主页 > 钱包APP下载 > [imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能

[imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能

admin 钱包APP下载 2022年05月02日

曾有报道的案例显示,由于注册EOS账户需要已存在的账户帮忙抵押内存,所以一种常见的钓鱼手法是帮助新用户注册账户。注册时,用户需向来帮忙的账户提供私钥,此时,钓鱼者就会将用户提供的私钥设置为新账户Active私钥,把自己的私钥偷偷设置为新账户的Owner私钥。之后,若有人向新账户转入EOS资产,钓鱼者就用自己控制的Owner私钥权限来控制用户的新账户,转走 EOS 资产。

Owner私钥是所有权,是账户的最高权限,具有Active私钥所有权限,以及重置 Active 私钥等更高权限。

因此,从“gm3dcnqgenes”账户被盗事件来看,极有可能是被钓鱼软件套取了信息。

昨日下午,IMEOS发布消息并确认称,“gm3dcnqgenes”账号被盗EOS数量目前确认为212万个,非此前报道的209万个(包括大量未出售的糖果)。据称当日凌晨3点,该账号被更新Owner和Active私钥,之后,黑客将所有EOS进行赎回操作,并变卖了大量糖果。ECAF正在处理该案件。


直到昨日晚间22时,ECAF(EOS核心仲裁论坛)官网发布紧急命令(#ECAF00000464)称,“gm3dcnggenes质疑该账户已被黑客入侵,收益已被发送到其他几个账户。”并要求所有BP拒绝处理以下黑客转移token相关账号的交易直到有其他最新通知。相关账号为:gm3dcnqgenes;gm34qnqrepqt;gt3ftnqrrpqp;gtwvtqptrpqp;gm31qndrspqr;lxl2atucpyos。


我们都知道,有账号(地址)就有私钥,私钥是你钱包里资金所有权的证明。比特币和以太坊是每个账户都有一个地址/公钥,以及与之对应的私钥。而在EOS的账号体系中,则有两种权限的私钥,即Active私钥和Owner私钥。

这种让渡权限,可实现非常多的可能的应用场景,是EOSIO扩展性的一种体现。


[imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能控制EOS账户呢

这就明确了EOSIO允许账户持有者部分让渡权限,而且权限受让者是用自己持有的密钥签名,以便明确区分授权行为是如何发生的。

被盗账户资产目前仍处于抵押状态

那么,为什么EOS账户要设置这样两种权限呢?


[imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能控制EOS账户呢


随后,黑客用于交易糖果的去中心化交易所Newdex称,黑客利用账户在上午5点50 分进行糖果变现,Newdex及时发现并跟踪了该事件,目前已禁止该账号一切交易,直到账户物归原主。同时,平台对于账户所有者表示同情并强烈谴责黑客盗取账号行为。

但是,这个事件也有个启示:打死也不能把私钥给别人,更不要在不明真相的网站使用私钥。

ECAF发布紧急命令截图

Active与Owner的关系

当然,这只是针对已发生案例进行的例举。此次“gm3dcnqgenes”账户被盗具体情况,还需ECAF进行具体调查。

截止目前,ECAF正在处理该案件。

据IMEOS报道称,ECAF工作人员表示被盗账户“gm3dcnqgenes”疑似曾使用过一款名为EOS Wallet的钓鱼软件。值得注意的是,根据消息描述,“gm3dcnqgenes”账号以“被更新Owner和Active私钥之后,黑客将所有EOS进行赎回操作”的方式实现了成功“作案”。

EOSIO的账户权限定义的目标在白皮书中这样叙述:

在实际使用环境中,官方推荐平时仅使用Active私钥,并把Owner 私钥离线保存。当出现重大安全问题需要用到Owner私钥时,再使用Owner私钥形式相关权限。


事实上,Active和Owner可以理解为老板和员工的关系。老板(Owner)拥有最高的权限,可以做任何的事情。相对而言,员工(Active)的权限相对小了些。平时,最常露面的是员工(Active),主要用来平时的转账、投票等日常的操作。老板(Owner)并不经常出现,,只有当员工(Active)发生重大问题,才会需要他出面。


[imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能控制EOS账户呢

消息发布后,Starteos称已率先冻结了此账户。同时呼吁各节点联合起来,冻结该账户。

Active私钥即操作权,可以用于平时的转账、投票等满足日常的操作。

那么,Active和Owner分别是什么呢?何以能获取EOS账户的控制权呢?


[imtoken官网下载2.0安卓钱包imtoken冷钱包官方下载]EOS账户被盗启示:Active和Owner为何能控制EOS账户呢

本文网络收集整理,不构成任何投资建议。转载请注明出处:https://www.bnlive.com.cn/appxz/7168.html

标签: 控制   账户   被盗   Owner   Active   为何   启示