Asecretbetweenmorethantwoisnosecret.两人以上知道的秘密就不算秘密。
事件回顾
5月24日凌晨,PokerEOS官方中文电报群中发出通知:由于项目方账户私钥泄露,被黑客攻击。
官方通知
截止5月24日19点,据项目方统计,此次黑客攻击事件项目方损失共计26992.2297EOS,pokereoshome损失13140EOS,pokereosgame损失8800EOS,poekreobonus损失200EOS,流入交易所900万PKE交易损失约4852.2297EOS。
官方公告
项目方给出此次攻击事件发生的原因是团队私钥管理不当。其实因私钥管理不当而导致损失的事件可以说不是罕见的事了。
交易所被盗金额统计图
据资料汇总,从2014年起至2019年3月共发生交易所被盗事件33起,其中主要因私钥泄露导致损失的有3起:2018年4月12日,印度加密货币交易所Coinsecure因冷存储恢复失败暴露了用于离线存储的私钥被盗438比特币,发现私钥在网上曝光超过12小时;2018年7月26日,KICKICO由于安全漏洞发生导致黑客成功获得了“KICK智能合约账户”的私钥,损失770美元;2015年1月9日,Bitstamp多个操作钱包遭到破坏,导致19,000比特币丢失,据称是由于该公司一名员工下载了一个恶意文件,该文件使攻击者可以访问包含wallet.dat文件的服务器以及公司热钱包的密码。
金色晨讯 | 10月22日隔夜重要动态一览:21:00-7:00关键词:上证链、法定数字货币、USDT增发、13000美元
1.上证链今日发布 助力证券行业区块链技术创新发展。
2.北京市长陈吉宁:推动建设法定数字货币实验区和数字货币金融体系。
3.证监会姚前:区块链用于监管正在区域股权市场试点。
4.美国CFTC发布针对期货佣金商的加密货币指导。
5.美国SEC宣布终止对Kik的诉讼。
6.俄罗斯公职人员将有义务报告加密货币持有量。
7.惠州侦破全国首例利用USDT经营跑分平台的案件。
8.Tether在波场网络增发3亿枚USDT(已授权未发行)。
9.香港金管局官员:将积极配合数字人民币发展,探讨完善跨境人民币资金流通渠道
10.比特币夜间突破13000美元,现回落至12800美元左右。[2020/10/22]
除交易所被盗外,也有针对个别用户进行攻击,盗取私钥的,2018年7月发生的近千万EOS被盗事件,黑客通过盗取受害人的私钥而盗走了其价值近千万的EOS。
金色相对论 | 薄荷:矿业现在的发展趋势是资源和能源导向:在今日举行的《危机向左,信仰向右》的比特币减半特辑直播中,针对“比特币收益减半之后矿工们必须要做的三件事有哪些”的问题,奇妙资本创始人薄荷表示,矿业是一个特殊的市场,现在的发展趋势是资源和能源导向了,并不是所有人都适合挖矿,这点很重要。我觉得其实很多人应该在减半前1-2个月就做好了准备,而不是说到减半的时间点上才来做操作。
首先是迭代矿机,60W/T 的矿机减半后会退出历史舞台,最新的机型 S19 和M30 这代矿机有望能挖3-4年。这一切的前提是你有稳定的电力资源和相对便宜的电费。
第二重要的事,矿工要保证自己有稳定的现金流,电费开支占挖矿的大头成本,币价暴跌的时候要确保自己不用卖币交电费,至少要保证有1-2年的电费现金。
第三是持续关注整个数字货币市场,在合规和更低成本的方向发展。我就不建议大家去投片做矿机了,自己研发芯片其实成本很高,拓展自己的资源,不断的找到优势电力资源。没有优势资源的,确保自己合作的矿场能有稳定的电。更多详情见原文链接。[2020/5/11]
而今年年初轰动一时的交易所QuadrigaCX上亿资产被锁事件则是由于其创始人兼首席执行官的突然离世导致其中1.47亿美元的加密数字货币秘钥丢失“被上锁”。
金色财经现场报道 Ali Ayyash:区块链的价值在于建立陌生人彼此信任的同时,降低甚至消除第三方的费用:Technical Blockchain的顾问Ali Ayyash在2018 Global Token Galaxy演讲中提到,创业者如果想要在区块链行业进行创业,需要考虑三个问题:1、项目是否有用户;2、用户是否会产生数据;3,用户之间是否互相信任。区块链的价值在于建立陌生人彼此信任的同时,降低甚至消除第三方的费用。[2018/5/27]
这些丢失的资产一去不复还。因为区块链的“去中心化”的特性,基于区块链技术的加密货币一旦丢失,基本是不可找回的,不可逆的,除非主网分叉
私钥及其重要性
那么什么是私钥呢?有账号就有私钥。私钥是钱包里资金所有权的证明和合约拥有权的证明,其本质是32个byte组成的数组,由256个0或者1随机组成,可以把它理解成银行卡的密码,这个密码除了自己不会有任何人知道,不过银行卡密码是可以自己设置的,而私钥是随机生成的。
金色财经独家分析 证券行业正在寻求区块链带来的变革:今日中国证券业协会发布了2018年重点课题研究申报的通知,其中涉及金融科技在证券行业的应用研究包括金融科技促进证券业智能化高效化应用发展研究、证券业金融科技和监管科技顶层规划研究等7项研究课题。金色财经独家分析,随着国家支持区块链技术发展,证券行业也在努力寻求变革,无论是交易、记账、风险监测,区块链将为证券行业带来全新的变化。此次课题中,再次体现了对应用场景的关注,这也是连日来各大论坛上频频关注的重点问题,区块链在金融领域的应用具有天然的优势,相信不断有实际的运用场景被发掘。[2018/4/11]
