近日EOS被盜事件頻起，作為EOS中文治理社區的EMAC，截止2018年7月8日，已接到六起報告丟失EOS 的案件，丟失的EOS數量從幾十到幾十萬個不等。本期主要回顧近日EOS被盜事件，并進行分析總結，希望讓大家意識到數字貨幣私鑰安全的重要性，保護好自身的資產。

注：EMAC是EOS中文治理社區的縮寫。主要職能是有關治理的培訓和交流;華語事件的了解和跟蹤;與海外社區的溝通。

事件回顧

part.1

黑客承諾幫助賬戶sunmoke12345的受害者創建EOS帳戶。然后，EOS帳戶的owner/active權限被修改，如圖中瀏覽器顯示的，出現兩對owner/active權限(圖為修改前+修改后)。

part.2

一位微信名“紅塵”的EOS投資者通過https://eostea.githubio/eos-generate-key/ 生成了公私鑰對，然后委托微信名叫：null (微信號: smilezx1ng) 幫忙代注冊。

注冊成功后，通過鏈上數據分析發現: active和owner權限使用了不同的公鑰，其中active權限對應的公鑰是受害人自己生成并提供給null的，而owner權限的公鑰并非受害人所有，之后受害人被修改權限，丟失14869個EOS。

part.3

baosange1212的創建者通過Tp錢包手機頁面創建Tp錢包賬號，隨后在Tp錢包手機頁面上提供的Eostea上空格無內容助記詞生成了私鑰和公鑰，這導致空格助記詞生成的私鑰公鑰全部是一樣。先后有8個Tp用戶跟此用戶同樣操作、導致8個用戶和他共享公鑰，私鑰重復意味著自己的資產別人也有權限控制，之后此用戶9722個Eos在第二天就被轉移到“cceecceeccee”地址。

被盜分析&建議

part.1

分析：

事件一二的主要原因是讓陌生人幫助注冊賬號，由于注冊賬號需要已經存在的賬號幫忙抵押內存，所以最近常見的釣魚手法就是幫忙注冊賬號。

這就意味著可能將Owner、Active權限掌握在他人的手上，這相當于把你的資產拱手獻上。

更高深的套路是對方會讓用戶自己生成公鑰和私鑰，并且只需要用戶提供公鑰。但是由于EOS賬號有兩把私鑰(關于兩把私鑰，想要了解更多請點擊鏈接：EOS賬號有兩把私鑰，你造嗎?)，對方把用戶提供的公鑰設置為Active權限公鑰，把自己的公鑰偷偷設置為Owner權限公鑰，等用戶向這個賬號里轉入EOS資產后，對方就用自己控制的Owner權限來控制用戶的賬戶，轉移EOS資產。

建議：

這里建議小伙伴切忌讓陌生人幫忙注冊賬號，使用EOS帳戶創建服務的人務必使用受信任的進程或接口。在賬號注冊之后仔細檢查Owner權限 和 Active 權限的公鑰，小伙伴可以在EOS區塊鏈瀏覽器https://eospark.com/中通過用戶名查詢。

part.2

分析：

事件三主要是因為用戶使用空助記詞或較弱的助記詞組合生成的私鑰，很容易遭受“彩虹”攻擊。

據IMEOS了解，近日區塊鏈安全公司PeckShield在分析EOS賬戶安全性時發現，部分EOS用戶正在使用的秘鑰存在嚴重的安全隱患。問題的根源在于部分秘鑰生成工具允許用戶采用強度較弱的助記詞組合，而通過這種方式生成的秘鑰很容易存在“彩虹”攻擊，進而導致賬戶數字資產被盜。

相關錢包中利用空白助記詞生成私鑰的功能選項目前也已經關閉，各方都在積極自查，希望可以早日厘清問題原因。

建議：

大家可以在這里檢測自己的賬號是否安全：https://peckshield.com/eosrescuer

針對此安全威脅，為了幫助用戶減少可能的經濟損失，PeckShield安全人員定制了一套危機解決方案：

1、披露因助記詞使用問題導致的資產被盜漏洞細節，并呼吁EOS社區用戶加強安全防范，避免使用空助記詞或較弱的助記詞組合;

2、啟用EOSRescuer(peckshield.com/eosrescuer)公共查詢服務，用戶可一鍵查閱自己的賬號是否存在安全風險;

3、將已經監測到的存在高安全風險的用戶資產暫時轉移到特定的安全賬戶，受影響用戶可聯系PeckShield進行認領。為確保用戶利益不受侵害，PeckShield會將上述安全賬戶的所有記錄透明公開，并接受第三方媒體的監督。注：用戶認領時需提供EOS賬戶所有權的證明，包括必要的交易記錄等。

part.3

分析：

除了上述被盜原因之外，還有各種各樣的原因，私鑰不明原因丟失、私鑰忘記、丟失和轉錯賬戶…………大部分的原因皆跟私鑰有關。

建議：

保護資產的第一步是用戶需要提升私鑰安全意識，了解更多關于Owner、Active權限的知識，妥善保存好兩種權限的私鑰，最好的辦法是用紙和筆抄寫下來。

私鑰被盜將會成為過去時

值得一喜的是，7月17日，BM 在治理群發表實現更高級別治理的一些必要條件，BM 表示私鑰被盜將會成為過去時，和治理范圍之外的事。

EOS生態的完善不是一朝一夕的事情，但將會越來越好，無數的社區置身其中為建設生態而努力。除了上述所提到的EMAC解決了一些被盜事件之外，ECAF(核心仲裁論壇)同樣解決了不少偷盜事件，MORE.TOP同樣致力于資產安全，是市面上首個采用雙私鑰模式的錢包。