多巴liao兔圈： 紧急提醒：为了你的EOS账户安全，必须马上做件事

我不是标题党，但从近期EOS被盗频发的情况看，所有的EOS钱包用户都必须马上作一件事：

立即查询你的EOS公钥对应的EOS账户！

立即查询你的EOS公钥对应的EOS账户！

立即查询你的EOS公钥对应的EOS账户！

一、说原因

部分网站的助记词生成密钥的机制有漏洞，导致用户的密钥对易被黑客“撞库”暴力破解。

具体来说，就是部分网站推荐用户使用自定义助记词生成密钥对，而部分用户因为缺少安全常识，只用了很简单的助记词来生成密钥对，比如空白助记词（比如空格），或者一个单词（比如apple），或者使用一句常用语句或歌词等来作为助记词（比如I love you），这样简单的助记词生成的密钥对，很容易被黑客用穷举法暴力破解并进行类似“撞库”攻击。

二、说过程

“撞库”是什么：撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列可以登录的用户账户。因为很多用户在不同网站使用的账号密码大多是相同的，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。

黑客如何使用密钥对进行撞库攻击呢？我思考了一下，逻辑可能是这样的：黑客用简单助记词生成的密钥对，也可以被黑客用于生成密钥对字典，然后通过这个密钥对字典去扫描网络上暴露的公钥或EOS账户，一旦发现某公钥或某EOS账户使用了简单助记词生成的密钥对，与黑客字典里的密钥对重合，黑客就可以利用助记词或私钥修改掉该用户的owner权限和active权限，也就是说，盗走了该用户的EOS账户，并转走他的EOS。

三、说措施

有些人可能会问了，那DuoBaaa你这么说，那岂不是所有密钥对都不安全？所有的密钥对都有可能被黑客录入密钥对字典呀。

所有的密钥对是不可能被录入黑客的密钥对字典的，因为密钥对是无限多的。就像我们用户设置的密码，有无限多种密码一样。黑客是不可能做这样的傻事情的，黑客能做的费效比最高的方式，就是尽可能多的穷尽“简单助记词”生成的密钥对，并以此生成密钥对字典，并进行撞库攻击。就像黑客使用简单密码词典去撞库攻击一样。

因此，我们只要做到：

1.立即上网查询你的公钥，是否只对应你自己创建的账号，如果有未知账号，那么你的私钥可能已经泄露或被别人掌握。

提供两个网站查询：eosflare和eospark

2. 生成密钥对之前一定要对电脑进行查杀木马病毒，确保电脑上网环境干净无木马。

3. 如果是别人或其他网站帮你注册的EOS账户，请立即打开你的钱包，检查owner权限的关联公钥和active权限的关联公钥，确认是否都是你的公钥。如果不是，请尽快转移你的EOS资产到安全的EOS账号上。

4. 任何情况下，不要复制粘贴私钥。手动输入私钥是安全的做法，如果你还不放心，可以在断网情况下手动输入私钥，然后再联网。

5. 私钥必须手抄多份保存，绝对不能把私钥保存在处于网络环境下的任何工具中，比如上网电脑，比如邮箱，比如QQ，比如微信，比如百度云等云存储。

我是DuoBaaa，一枚币圈的小韭菜，用自己的思考理解，用通俗易懂的解读，用自己的原创干货，与大家共同学习，共同成长。