搜索

持仓 EOS 需谨慎,又一大户被盗百万 EOS

Odaily星球日报 · 2018-09-26
别看 EOS 安全不怎么样,但治理还是可以的。

编者按:本文来自36氪战略合作区块链媒体“Odaily星球日报 ”(公众号ID:o-daily,APP下载

9 月 25 日(昨日)下午,IMEOS 发布公告称,EOS 账户“gm3dcnqgenes”被盗 209 万个 EOS,约合 1080 万美元(后更正为 212 万个EOS)。

事件经过是这样的,25 日凌晨 3 点,该账号被更新 owner 和 active 两把私钥。之后,黑客对该账户实施了系列操作,包括赎回账户抵押的所有 EOS、将账户中的大量糖果(主要是BLACK、IQ、ADD)通过交易所 Newdex 换成 EOS、并通过场外交易平台 OTCBTC 套现了小部分( 5000 个) EOS。

EOS 治理社区得知情况后,各 BP(超级节点)表示将支持被害者,并冻结了黑客未提走的大部分EOS,目前,EOS 核心仲裁论坛(ECAF)正在处理该案件。

账户“gm3dcnqgenes”的情况,数据来自Blocks.io,时间截至2018.9.26 12:00

回过头看,这一系列操作是如何发生的呢?

Bcsec安全团队介绍,目前事件披露的信息较少,我们只知道该账户可能是被黑客钓鱼了(ECAF 工作人员表示该账户疑似曾使用过一款名为 EOS Wallet 的钓鱼软件),这也是目前比较常见的手段。但实际情况如何还需等待仲裁结果。

自主网上线后,EOS 资产被盗的事件频频发生。据 EOS 中文治理社区的 EMAC 的报告,截止 2018 年 7 月 8 日,已接到 6 起报告丢失 EOS 的案件,丢失数量从几十到几十万个不等。

这些安全事件的发生,一方面是由于用户的安全意识不够,比如一些 EOS 账户使用弱助记词生成私钥,就存在隐含风险;另一面,也要归因于 EOS 独特的账户机制,让黑客有可乘之机。

我们知道比特币和以太坊是每个账户都有一个地址/公钥,以及与之对应的私钥。而 EOS 的账号则有两对不同权限的公/私钥:

  • Active 权限,包括一对 Active 公钥和私钥。Active 即操作权,该权限可以用于转账、投票等日常操作。

  •  Owner 权限,包括一对 Owner 公钥和私钥。Owner 即所有权,是账户最高权限,可以用于重置 Active 私钥。

黑客利用这个机制设计,可轻易钓取用户的资产。

举个曾发生过的案例。由于注册 EOS 账户需要已存在的账户帮忙抵押内存,所以一种常见的钓鱼手法是帮助新用户注册账户。注册时,用户需向来帮忙的账户提供公钥,此时,钓鱼者就会将用户提供的公钥设置为新账户 Active 公钥,把自己的公钥偷偷设置为新账户的 Owner 公钥。之后,若有人向新账户转入 EOS 资产,钓鱼者就用自己控制的 Owner 权限来控制用户的新账户,转走 EOS 资产。

据知情人士透露,黑客控制账户后,如果他还未转走 EOS,那么账户实际户主可提请 ECAF 进行仲裁;但若黑客已通过交易所提走 EOS,因为已超出 ECAF 的权责范围,追回资金较困难。

此次 “gm3dcnqgenes” 被盗消息披露后,黑客兑换糖果所用的 EOS 去中心化交易所 Newdex 宣布禁止被盗账户的一切交易(直到账户物归原主);Starteos 节点则自发冻结了该账户,加上BP 和 ECAF 的介入,黑客不得已终止了操作,没给资产所有者造成过大损失。

EOS 是人治程度较高的去中心化平台,大家觉得,这种善后机制的方式如何呢?

(我是作者黄雪姣,区块链项目报道/交流可加微信hxjiapg,劳请备注职务和事由)

+1
5

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

下一篇

商品房预售真的要取消吗?

2018-09-26

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业