OIN:EOS 節點投票暴露巨大私鑰安全隱患，超百萬 EOS 已被盜

你會信任讓誰知道自己的私鑰？

這個問題可能正是EOS代幣持有者所關注的，持有者被激勵去幫助這個期待已久的項目正式上線，但是他們還沒有這樣做。由于EOS被建立以實現其用戶的自我管理，這些個人和企業必須邁出第一步，通過精心設計的全球網絡投票來選出想要誰來處理交易，也就是選出區塊生產者。

但是截至到目前為止，EOS持有者對這場選舉的的積極性并不高。相反，EOS區塊鏈被鎖定在了「已啟動」和「上線運行」之間的一個中間地帶，而這個過程的完成完全取決于用戶的意愿。

問題是，要參與投票，用戶必須證明他們持有自己的代幣，這一過程需要使用到他們的EOS私鑰、這一敏感的密碼字符串來證明他們擁有自己的EOS資金，如果私鑰丟失了，那么這些資金就會永遠消失。因此，盡管用戶渴望參與投票，但他們擔心那些能夠讓他們投票的工具可能會使他們的持有權處于危險之中。

一個EOS用戶在電報群中寫道：「在EOS啟動過程中，最大的「失算」就是未能了解到散戶EOS投資者并不愿意用他們的私鑰投票。」

安全公司：EOS用戶參與DMD挖礦被盜10萬美元，或因私鑰失竊所致:針對Diamond.finance用戶被盜10萬USDT的事件，PeckShield安全人員跟進分析認為，該用戶被盜原因和eosio.code權限無關，疑似私鑰被盜。EOS公鏈上存在大量用戶敏感權限被操控的情況，安全意識較為薄弱的用戶在參與合約交互時，向一些合約平臺開放了權限，使得平臺可在用戶不知情的情況轉移用戶資產。截至目前，EOS公鏈上賬戶權限受控制的賬戶高達3,269個，涉及資產18,600個EOS。PeckShield在此預警，用戶參與流動性挖礦應避免使用曾經開放過Owner/Active授權的賬戶，避免資產遭受不必要的損失。[2020/9/7]

正如CoinDesk所詳述的，唯一受到第三方安全審查的投票軟件是CLEOS，這是EOS創建者block.one發布的命令行工具。然而，由于使用該工具需要具備較高的計算機技術能力，許多EOS代幣持有者被迫選擇不那么受信任的軟件。

事實上，在整個社區論壇上，為EOS創建的第三方軟件中的不信任導致了參與投票過程的用戶面臨混亂。

動態 | 昨日EOS主網CPU擁堵指數為100% EIDOS實際消耗占比77.76%:據DAppTotal.com數據顯示，昨日（11月25日），全網的CPU消耗總量為11,956,660 ms，EOS主網擁堵指數為100%，DAppTotal已收錄635個EOS DApps中，排名前5的DApp分別為：EIDOS（占比77.76%），BigGame（占比1.78%），WhaleEx（占比0.64%），EOSDynasty（占比0.55%），Dice（占比0.5%）。其中EIDOS消耗了全網77.76%的CPU資源，昨日交易次數總計為3,803萬次，較前日環比增加1.03%。（注：數據為昨日平均值，配圖為當前CPU按小時動態擁堵狀況）[2019/11/26]

雖然已經制作了幾個軟件來解決這個問題，但也有人表達了表達了對這些軟件缺乏第三方安全審計的擔憂。此外，還有可能發生欺詐和攻擊，甚至可以攔截最誠實的開發人員的努力。

「每當事情對人們來說太復雜時，就會出現一些不法分子，他們試圖利用這些弱點，」一種名為Tokenika的投票工具的首席開發者KrzysztofSzumny告訴CoinDesk。

動態 | Coinbase Pro增加EOS、REP及MKR:據Coinbase Pro官方消息，Coinbase Pro將開始接受EOS、REP及MKR的存款。Coinbase Pro將在開啟交易前至少接受12小時的存款。[2019/4/9]

盡管如此，有一些證據表明，這樣的擔憂可能會導致投票進展緩慢，進而導致EOS主網運行啟動緩慢。截止發稿時，在所需要的1.5億EOS選票中，目前只完成了37.35%。

正如一位EOS用戶在電報群中所寫的那樣：

「可以肯定的是，我并不是唯一一個正在等待把私鑰放進新錢包能夠百分之百安全的人。」

安全

首先要了解為什么需要私鑰才能對EOS進行投票，這是很有幫助的。

在使用任何EOS投票軟件時都需要一個私鑰，原因有兩個：1.驗證投票是否合法；2.將該投票與用戶的持有量相關聯，后者用于確定投票的權重。

Bancor聯合創始人兼CTOYudiLevi表示：「無論你是從錢包、命令行工具還是其他任何地方投票，都必須使用你的私鑰投票。」

動態 | 今晨EOS競猜游戲EOSLuck遭黑客攻擊:今天凌晨，PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜游戲EOSLuck發起攻擊，并已經成功獲益上千EOS。PeckShield安全人員初步分析發現，攻擊者針對的是該游戲的隨機數算法，最終攻擊者的中獎比例大大高于其他普通玩家。PeckShield安全人員正持續跟進并做攻擊特征分析，同時已將fob開頭的攻擊者相關賬號標記高危，向廣大DApp開發者社群發出防范預警。[2019/1/22]

