私钥窃取
业务层 - 普通用户
未知
2018-07-11
作为历史上规模最大的ICO,EOS被认为是下一代区块链系统中最具竞争力的候选者,并且很自然地引起了全世界的极大关注。
在所有关于EOS的讨论中,EOS的安全性方面是最具争议的话题之一。
在这篇博客中,PeckShield的研究人员仔细研究了EOS的一个关键组成部分,即EOS账户。我们对现有工具生成EOS帐户的方式[3]非常感兴趣。我们惊讶地发现,某些EOS账户很容易受到攻击,相应的数字资产有被盗的风险。
为简单起见,我们将这些受影响的帐户称为高风险EOS帐户。为了缓解这一问题并保护高风险的EOS用户,PeckShield现在推出了一项名为EOSRescuer的公共服务[2]。
在下文中,我们详细解释了此安全问题,并披露EOSRescuer涵盖的易受攻击帐户列表。
问题描述
风险的本质是由于第三方EOS密钥对生成工具的不当使用造成的,包括但不限于EOSTEA [3]。使用用户提供的种子,这些工具极大地方便用户生成他们的EOS密钥对。不幸的是,如果选择使用简单的种子(助记词),则可能有通过启动彩虹表攻击(字典攻击)来遍历生成对应私钥的风险[4]。
图1:针对高风险EOS账户的彩虹表攻击
规避风险
为了保护使用弱助记词的EOS账户,我们首先创建一个安全的EOS账户,然后通过选择将EOS余额从易受攻击的账户转移到这个安全账户来进行临时资产保护。
接下来,我们将以透明且可验证的方式将已转移的EOS余额返还给原始用户(在验证其真实帐户所有权之后)。同时,鼓励每个EOS持有人通过查询EOSRescuer (https://peckshield.com/eosrescuer)来查看自己的帐户。如果帐户被标记为有危险,请尽快与我们联系。要申请退还EOSRescuer所涵盖的余额,请提供足够的信息以证明您对帐户的所有权,例如帐户的必要官方活动记录。整个过程是透明和免费的,应该接受第三方媒体查询或审核。
到目前为止,我们已完成保护了部分高风险账户的资产。相关信息如下:
| 弱公钥 | 帐户 | 余额 |
|---|---|---|
| EOS7duB6AzYwhpmwYepy6GRXPN1h6C5e3svZPB4T4P1mdVkwZ5Pf9 | zeilaovenus3 | 1505.3975 |
| EOS8SHA9WBK2rJkuC46BtkAaAdiBLdgph3vAE9SnjrntsHGfEwp7c | monkey123123 | 658.2789 |
| EOS7CPRUDmARmxsx26maZcGUnHfC6TFhQ47BAFhWfHQvyNdd4VAaW | liakila12121 | 293.7492 |
| EOS89DYCAgdqvxvC7JsEQHPa1rZAxtjY2wuiT9vuBo95A4LKZvmg3 | fengbo552211 | 245.7134 |
| EOS5HeMa8kKEzPUTauGaNLVDodnHjanr7i2HnGxCRbSxWGDdHyYGf | wuyouwoainia | 148.0744 |
| EOS8THRxyz17iR1yu7b6PjzhHZqCc5fGnBVGvVr6gwc1FpirgRm5y | reding543234 | 131.9634 |
| EOS7nDxqnaBdqKXoaxH1f4a5phPwL3px2pxqzjXD7omyaHpapxdmu | liyouzhong12 | 81.7319 |
| EOS55VMQeqfZmfRpXXHavKDtVt1j3vFVYT26H3hLuZbAwq6FZrHbP | eosprincess1 | 50.1000 |
| EOS8MzrYFiH6BTLxeqJvSwvZXsMgrA9qGLL6BwkLtkomqFdgVDWtC | lanjunnan323 | 48.0217 |
| EOS6Tfhjx4UhifvfUnVyoBNo4S83Kk6kpvx7rgVc3hZKfvSMskmCH | andy11223344 | 0.0084 |
| EOS5YRPsAdiyikaxVeusFHhSnc5QbYJQ8BdwXp36HsL8sL2pMPnHU | rewineosio11 | 0.0000 |
| EOS82BwJpXGX3ULuwYbXrjmtohrNRnvMhjvX6rankhMmyUnzmPUvE | dadiaoche123 | 0.0000 |
这项工作仍在进行中。并且鼓励EOS持有者重新查询EOSRescuer [2]以获得最新结果。如果您的帐户有标签,请不要担心,您需要做的就是联系我们(发送电子邮件至contact@peckshield.com ),并附上证明,表明您确实是该EOS帐户的所有者。此外,如果您选择了较弱的助记词,请务必选择较强的助记符来重新生成新的EOS密钥对,然后按照指南[5]更改您的EOS帐户的私钥。
关于我们
PeckShield Inc.是一家区块链安全公司,旨在通过提供一流的行业领先服务和产品(例如,智能合约审计)来提升当前区块链生态系统的安全性,隐私性和可用性。请通过电报,推特或电子邮件联系我们。
参考
[1] 2018年6月18日关于EOS攻击的“野外”受害者报告(中文)
[2] EOSRescurer:抢救高风险EOS账户,2018年7月10日
[3] EOSTEA: https://github.com/eostea/eos-generate-key,最后一次访问于2018年7月10日
[4]彩虹表攻击: https://en.wikipedia.org/wiki/Dictionary_attack,最后编辑于2018年5月2日
[5]更改EOS帐户的私钥: https://medium.com/@cc32d9/changing-the-private-key-for-an-eos-account-58a79dc385cd,2018年 6月17日
白帽汇安全研究院转载2018-07-11 14:13:26
peckshield
6767
联系邮箱 : service@bcsec.org