回到此次事件,我们来看EOS私钥。一些普通用户可能不知道在EOS的账号体系中有两种权限的私钥,即Owner私钥和Active私钥,并不是只有一把私钥。
Owner私钥是所有权,具有Active私钥所有权限,以及具有重置Active私钥等最高权限。
Active私钥即操作权,可以用于平时的转账、投票等满足日常的操作。
金色财经现场报道 中国社科院博士特聘教授王彬生:区块链要引起社会变革必须足够简单:金色财经现场报道,在4月3日举办的2018年世界区块链峰会现场,中国社科院博士特聘教授王彬生表示,区块链要想引起一场社会变革,必须足够简单,越简单就越容易展开。如果茅台发一个币,一个币对应一瓶茅台酒,酒就是币,币就是酒。你把币买走,需要酒的时候会送到。这是一场革命性的应用,带来的结果是什么?把茅台酒的9千亿市值干掉了。这个应用一点都不复杂。所以说区块链它一定在最简单的领域展开应用。大家所梦想的军工、金融、银行部门的应用,我个人认为一点可能都没有。[2018/4/3]
Owner私钥和Active私钥的关系类似老板和员工的关系。Owner即老板,拥有最高的权限,可以做任何事情。Active即员工,相对而言权限较小。但是老板只在有重大事件时参与运营,日常的经营业务则是由员工完成的。
于是,平时最常露面的是员工,主要用来做平时的转账、投票等日常的操作。老板并不经常出现,只有当员工发生重大问题,才会需要他出面。
对于Owner私钥和Active私钥的使用与保管,EOS官方推荐用户平时只使用Active私钥,把Owner私钥离线保存,只在有重大安全问题时用到Owner私钥。
这就意味着会有两种操作模式:单私钥模式和双私钥模式。
单私钥模式即Owner和Active使用同一把私钥,这样来说相对简单,只需备份一把私钥。
双私钥模式即Owner和Active使用不同的私钥,相对单私钥模式而言,这种模式多了一道保险,安全性能更高。
有的用户不知道EOS账号体系有两种权限,主要原因是钱包多采用单私钥模式,自然地这说明了大多钱包的私钥操作模式实际上是不够安全的。
而区块链应用中用来保障用户资产安全的就是公钥和私钥。公钥与私钥是成对出现的,公钥加密,私钥解密。公钥是公开的,它相当于是银行卡号,这样就不难理解私钥才是我们自己能够真正保障我们信息、资产安全的那道“防线”,失私钥者,失“天下”
私钥是如何被盗的
私钥映射时:
1.使用了不安全的映射工具。
使用不安全的映射工具,导致映射使用的公私钥是由工具开发者(实际是攻击者)控制的,当EOS主网上线后,攻击者随即updateauth更新公私钥。或者映射工具在网络传输时没有使用SSL加密,攻击者通过中间人的方式替换了映射使用的公私钥。
私钥创建时:
1.让陌生人帮助注册账号
由于注册账号需要已经存在的账号帮忙抵押内存,这使黑客有机可乘。黑客利用最常见的钓鱼手法——帮忙注册账号盗取用户私钥。我们前面已经说过私钥其实有两把,设置双私钥模式会增强安全性,但让他人帮忙注册账号,就意味着Owner和Active权限都将可能掌握在他人手中,这就丧失了其本该有的安全性。
2.用户使用空助记词或较弱的助记词组合生成的私钥
助记词是私钥的另外一种表现形式,由于私钥随机产生,识记较为困难,为了更好地记忆复杂的私钥,用户可以使用助记词,通过助记词导入钱包。如果用户使用空助记词或是强度较弱的助记词产生的秘钥,很容易遭受“彩虹”攻击。
3.使用不安全的第三方私钥创建工具
用户使用不安全的第三方私钥创建工具,例如安全保护不够强的钱包,连网在线创建私钥的网站等。
私钥使用时:
1.使用了不安全的EOS超级节点投票工具
使用了不安全的EOS超级节点投票工具,使得工具开发者(实为攻击者)可窃取EOS私钥。
2.用户存储私钥的媒介不安全
用户存储私钥的方式不安全,例如存储在邮箱、备忘录等,可能存在弱口令被攻击者登录,从而被窃取私钥。
3.在复制粘贴私钥时,被恶意软件窃取
用户在手机或电脑上复制粘贴私钥时,被某些恶意软件监听,导致被窃取。
防范措施
针对私钥安全防范,我们给出以下建议:
1.使用安全性有保证的映射工具、私钥创建工具和超级节点投票工具。
2.切忌让陌生人帮自己注册账号。若不得以需要让他人帮忙注册,一定要使用受信任的进程或接口。在注册好后,对Owner和Active私钥做仔细检查,以防万一。
3.务必备份好Owner助记词、Active助记词。特别注意,不管是Owner助记词,还是Active助记词,都需要按顺序记下并保护好。一旦有人得到了你的助记词,那就等同于掌控了你的钱包,不需要任何密码就可以转移你的资产。
4.不管是私钥还是助记词最好抄写在一张纸上,不要截屏或记录在手机上,也不要通过任何渠道将助记词信息传播给他人,这是非常危险的行为。
5.避免在使用时进行私钥的复制、粘贴
6.不要随意点开来源不明的链接,下载来源不明的文件
引用及资料数据来源:
1.小牛币读《史上最全交易所被盗事件大盘点》
https://www.hongniuw.com/article/detail/9075
2.IMOS《EOS被盗事件频起,这里有一份安全攻略供你食用》
https://www.jianshu.com/p/43c515f2b416
3.ITleaks《近千万EOS被盗事件回顾,大家请保护好自己的EOS私钥》
https://blog.csdn.net/itleaks/article/details/81060573
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。