一些EOS账户使用弱助记词生成EOS私钥,存在高危风险

作为历史上规模最大的ICO,EOS被认为是下一代区块链系统中最具竞争力的候选者,并且很自然地引起了全世界的极大关注。
在所有关于EOS的讨论中,EOS的安全性方面是最具争议的话题之一。

在这篇博客中,PeckShield的研究人员仔细研究了EOS的一个关键组成部分,即EOS账户。我们对现有工具生成EOS帐户的方式[3]非常感兴趣。我们惊讶地发现,某些EOS账户很容易受到攻击,相应的数字资产有被盗的风险。

为简单起见,我们将这些受影响的帐户称为高风险EOS帐户。为了缓解这一问题并保护高风险的EOS用户,PeckShield现在推出了一项名为EOSRescuer的公共服务[2]。

在下文中,我们详细解释了此安全问题,并披露EOSRescuer涵盖的易受攻击帐户列表。

问题描述

风险的本质是由于第三方EOS密钥对生成工具的不当使用造成的,包括但不限于EOSTEA [3]。使用用户提供的种子,这些工具极大地方便用户生成他们的EOS密钥对。不幸的是,如果选择使用简单的种子(助记词),则可能有通过启动彩虹表攻击(字典攻击)来遍历生成对应私钥的风险[4]。

图1:针对高风险EOS账户的彩虹表攻击


规避风险

为了保护使用弱助记词的EOS账户,我们首先创建一个安全的EOS账户,然后通过选择将EOS余额从易受攻击的账户转移到这个安全账户来进行临时资产保护。

接下来,我们将以透明且可验证的方式将已转移的EOS余额返还给原始用户(在验证其真实帐户所有权之后)。同时,鼓励每个EOS持有人通过查询EOSRescuer (https://peckshield.com/eosrescuer)来查看自己的帐户。如果帐户被标记为有危险,请尽快与我们联系。要申请退还EOSRescuer所涵盖的余额,请提供足够的信息以证明您对帐户的所有权,例如帐户的必要官方活动记录。整个过程是透明和免费的,应该接受第三方媒体查询或审核。

到目前为止,我们已完成保护了部分高风险账户的资产。相关信息如下:

弱公钥帐户余额
EOS7duB6AzYwhpmwYepy6GRXPN1h6C5e3svZPB4T4P1mdVkwZ5Pf9zeilaovenus31505.3975
EOS8SHA9WBK2rJkuC46BtkAaAdiBLdgph3vAE9SnjrntsHGfEwp7cmonkey123123658.2789
EOS7CPRUDmARmxsx26maZcGUnHfC6TFhQ47BAFhWfHQvyNdd4VAaWliakila12121293.7492
EOS89DYCAgdqvxvC7JsEQHPa1rZAxtjY2wuiT9vuBo95A4LKZvmg3fengbo552211245.7134
EOS5HeMa8kKEzPUTauGaNLVDodnHjanr7i2HnGxCRbSxWGDdHyYGfwuyouwoainia148.0744
EOS8THRxyz17iR1yu7b6PjzhHZqCc5fGnBVGvVr6gwc1FpirgRm5yreding543234131.9634
EOS7nDxqnaBdqKXoaxH1f4a5phPwL3px2pxqzjXD7omyaHpapxdmuliyouzhong1281.7319
EOS55VMQeqfZmfRpXXHavKDtVt1j3vFVYT26H3hLuZbAwq6FZrHbPeosprincess150.1000
EOS8MzrYFiH6BTLxeqJvSwvZXsMgrA9qGLL6BwkLtkomqFdgVDWtClanjunnan32348.0217
EOS6Tfhjx4UhifvfUnVyoBNo4S83Kk6kpvx7rgVc3hZKfvSMskmCHandy112233440.0084
EOS5YRPsAdiyikaxVeusFHhSnc5QbYJQ8BdwXp36HsL8sL2pMPnHUrewineosio110.0000
EOS82BwJpXGX3ULuwYbXrjmtohrNRnvMhjvX6rankhMmyUnzmPUvEdadiaoche1230.0000

这项工作仍在进行中。并且鼓励EOS持有者重新查询EOSRescuer [2]以获得最新结果。如果您的帐户有标签,请不要担心,您需要做的就是联系我们(发送电子邮件至contact@peckshield.com ),并附上证明,表明您确实是该EOS帐户的所有者。此外,如果您选择了较弱的助记词,请务必选择较强的助记符来重新生成新的EOS密钥对,然后按照指南[5]更改您的EOS帐户的私钥。

关于我们

PeckShield Inc.是一家区块链安全公司,旨在通过提供一流的行业领先服务和产品(例如,智能合约审计)来提升当前区块链生态系统的安全性,隐私性和可用性。请通过电报推特电子邮件联系我们。

参考

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(peckshield)及本页链接。原文链接 https://www.peckshield.com/2018/07/10/eosRescuer/

白帽汇安全研究院转载2018-07-11 14:13:26 peckshield 6767