Bancor也開發了一種投票工具，名為LIGIDOS。

從本質上說，在投票過程中使用私鑰等同于交易簽名——需要相同類型的簽名才能發送標準的加密貨幣交易。

然而，問題歸結為私鑰是以何種方式被暴露的。

在接受CoinDesk采訪時，區塊生產者候選人和投票軟件提供商EosCanada的聯合創始人AlexandreBourget表示，目前的投票工具存在一系列安全問題，從可信賴到極高風險。

EOS 3.0開發進度已達91%:此前有消息稱EOS 3.0將延期至2月底發布，EOS 3.0已經被更新為2018年第一季度、第二季度、第三四季度三大目標，Q1是最后的代碼收尾，Q2則主要是社群，上線前測試，文檔和小漏洞修補為主，Q3-Q4則是上線之后的系統性能提升和調整以及總結系統上線的經驗并持續改進EOS。目前Q1的進度已經達到91%，具體完成時間并未公布。[2018/1/22]

一方面，有命令行工具，比如CLEOS，其中私鑰的暴露風險最小。隨著軟件添加代碼以提供用戶友好的界面，安全性變得越來越困難。另外，代碼越接近互聯網，截獲私鑰的機會就越大。

Bourget告訴CoinDesk說：

「有網站會要求你把你的私鑰放進去，然后用它來做事情。」

「他們可能是完全合法的，但這是一個巨大的風險，因為我們一次又一次地看到網站是非常善意的，但被黑客攻擊。」

值得注意的是，EOS代幣持有者正處于一個敏感的階段。Bourget強調，大多數EOS用戶都是直接從代幣眾籌中來的，而且可能還沒有將訪問控制重新配置到他們的EOS帳戶。或者換一種方式，盡管可以創建多個私鑰來管理一個帳戶，但目前大多數用戶的代幣可能都對應于一個私鑰。

對于黑客來說，這為對這個字母數字字符串發動釣魚攻擊增加了一個重要的激勵。

最佳措施

盡管如此，EOS持有者在投票時還是有辦法保護自己的。

例如，Bourget建議用戶重新配置EOS帳戶設置，以生成一個私鑰，該私鑰可以用于投票簽名，但不能鏈接到實際錢包本身。

盡管關于介紹如何做到這一點的說明文檔不多，Bourget暗示EOSCanada可能很快就會創建一個視頻來解釋如何操作。不過，在此之前，用戶可以采取一些更簡單的措施。

Bancor的Levi說：

「使用一個可下載的投票工具，然后在你的機器上運行，此外要確保在瀏覽器外運行，在瀏覽器投票容易被工具欄、僵尸網絡和其他不法分子操縱。」

此外，他還鼓勵人們使用由老牌公司生產的工具，并說：

「老牌公司承擔丟失風險的能力更強。」

例如，雖然Scatter,Greymass,LiquidEOS和EOSCanada的「EOSC」等開源投票工具沒有經過第三方審計，但這些應用程序背后的每一家公司或項目都在努力限制私鑰暴露的程度，并仔細記錄這些過程。

正如前面提到的，由于私鑰在網上使用時更容易被盜用，Tokenika設計了一種離線生成投票的工具，只連接到互聯網上發布投票記錄。

「為了最大限度的安全，我們強烈鼓勵人們在上網時不要在設備上使用私鑰，」Tokenika的szumny告訴CoinDesk。

盡管如此，用戶仍然有機會在他們的設備上本地觸發惡意軟件。

Bourget告訴CoinDesk說：「知道二進制文件的來源和構建它的人是非常重要的，因為有風險，而且是冷捕獲，所以很容易逃脫它。」

因此，Szumny警告EOS持有者不要做實驗，要謹慎地使用私鑰，要慢慢來參與投票過程，以免因為操之過急而犯下錯誤。這位開發者總結道：

「盡早投票是很重要的，但更重要的是在投票過程中不要犯任何錯誤。」

私鑰風險絕不是危言聳聽。根據IMEOS今天上午消息，EOS主網上線期間大量EOS私鑰被黑客偷走。已有超過60多位英文區和韓文區的受害者，中文區還未統計，涉及的EOS總數超過百萬。截至目前，。由EOS42發起，多個節點正在全力支持處理，已有3個賬號被找回，一個被認領。

這百萬EOS是因用戶操作不當被盜，并不是交易所EOS被盜，各大節點正努力協同找回。目前根據佳能節點CTObean的分析，可能是因為在用戶復制粘貼私鑰的時候，被某些惡意程序監聽了，建議大家不要復制私鑰。

鏈聞ChainNews：提供每日不可或缺的區塊鏈新聞。

原文作者：RachelRoseO'Leary鏈聞編譯：Mr.Rochester版權聲明：文章為作者獨立觀點，不代表鏈聞ChainNews立場。

來源鏈接：www.coindesk.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626876.html

EOS柚子

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

密歇根州新法案：篡改區塊鏈數據或面臨14年以下監禁

Tags：EOSCOINCOIOINEOSCkucoin成都coinw交易所安全嗎Coin Guardian

世界幣