EOS被盜事件頻起，這裡有一份安全攻略供你食用

近日EOS被盜事件頻起，作為EOS中文治理社羣的EMAC，截止2018年7月8日，已接到六起報告丟失EOS 的案件，丟失的EOS數量從幾十到幾十萬個不等。本期主要回顧近日EOS被盜事件，並進行分析總結，希望讓大家意識到數字貨幣私鑰安全的重要性，保護好自身的資產。

注：EMAC是EOS中文治理社羣的縮寫。主要職能是有關治理的培訓和交流；華語事件的瞭解和跟蹤；與海外社羣的溝通。

事件回顧

part.1 

駭客承諾幫助賬戶sunmoke12345的受害者建立EOS帳戶。然後，EOS帳戶的owner/active許可權被修改，如圖中瀏覽器顯示的，出現兩對owner/active許可權（圖為修改前+修改後）。

part.2

一位微信名“紅塵”的EOS投資者透過https://eostea.githubio/eos-generate-key/ 生成了公私鑰對，然後委託微信名叫：null (微訊號: smilezx1ng) 幫忙代註冊。

註冊成功後，透過鏈上資料分析發現: active和owner許可權使用了不同的公鑰，其中active許可權對應的公鑰是受害人自己生成並提供給null的，而owner許可權的公鑰並非受害人所有，之後受害人被修改許可權，丟失14869個EOS。

part.3

baosange1212的建立者透過Tp錢包手機頁面建立Tp錢包賬號，隨後在Tp錢包手機頁面上提供的Eostea上空格無內容助記詞生成了私鑰和公鑰，這導致空格助記詞生成的私鑰公鑰全部是一樣。先後有8個Tp使用者跟此使用者同樣操作、導致8個使用者和他共享公鑰，私鑰重複意味著自己的資產別人也有許可權控制，之後此使用者9722個Eos在第二天就被轉移到“cceecceeccee”地址。

被盜分析&建議

part.1 

分析：

事件一二的主要原因是讓陌生人幫助註冊賬號，由於註冊賬號需要已經存在的賬號幫忙抵押記憶體，所以最近常見的釣魚手法就是幫忙註冊賬號。

這就意味著可能將Owner、Active許可權掌握在他人的手上，這相當於把你的資產拱手獻上。

更高深的套路是對方會讓使用者自己生成公鑰和私鑰，並且只需要使用者提供公鑰。但是由於EOS賬號有兩把私鑰（關於兩把私鑰，想要了解更多請點選連結：EOS賬號有兩把私鑰，你造嗎？），對方把使用者提供的公鑰設定為Active許可權公鑰，把自己的公鑰偷偷設定為Owner許可權公鑰，等使用者向這個賬號裡轉入EOS資產後，對方就用自己控制的Owner許可權來控制使用者的賬戶，轉移EOS資產。

建議：

這裡建議小夥伴切忌讓陌生人幫忙註冊賬號，使用EOS帳戶建立服務的人務必使用受信任的程序或介面。在賬號註冊之後仔細檢查Owner許可權 和 Active 許可權的公鑰，小夥伴可以在EOS區塊鏈瀏覽器https://eospark.com/中透過使用者名稱查詢。

part.2

分析：

事件三主要是因為使用者使用空助記詞或較弱的助記片語合生成的私鑰，很容易遭受“彩虹”攻擊。

據IMEOS瞭解，近日區塊鏈安全公司PeckShield在分析EOS賬戶安全性時發現，部分EOS使用者正在使用的秘鑰存在嚴重的安全隱患。問題的根源在於部分秘鑰生成工具允許使用者採用強度較弱的助記片語合，而透過這種方式生成的秘鑰很容易存在“彩虹”攻擊，進而導致賬戶數字資產被盜。

相關錢包中利用空白助記詞生成私鑰的功能選專案前也已經關閉，各方都在積極自查，希望可以早日釐清問題原因。

建議：

大家可以在這裡檢測自己的賬號是否安全：https://peckshield.com/eosrescuer

針對此安全威脅，為了幫助使用者減少可能的經濟損失，PeckShield安全人員定製了一套危機解決方案：

1、披露因助記詞使用問題導致的資產被盜漏洞細節，並呼籲EOS社羣使用者加強安全防範，避免使用空助記詞或較弱的助記片語合；

2、啟用EOSRescuer（peckshield.com/eosrescuer）公共查詢服務，使用者可一鍵查閱自己的賬號是否存在安全風險；

3、將已經監測到的存在高安全風險的使用者資產暫時轉移到特定的安全賬戶，受影響使用者可聯絡PeckShield進行認領。為確保使用者利益不受侵害，PeckShield會將上述安全賬戶的所有記錄透明公開，並接受第三方媒體的監督。注：使用者認領時需提供EOS賬戶所有權的證明，包括必要的交易記錄等。

part.3

分析：

除了上述被盜原因之外，還有各種各樣的原因，私鑰不明原因丟失、私鑰忘記、丟失和轉錯賬戶…………大部分的原因皆跟私鑰有關。

建議：

保護資產的第一步是使用者需要提升私鑰安全意識，瞭解更多關於Owner、Active許可權的知識，妥善儲存好兩種許可權的私鑰，最好的辦法是用紙和筆抄寫下來。

私鑰被盜將會成為過去時

值得一喜的是，7月17日，BM 在治理群發表實現更高階別治理的一些必要條件，BM 表示私鑰被盜將會成為過去時，和治理範圍之外的事。

EOS生態的完善不是一朝一夕的事情，但將會越來越好，無數的社羣置身其中為建設生態而努力。除了上述所提到的EMAC解決了一些被盜事件之外，ECAF（核心仲裁論壇）同樣解決了不少偷盜事件，MORE.TOP同樣致力於資產安全，是市面上首個採用雙私鑰模式的錢包。

= END =