EOS:Poker EOS被盜2萬多EOS事件啟示：私鑰被盜，滿盤皆輸 | 火星號精選_CTI

Asecretbetweenmorethantwoisnosecret.兩人以上知道的秘密就不算秘密。

事件回顧

5月24日凌晨，PokerEOS官方中文電報群中發出通知：由于項目方賬戶私鑰泄露，被黑客攻擊。

官方通知

截止5月24日19點，據項目方統計，此次黑客攻擊事件項目方損失共計26992.2297EOS，pokereoshome損失13140EOS，pokereosgame損失8800EOS，poekreobonus損失200EOS，流入交易所900萬PKE交易損失約4852.2297EOS。

官方公告

項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。

交易所被盜金額統計圖

據資料匯總，從2014年起至2019年3月共發生交易所被盜事件33起，其中主要因私鑰泄露導致損失的有3起：2018年4月12日，印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣，發現私鑰在網上曝光超過12小時；2018年7月26日，KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰，損失770美元；2015年1月9日，Bitstamp多個操作錢包遭到破壞，導致19,000比特幣丟失，據稱是由于該公司一名員工下載了一個惡意文件，該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。

支付解決方案Poko完成450萬美元種子輪融資:6月15日消息，支付解決方案Poko宣布完成450萬美元的種子輪融資，Y Combinator、Goodwater Capital和Global Founders Capital等參投，Poko計劃為錢包、錢包即服務提供商提供無摩擦支付。[2023/6/15 21:39:07]

除交易所被盜外，也有針對個別用戶進行攻擊，盜取私鑰的，2018年7月發生的近千萬EOS被盜事件，黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。

而今年年初轟動一時的交易所QuadrigaCX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。

這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性，基于區塊鏈技術的加密貨幣一旦丟失，基本是不可找回的，不可逆的，除非主網分叉

私鑰及其重要性

那么什么是私鑰呢？有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明，其本質是32個byte組成的數組，由256個0或者1隨機組成，可以把它理解成銀行卡的密碼，這個密碼除了自己不會有任何人知道，不過銀行卡密碼是可以自己設置的，而私鑰是隨機生成的。

蒙大拿州加密礦商Spokane拒絕支付370萬美元的電費:美國蒙大拿州加密礦業公司ProjectSpokane被電力公司EnergyKeepersInc.起訴，要求支付370萬美元的未付電費。12月14日，ProjectSpokane請求蒙大拿州聯邦法官駁回訴訟，聲稱在2018年收購該礦業公司大部分資產的HyperblockLLC公司對債務負有責任。然而，Hyperblock在今年3月新冠肺炎爆發后宣布破產。ProjectSpokane和Hyperblock共享一個所有者。該訴訟由EnergyKeepers于今年5月提起，稱ProjectSpokane利用與HyperblockLLC達成的協議，密謀不向電力供應商支付電費。ProjectSpokane聲稱，與Hyperblock的協議條款明確將其電力能源賬單轉移給了Hyperblock。（Cointelegraph）[2020/12/16 15:22:37]

回到此次事件，我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰，即Owner私鑰和Active私鑰，并不是只有一把私鑰。

區塊鏈游戲FuelPlaysPokemon.com已完成demo創建:區塊鏈工程師David Mihal在推特上表示，自己已經與以太坊側鏈Fuel團隊Fuel Labs共同創建了FuelPlaysPokemon.com，該demo演示了如何快速、廉價和簡單地構建使用optimistic rollups的應用。

此前消息，以太坊側鏈Fuel團隊Fuel Labs表示正在恢復Ethereum Plays Pokemon項目，這一次使用Fuel來支持大量并行玩家，而不需要占用以太坊鏈（目前已經有很多這樣的游戲在進行）。[2020/8/3]

Owner私鑰是所有權，具有Active私鑰所有權限，以及具有重置Active私鑰等最高權限。

Active私鑰即操作權，可以用于平時的轉賬、投票等滿足日常的操作。

Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板，擁有最高的權限，可以做任何事情。Active即員工，相對而言權限較小。但是老板只在有重大事件時參與運營，日常的經營業務則是由員工完成的。

動態 | 新勒索軟件CryptoPokemon加密用戶文件并索要比特幣 Emsisoft研究人員已開發解密器:據SC Magazine消息，新勒索軟件CryptoPokemon對用戶文件進行加密，并要求大約104美元的比特幣來解密文件。CryptoPokemon使用SHA256 + AES128對文件進行加密，并附帶一個包含電子郵件地址和網站的注釋。 Emsisoft研究人員敦促受害者不要支付贖金，他們發現了惡意軟件源代碼中的漏洞并創建一個免費的解密器。所有受害者必須首先從系統中刪除惡意軟件，否則它將反復鎖定系統或加密文件，下載免費解密器工具，運行可執行文件，在詢問時確認許可協議，單擊便可開始解密文件。[2019/4/13]

