私钥被盗，满盘皆输——Poker EOS被盗 2万多EOS事件启示

“

A secret between more than two is no secret. 两人以上知道的秘密就不算秘密。

”

01 事件回顾

5月24日凌晨，Poker EOS 官方中文电报群中发出通知：由于项目方账户私钥泄露，被黑客攻击。

官方通知

 

截止5月24日19点，据项目方统计，此次黑客攻击事件项目方损失共计26992.2297EOS，pokereoshome损失13140EOS，pokereosgame损失8800EOS，poekreobonus损失200EOS，流入交易所900万PKE交易损失约4852.2297EOS。

 

官方公告

 

项目方给出此次攻击事件发生的原因是团队私钥管理不当。其实因私钥管理不当而导致损失的事件可以说不是罕见的事了。

交易所被盗金额统计图

 

据资料汇总，从2014年起至2019年3月共发生交易所被盗事件33起，其中主要因私钥泄露导致损失的有3起：2018年 4月12日，印度加密货币交易所Coinsecure因冷存储恢复失败暴露了用于离线存储的私钥被盗438比特币，警方发现私钥在网上曝光超过12小时；2018年7月26日，KICKICO由于安全漏洞发生导致黑客成功获得了“KICK智能合约账户”的私钥，损失770美元；2015年1月9日，Bitstamp多个操作钱包遭到破坏，导致19,000比特币丢失，据称是由于该公司一名员工下载了一个恶意文件，该文件使攻击者可以访问包含wallet.dat文件的服务器以及公司热钱包的密码。

 

除交易所被盗外，也有针对个别用户进行攻击，盗取私钥的，2018年7月发生的近千万EOS被盗事件，黑客通过盗取受害人的私钥而盗走了其价值近千万的EOS。

 

而今年年初轰动一时的交易所Quadriga CX上亿资产被锁事件则是由于其创始人兼首席执行官的突然离世导致其中1.47亿美元的加密数字货币秘钥丢失“被上锁”。

 

这些丢失的资产一去不复还。因为区块链的“去中心化”的特性，基于区块链技术的加密货币一旦丢失，基本是不可找回的，不可逆的，除非主网分叉。

02 私钥及其重要性

那么什么是私钥呢？有账号就有私钥。私钥是钱包里资金所有权的证明和合约拥有权的证明，其本质是32个byte组成的数组，由256个0或者1随机组成，可以把它理解成银行卡的密码，这个密码除了自己不会有任何人知道，不过银行卡密码是可以自己设置的，而私钥是随机生成的。

 

 

回到此次事件，我们来看EOS私钥。一些普通用户可能不知道在EOS的账号体系中有两种权限的私钥，即Owner 私钥和Active 私钥，并不是只有一把私钥。

 

Owner 私钥是所有权，具有Active 私钥所有权限，以及具有重置 Active 私钥等最高权限。

 

Active 私钥即操作权，可以用于平时的转账、投票等满足日常的操作。

 

Owner私钥和Active私钥的关系类似老板和员工的关系。Owner即老板，拥有最高的权限，可以做任何事情。Active即员工，相对而言权限较小。但是老板只在有重大事件时参与运营，日常的经营业务则是由员工完成的。

 

于是，平时最常露面的是员工（Active），主要用来做平时的转账、投票等日常的操作。老板（Owner）并不经常出现，只有当员工（Active）发生重大问题，才会需要他出面。

 

对于Owner私钥和Active私钥的使用与保管，EOS官方推荐用户平时只使用 Active 私钥，把Owner 私钥离线保存，只在有重大安全问题时用到 Owner 私钥。

 

这就意味着会有两种操作模式：单私钥模式和双私钥模式。

 

单私钥模式即Owner 和 Active 使用同一把私钥，这样来说相对简单，只需备份一把私钥。

 

双私钥模式即Owner和Active使用不同的私钥，相对单私钥模式而言，这种模式多了一道保险，安全性能更高。

 

