透彻科技
9 月 25 日(昨日)下午,IMEOS 发布公告称,EOS 账户“gm3dcnqgenes”被盗 209 万个 EOS,约合 1080 万美元(后更正为 212 万个EOS)。
事件经过是这样的,25 日凌晨 3 点,该账号被更新 owner 和 active 两把私钥。之后,黑客对该账户实施了系列操作,包括赎回账户抵押的所有 EOS、将账户中的大量糖果(主要是BLACK、IQ、ADD)通过交易所 Newdex 换成 EOS、并通过场外交易平台 OTCBTC 套现了小部分( 5000 个) EOS。
EOS 治理社区得知情况后,各 BP(超级节点)表示将支持被害者,并冻结了黑客未提走的大部分EOS,目前,EOS 核心仲裁论坛(ECAF)正在处理该案件。
账户“gm3dcnqgenes”的情况,数据来自Blocks.io,时间截至2018.9.26 12:00
回过头看,这一系列操作是如何发生的呢?
据Bcsec安全团队介绍,目前事件披露的信息较少,我们只知道该账户可能是被黑客钓鱼了(ECAF 工作人员表示该账户疑似曾使用过一款名为 EOS Wallet 的钓鱼软件),这也是目前比较常见的手段。但实际情况如何还需等待仲裁结果。
自主网上线后,EOS 资产被盗的事件频频发生。据 EOS 中文治理社区的 EMAC 的报告,截止 2018 年 7 月 8 日,已接到 6 起报告丢失 EOS 的案件,丢失数量从几十到几十万个不等。
这些安全事件的发生,一方面是由于用户的安全意识不够,比如一些 EOS 账户使用弱助记词生成私钥,就存在隐含风险;另一面,也要归因于 EOS 独特的账户机制,让黑客有可乘之机。
我们知道比特币和以太坊是每个账户都有一个地址/公钥,以及与之对应的私钥。而 EOS 的账号则有两对不同权限的公/私钥:
- Active 权限,包括一对 Active 公钥和私钥。Active 即操作权,该权限可以用于转账、投票等日常操作。
- Owner 权限,包括一对 Owner 公钥和私钥。Owner 即所有权,是账户最高权限,可以用于重置 Active 私钥。
黑客利用这个机制设计,可轻易钓取用户的资产。
举个曾发生过的案例。由于注册 EOS 账户需要已存在的账户帮忙抵押内存,所以一种常见的钓鱼手法是帮助新用户注册账户。注册时,用户需向来帮忙的账户提供公钥,此时,钓鱼者就会将用户提供的公钥设置为新账户 Active 公钥,把自己的公钥偷偷设置为新账户的 Owner 公钥。之后,若有人向新账户转入 EOS 资产,钓鱼者就用自己控制的 Owner 权限来控制用户的新账户,转走 EOS 资产。
据知情人士透露,黑客控制账户后,如果他还未转走 EOS,那么账户实际户主可提请 ECAF 进行仲裁;但若黑客已通过交易所提走 EOS,因为已超出 ECAF 的权责范围,追回资金较困难。
此次 “gm3dcnqgenes” 被盗消息披露后,黑客兑换糖果所用的 EOS 去中心化交易所 Newdex 宣布禁止被盗账户的一切交易(直到账户物归原主);Starteos 节点则自发冻结了该账户,加上BP 和 ECAF 的介入,黑客不得已终止了操作,没给资产所有者造成过大损失。
EOS 是人治程度较高的去中心化平台,大家觉得,这种善后机制的方式如何呢?