于是，平時最常露面的是員工，主要用來做平時的轉賬、投票等日常的操作。老板并不經常出現，只有當員工發生重大問題，才會需要他出面。

對于Owner私鑰和Active私鑰的使用與保管，EOS官方推薦用戶平時只使用Active私鑰，把Owner私鑰離線保存，只在有重大安全問題時用到Owner私鑰。

區塊鏈游戲“Etheremon”接入VR技術 創始人想做區塊鏈版Pokemon:\t\t\t\t \t\t\t\t近日，區塊鏈游戲“Etheremon”在 Twitter 宣布，正式加入 Decentraland 虛擬世界，雙方達成合作。Etheremon將在第三階段的發展中借由 VR 技術和去中心化來實現最佳化游戲體驗。談到這款游戲未來的發展時，游戲創始人Jarvis Nguyen表示：“你看到人們對Pokemon有多瘋狂了嗎？Etheremon也將會做到這點，更何況基于區塊鏈技術，我們會表現得更好。”[2018/3/7]

這就意味著會有兩種操作模式：單私鑰模式和雙私鑰模式。

單私鑰模式即Owner和Active使用同一把私鑰，這樣來說相對簡單，只需備份一把私鑰。

雙私鑰模式即Owner和Active使用不同的私鑰，相對單私鑰模式而言，這種模式多了一道保險，安全性能更高。

有的用戶不知道EOS賬號體系有兩種權限，主要原因是錢包多采用單私鑰模式，自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。

而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的，公鑰加密，私鑰解密。公鑰是公開的，它相當于是銀行卡號，這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”，失私鑰者，失“天下”

私鑰是如何被盜的

私鑰映射時：

1.使用了不安全的映射工具。

使用不安全的映射工具，導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的，當EOS主網上線后，攻擊者隨即updateauth更新公私鑰。或者映射工具在網絡傳輸時沒有使用SSL加密，攻擊者通過中間人的方式替換了映射使用的公私鑰。

私鑰創建時：

1.讓陌生人幫助注冊賬號

由于注冊賬號需要已經存在的賬號幫忙抵押內存，這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把，設置雙私鑰模式會增強安全性，但讓他人幫忙注冊賬號，就意味著Owner和Active權限都將可能掌握在他人手中，這就喪失了其本該有的安全性。

2.用戶使用空助記詞或較弱的助記詞組合生成的私鑰

助記詞是私鑰的另外一種表現形式，由于私鑰隨機產生，識記較為困難，為了更好地記憶復雜的私鑰，用戶可以使用助記詞，通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰，很容易遭受“彩虹”攻擊。

3.使用不安全的第三方私鑰創建工具

用戶使用不安全的第三方私鑰創建工具，例如安全保護不夠強的錢包，連網在線創建私鑰的網站等。

私鑰使用時：

1.使用了不安全的EOS超級節點投票工具

使用了不安全的EOS超級節點投票工具，使得工具開發者(實為攻擊者)可竊取EOS私鑰。

2.用戶存儲私鑰的媒介不安全

用戶存儲私鑰的方式不安全，例如存儲在郵箱、備忘錄等，可能存在弱口令被攻擊者登錄，從而被竊取私鑰。

3.在復制粘貼私鑰時，被惡意軟件竊取

用戶在手機或電腦上復制粘貼私鑰時，被某些惡意軟件監聽，導致被竊取。

防范措施

針對私鑰安全防范，我們給出以下建議：

1.使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。

2.切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊，一定要使用受信任的進程或接口。在注冊好后，對Owner和Active私鑰做仔細檢查，以防萬一。

3.務必備份好Owner助記詞、Active助記詞。特別注意，不管是Owner助記詞，還是Active助記詞，都需要按順序記下并保護好。一旦有人得到了你的助記詞,那就等同于掌控了你的錢包，不需要任何密碼就可以轉移你的資產。

4.不管是私鑰還是助記詞最好抄寫在一張紙上，不要截屏或記錄在手機上，也不要通過任何渠道將助記詞信息傳播給他人，這是非常危險的行為。

5.避免在使用時進行私鑰的復制、粘貼

6.不要隨意點開來源不明的鏈接，下載來源不明的文件

引用及資料數據來源：

1.小牛幣讀《史上最全交易所被盜事件大盤點》

https://www.hongniuw.com/article/detail/9075

2.IMOS《EOS被盜事件頻起，這里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

3.ITleaks《近千萬EOS被盜事件回顧，大家請保護好自己的EOS私鑰》

https://blog.csdn.net/itleaks/article/details/81060573

Tags：EOSPOKNERCTIeosdac幣最新消息POK幣NERO幣AUCTION幣

狗狗幣價格