有的用户不知道EOS账号体系有两种权限，主要原因是钱包多采用单私钥模式，自然地这说明了大多钱包的私钥操作模式实际上是不够安全的。

 

而区块链应用中用来保障用户资产安全的就是公钥和私钥。公钥与私钥是成对出现的，公钥加密，私钥解密。公钥是公开的，它相当于是银行卡号，这样就不难理解私钥才是我们自己能够真正保障我们信息、资产安全的那道“防线”，失私钥者，失“天下”。

03 私钥是如何被盗的

私钥被盗的原由有许多种，在私钥映射、创建、使用时都有可能因操作不当导致私钥被盗。

 

 

私钥映射时：

 

1. 使用了不安全的映射工具。

 

使用不安全的映射工具，导致映射使用的公私钥是由工具开发者(实际是攻击者)控制的，当 EOS 主网上线后，攻击者随即 updateauth 更新公私钥。或者映射工具在网络传输时没有使用 SSL 加密，攻击者通过中间人的方式替换了映射使用的公私钥。

 

私钥创建时：

 

1. 让陌生人帮助注册账号

 

由于注册账号需要已经存在的账号帮忙抵押内存，这使黑客有机可乘。黑客利用最常见的钓鱼手法——帮忙注册账号盗取用户私钥。我们前面已经说过私钥其实有两把，设置双私钥模式会增强安全性，但让他人帮忙注册账号，就意味着Owner和Active权限都将可能掌握在他人手中，这就丧失了其本该有的安全性。

 

2. 用户使用空助记词或较弱的助记词组合生成的私钥

 

助记词是私钥的另外一种表现形式，由于私钥随机产生，识记较为困难，为了更好地记忆复杂的私钥，用户可以使用助记词，通过助记词导入钱包。如果用户使用空助记词或是强度较弱的助记词产生的秘钥，很容易遭受“彩虹”攻击。

 

3. 使用不安全的第三方私钥创建工具

 

用户使用不安全的第三方私钥创建工具，例如安全保护不够强的钱包，连网在线创建私钥的网站等。

 

私钥使用时：

 

1.使用了不安全的 EOS 超级节点投票工具

 

使用了不安全的 EOS 超级节点投票工具，使得工具开发者(实为攻击者)可窃取EOS 私钥。

 

2. 用户存储私钥的媒介不安全

 

用户存储私钥的方式不安全，例如存储在邮箱、备忘录等，可能存在弱口令被攻击者登录，从而被窃取私钥。

 

3. 在复制粘贴私钥时，被恶意软件窃取

 

用户在手机或电脑上复制粘贴私钥时，被某些恶意软件监听，导致被窃取。

04 防范措施

针对私钥安全防范，我们给出以下建议：

 

1. 使用安全性有保证的映射工具、私钥创建工具和超级节点投票工具。

 

2. 切忌让陌生人帮自己注册账号。若不得以需要让他人帮忙注册，一定要使用受信任的进程或接口。在注册好后，对Owner和Active私钥做仔细检查，以防万一。

 

3. 务必备份好Owner 助记词、Active 助记词。特别注意，不管是Owner 助记词，还是Active 助记词，都需要按顺序记下并保护好。一旦有人得到了你的助记词, 那就等同于掌控了你的钱包，不需要任何密码就可以转移你的资产。

 

4. 不管是私钥还是助记词最好抄写在一张纸上，不要截屏或记录在手机上，也不要通过任何渠道将助记词信息传播给他人（比如截图等等），这是非常危险的行为。

 

5. 避免在使用时进行私钥的复制、粘贴

 

6. 不要随意点开来源不明的链接，下载来源不明的文件。

引用及资料数据来源：

 

1.小牛币读 《史上最全交易所被盗事件大盘点》

https://www.hongniuw.com/article/detail/9075

 

2.IMOS 《EOS被盗事件频起，这里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

 

