。

从本质上说,在投票过程中使用私钥等同于交易签名——需要相同类型的签名才能发送标准的加密货币交易。

然而,问题归结为私钥是以何种方式被暴露的。

在接受CoinDesk采访时,区块生产者候选人和投票软件提供商Eos Canada的联合创始人亚历山大·布尔吉(Alexandre Bourget)表示,目前的投票工具存在一系列安全问题,从可信赖到极高风险。

一方面,有命令行工具,比如CLEOS,其中私钥的暴露风险最小。随着软件添加代码以提供用户友好的界面,安全性变得越来越困难。另外,代码越接近互联网,截获私钥的机会就越大。

Bourget告诉CoinDesk说:

“有网站会要求你把你的私钥放进去,然后用它来做事情。”

“他们可能是完全合法的,但这是一个巨大的风险,因为我们一次又一次地看到网站是非常善意的,但被黑客攻击。”

值得注意的是,EOS代币持有者正处于一个敏感的阶段。Bourget强调,大多数EOS用户都是直接从代币众筹中来的,而且可能还没有将访问控制重新配置到他们的EOS帐户。或者换一种方式,尽管可以创建多个私钥来管理一个帐户,但目前大多数用户的代币可能都对应于一个私钥。

对于黑客来说,这为对这个字母数字字符串发动钓鱼攻击增加了一个重要的激励。

 

最佳措施

 

尽管如此,EOS持有者在投票时还是有办法保护自己的。

例如,Bourget建议用户重新配置EOS帐户设置,以生成一个私钥,该私钥可以用于投票签名,但不能链接到实际钱包本身。

尽管关于介绍如何做到这一点的说明文档不多,Bourget暗示EOS Canada可能很快就会创建一个视频来解释如何操作。不过,在此之前,用户可以采取一些更简单的措施。

Bancor的Levi说:

“使用一个可下载的投票工具,然后在你的机器上运行,此外要确保在浏览器外运行,在浏览器投票容易被工具栏、僵尸网络和其他不法分子操纵。”

此外,他还鼓励人们使用由老牌公司生产的工具,并说:

“老牌公司承担丢失风险的能力更强。”

例如,虽然Scatter, Greymass, LiquidEOS和EOS Canada的“EOSC”等开源投票工具没有经过第三方审计,但这些应用程序背后的每一家公司或项目都在努力限制私钥暴露的程度,并仔细记录这些过程。

正如前面提到的,由于私钥在网上使用时更容易被盗用,Tokenika设计了一种离线生成投票的工具,只连接到互联网上发布投票记录。

“为了最大限度的安全,我们强烈鼓励人们在上网时不要在设备上使用私钥,”Tokenika的szumny告诉CoinDesk。

尽管如此,用户仍然有机会在他们的设备上本地触发恶意软件。

Bourget告诉CoinDesk说:“知道二进制文件的来源和构建它的人是非常重要的,因为有风险,而且是冷捕获,所以很容易逃脱它。”

因此,Szumny警告EOS持有者不要做实验,要谨慎地使用私钥,要慢慢来参与投票过程,以免因为操之过急而犯下错误。

这位开发者总结道:

“尽早投票是很重要的,但更重要的是在投票过程中不要犯任何错误。”

私钥风险绝不是危言耸听。根据IMEOS今天上午消息,EOS主网上线期间大量EOS私钥被黑客偷走。已有超过60多位英文区和韩文区的受害者,中文区还未统计。涉及的EOS总数超过百万。截至目前,已有3个账号被找回,一个被认领。由EOS42发起,多个节点正在全力支持处理。

这百万EOS是因用户操作不当被盗,并不是交易所EOS被盗,各大节点正努力协同找回。目前根据佳能节点CTO bean的分析,可能是因为在用户复制粘贴私钥的时候,被某些恶意程序监听了。建议大家不要复制私钥。

据日本时报报道,随着第五代移动通信技术商业化的临近,预计11位数字电话号码最早将在2022年耗尽,日本通信部计划...[原文链接]
苹果CEO库克和CFO梅斯特里此前在财报电话会议上对业绩表示乐观,但随后于1月份下调了营收展望。这起事件引发...[原文链接]
36氪讯,商汤科技教育事业部总经理戴娟宣布推出AI教育机器人系列,包括一款名为SenseRover MINI的迷你编程小车,...[原文链接]
36氪迅,据未来宇航研究院的数据统计,截止到2018年年底,国内已注册的商业航天领域公司已达到141家。2018年中国...[原文链接]
高端模拟芯片设计“川土微电子”完成A轮数千万增资。本轮融资由中汇金领投,Pre-A轮独家投资方磐霖资本继续加...[原文链接]
每周精选查看更多 >
红领巾财经:忍不住吼孩子,可能会对孩子造成这几种负面影响,你知道多少?
红领巾财经:忍不住吼孩子,可能会对孩子造成这几种负面影响,你知道多少?
调皮是每个孩子的天性,很多妈妈自从有了孩子,要照顾孩子生活起居,督促孩子学习,写作业,看电视,睡觉,等等的生活琐事,让妈妈们成了河东狮吼,脾气也不由变得暴躁,孩子一旦不听,许多家长都会采用吼孩子的方式,呵斥孩子,确实,这种方法立... [详细]
红领巾财经:做好五个生活细节,培养高智商的孩子,很多父母第一条就没做到
红领巾财经:做好五个生活细节,培养高智商的孩子,很多父母第一条就没做到
很多宝妈都希望自己的宝贝可以像个小机灵鬼一样聪明机智、思维敏捷。但是,对于如何培养出一个机灵宝宝似乎有点小迷惑,其实,除了父母的基因遗传之外,后天的培养同样重要!... [详细]
红领巾财经:为什么宝宝只粘妈妈,不是爸爸?背后原因或许是这些
红领巾财经:为什么宝宝只粘妈妈,不是爸爸?背后原因或许是这些
普遍来看,3岁以下的孩子更喜欢和妈妈腻在一起。孩子依恋母亲是一个正常的现象,良好的依恋关系能增强孩子与他人交往的安全感,有利于孩子日后与他人建立亲密和信赖关系。但是孩子过分依赖妈妈,而疏远爸爸,只喜欢时时刻刻呆... [详细]
红领巾财经:被宠坏的孩子会出现这4个表现,家长们现在纠正还来得及!
红领巾财经:被宠坏的孩子会出现这4个表现,家长们现在纠正还来得及!
虽然现在国家开放二胎政策,大多数家庭还是独生子女居多,父母都是竭尽所能给孩子最好,对孩子有求必应,有些父母在不知不觉中对孩子过度溺爱,造成孩子性格变得自私,人际交往中以自我为中心,遇到挫折容易气馁,受不了打击等等这些... [详细]
红领巾财经:一组大数据告诉你,儿童产业的市场规模究竟有多大?
红领巾财经:一组大数据告诉你,儿童产业的市场规模究竟有多大?
儿童产业主要是服务于0到12岁的儿童,产品涵盖的范围非常广,产品种类也异常丰富,涵盖了儿童的“吃、穿、用、住”等方方面面。 [详细]