我不是标题党,但从近期EOS被盗频发的情况看,所有的EOS钱包用户都必须马上作一件事:
立即查询你的EOS公钥对应的EOS账户!
立即查询你的EOS公钥对应的EOS账户!
立即查询你的EOS公钥对应的EOS账户!
一、说原因
部分网站的助记词生成密钥的机制有漏洞,导致用户的密钥对易被黑客“撞库”暴力破解。
具体来说,就是部分网站推荐用户使用自定义助记词生成密钥对,而部分用户因为缺少安全常识,只用了很简单的助记词来生成密钥对,比如空白助记词(比如空格),或者一个单词(比如apple),或者使用一句常用语句或歌词等来作为助记词(比如I love you),这样简单的助记词生成的密钥对,很容易被黑客用穷举法暴力破解并进行类似“撞库”攻击。
二、说过程
“撞库”是什么:撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户账户。因为很多用户在不同网站使用的账号密码大多是相同的,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。
黑客如何使用密钥对进行撞库攻击呢?我思考了一下,逻辑可能是这样的:黑客用简单助记词生成的密钥对,也可以被黑客用于生成密钥对字典,然后通过这个密钥对字典去扫描网络上暴露的公钥或EOS账户,一旦发现某公钥或某EOS账户使用了简单助记词生成的密钥对,与黑客字典里的密钥对重合,黑客就可以利用助记词或私钥修改掉该用户的owner权限和active权限,也就是说,盗走了该用户的EOS账户,并转走他的EOS。
三、说措施
有些人可能会问了,那DuoBaaa你这么说,那岂不是所有密钥对都不安全?所有的密钥对都有可能被黑客录入密钥对字典呀。
所有的密钥对是不可能被录入黑客的密钥对字典的,因为密钥对是无限多的。就像我们用户设置的密码,有无限多种密码一样。黑客是不可能做这样的傻事情的,黑客能做的费效比最高的方式,就是尽可能多的穷尽“简单助记词”生成的密钥对,并以此生成密钥对字典,并进行撞库攻击。就像黑客使用简单密码词典去撞库攻击一样。
因此,我们只要做到:
1.立即上网查询你的公钥,是否只对应你自己创建的账号,如果有未知账号,那么你的私钥可能已经泄露或被别人掌握。
提供两个网站查询:eosflare和eospark
2. 生成密钥对之前一定要对电脑进行查杀木马病毒,确保电脑上网环境干净无木马。
3. 如果是别人或其他网站帮你注册的EOS账户,请立即打开你的钱包,检查owner权限的关联公钥和active权限的关联公钥,确认是否都是你的公钥。如果不是,请尽快转移你的EOS资产到安全的EOS账号上。
4. 任何情况下,不要复制粘贴私钥。手动输入私钥是安全的做法,如果你还不放心,可以在断网情况下手动输入私钥,然后再联网。
5. 私钥必须手抄多份保存,绝对不能把私钥保存在处于网络环境下的任何工具中,比如上网电脑,比如邮箱,比如QQ,比如微信,比如百度云等云存储。
我是DuoBaaa,一枚币圈的小韭菜,用自己的思考理解,用通俗易懂的解读,用自己的原创干货,与大家共同学习,共同成长。