3.ITleaks《近千万EOS被盗事件回顾，大家请保护好自己的EOS私钥》

https://blog.csdn.net/itleaks/article/details/81060573

欢迎大家体验：

一、智能合约自动形式化验证平台VaaS精简版，准确率达到95%以上

Beosin（成都链安科技）已向全球发布VaaS平台，全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台，准确率达到95%以上。

VaaS（精简版）系统为所有区块链从业者提供方便而免费的智能合约安全审计服务，对智能合约安全漏洞进行形式化验证，从容应对常规合约安全问题。欢迎大家登陆官方网址体验：

官方网址：

https://beosin.com/vaas/index.html#/audit/ptsj

▲VaaS 精简版平台

二、在线 Beosin-IDE 免费版本

Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境，可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。

欢迎大家免费体验：通过浏览器访问

https://beosin.com/BEOSIN-IDE/index.html#/

（如下图，推荐Chrome浏览器）。

▲Beosin EOS-IDE

Beosin官方发表正式声明：

为了全球化市场战略需要，公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司，“Beosin”力求为行业保驾护航，以打造区块链全生态安全为宗旨，竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全审计、DApp安全加固与审计、区块链平台安全审计、交易所安全检测、安全产品定制化服务、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图：

近期，有XX链安科技与成都链安科技重名，且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司，与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌，谨防上当受骗，一切消息以官网及官方公众号为准。

成都链安科技官方公众号名称：Beosin成都链安

成都链安科技官方网址：

www.lianantech.com

——Beosin

关于Beosin：

Beosin（成都链安）成立于2018年，公司位于四川省成都市，专注于区块链生态安全。公司由杨霞和郭文生两位教授共同创建，团队核心成员由来自海内外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。已获得分布式资本、界石资本、盘古创富等著名投资机构的两轮股权投资。其核心技术为形式化验证，是全球最早一批将此技术应用到区块链安全领域的公司。

公司首批入选Etherscan智能合约审计推荐名单及普华永道创新加速器，荣获全国首届中小微企业SaaS应用创新创业大赛冠军，获得OKEx最佳安全审计合作伙伴奖等荣誉，参加工信部多项区块链安全标准的撰写，入选工信部“2018区块链白皮书”，作为唯一安全公司入选“2018中国区块链企业百强榜”，荣膺金色财经“2018年度最专业安全服务机构”、“2019中国区块链安全领军企业”称号，荣获火星财经“最佳区块链数据安全团队”奖项，成为2019年区块链技术与数据安全工业和信息化部重点实验室成员单位。已与Huobi、OKEx、KuCoin、CoinBene、CoinTiger、ONT、Qtum、比原链、Wanchain、BOS、Scry、布比区块链、云象区块链、QuarkChain、麦子钱包、EOSPark等共计超过50家区块链公司建立战略合作关系，审计报告被国内外各大知名交易所认可，为助力本体智能合约安全发布形式化验证平台VaaS-ONT。公司审计智能合约超500份，独立发现区块链安全漏洞几十种，获得行业及客户的一致好评和认可。让区块链生态更安全，是我们的美好愿景！

「Beosin」

作为Huobi、OKEx、KuCoin

CoinBene、CoinTiger等

著名交易所指定的合约审计公司。 

入选Etherscan智能合约安全审计名单。

欢迎联系Beosin，了解智能合约安全审计

智能合约开发审计一条龙

钱包安全审计

DApp安全加固与审计

区块链平台安全审计

交易所安全检测

安全产品定制化服务

企业级安全服务

 ·

电话：028-83262585

网站：www.lianantech.com

邮箱：[email protected]

地址：成都市世纪城南路599号

天府软件园D7座504室

官网：

https://www.lianantech.com

GitHub网址：

https://github.com/Lianantech/VCA

Facebook网址：

https://www.facebook.com/BeosinChengdu/

twitter网址：

https://twitter.com/Beosin_com

Telegram中文群：

https://t.me/LiananTech_cn

Telegram英文群：

https://t.me/LiananTech_en

微博：

https://weibo.com/u/6566884467

CSDN博客：

https://blog.csdn.net/CDLianan

知乎专栏：

   点击了解更多