Poker EOS被盜2萬多EOS事件啟示：私鑰被盜，滿盤皆輸 | 火星號精選_POK:ACT

Asecretbetweenmorethantwoisnosecret.兩人以上知道的秘密就不算秘密。

事件回顧

5月24日凌晨，PokerEOS官方中文電報群中發出通知：由于項目方賬戶私鑰泄露，被黑客攻擊。

官方通知

截止5月24日19點，據項目方統計，此次黑客攻擊事件項目方損失共計26992.2297EOS，pokereoshome損失13140EOS，pokereosgame損失8800EOS，poekreobonus損失200EOS，流入交易所900萬PKE交易損失約4852.2297EOS。

官方公告

項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。

交易所被盜金額統計圖

據資料匯總，從2014年起至2019年3月共發生交易所被盜事件33起，其中主要因私鑰泄露導致損失的有3起：2018年4月12日，印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣，發現私鑰在網上曝光超過12小時；2018年7月26日，KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰，損失770美元；2015年1月9日，Bitstamp多個操作錢包遭到破壞，導致19,000比特幣丟失，據稱是由于該公司一名員工下載了一個惡意文件，該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。

Pokémon Go開發公司Niantic：正在探索區塊鏈游戲:5月26日消息，寶可夢Pokémon Go開發公司Niantic首席執行官John Hanke在該公司第一屆開發者峰會上表示，Niantic正在探索將區塊鏈技術融入游戲，目前處于早期階段。John Hanke的表態可能暗示Niantic未來可能嘗試推出加密游戲，

據悉，他在今年初已經探訪了Web3創新工作室Spot X Games并與之討論了如何使用區塊鏈作為一種激勵人們走出去、發現新地方、與朋友一起玩樂的方式。（TheVerge）[2022/5/27 3:44:26]

除交易所被盜外，也有針對個別用戶進行攻擊，盜取私鑰的，2018年7月發生的近千萬EOS被盜事件，黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。

而今年年初轟動一時的交易所QuadrigaCX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。

Hive Capital戰略投資用“NFT + DeFi”創造的PokerFi:5月31日消息，Hive Capital戰略投資用“NFT + DeFi”創造的新型加密貨幣系統PokerFi。

目前PokerFi已獲得Hive Capital、Redline Capital（紅鏈資本）、7 O'Clock Capital、安芙蘭資本、極客資本、輝客資本、ECO2 Foundation Ltd、點石基金 等機構戰略投資，具體投資金額暫未披露。

?據悉，PokerFi是用“NFT + DeFi”創造的新型加密貨幣系統。PokerFi應用DeFi智能合約代碼確保整個生態的信任機制，利用卡牌NFT在ETH、BSC等公鏈上建立了一個全新的貨幣生態。[2021/5/31 22:58:54]

這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性，基于區塊鏈技術的加密貨幣一旦丟失，基本是不可找回的，不可逆的，除非主網分叉

私鑰及其重要性

金色沙龍丨Matthew Spoke：鏈圈的目標尚未取得實質性進展:在本期金色沙龍上，The OAN（前Aion Network）創始人及CEO Matthew Spoke發言指出：區塊鏈圈希望能夠從零開始構建一個更好的“互聯網”，這是個清晰、明確也很必要的目標。但在現實世界中卻沒有實質性進展，只是一系列實驗和內測。并不是說這些領域沒有創建出任何有價值的東西，確實有一些突破性的實驗，向我們展示出Web3.0的潛力，比如Dai以及其建立的DeFi生態系統就讓我們看到了產品與市場有效契合的早期跡象。[2020/3/18]

那么什么是私鑰呢？有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明，其本質是32個byte組成的數組，由256個0或者1隨機組成，可以把它理解成銀行卡的密碼，這個密碼除了自己不會有任何人知道，不過銀行卡密碼是可以自己設置的，而私鑰是隨機生成的。

回到此次事件，我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰，即Owner私鑰和Active私鑰，并不是只有一把私鑰。

葡萄牙軟件工程師創建“Poketoshi”平臺 可供用戶在閃電網絡上玩“口袋妖怪”:據Cointelegraph消息，葡萄牙軟件工程師Joao Almeida創建了“Poketoshi”平臺，用戶可以在閃電網絡上玩任天堂的熱門游戲口袋妖怪（Pokemon）。[2018/6/20]

Owner私鑰是所有權，具有Active私鑰所有權限，以及具有重置Active私鑰等最高權限。

Active私鑰即操作權，可以用于平時的轉賬、投票等滿足日常的操作。

Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板，擁有最高的權限，可以做任何事情。Active即員工，相對而言權限較小。但是老板只在有重大事件時參與運營，日常的經營業務則是由員工完成的。

于是，平時最常露面的是員工，主要用來做平時的轉賬、投票等日常的操作。老板并不經常出現，只有當員工發生重大問題，才會需要他出面。

對于Owner私鑰和Active私鑰的使用與保管，EOS官方推薦用戶平時只使用Active私鑰，把Owner私鑰離線保存，只在有重大安全問題時用到Owner私鑰。

Bespoke區塊鏈分析師：Tether缺乏透明度帶來了危險:據cnbc報道，Bespoke投資集團軟件工程師兼區塊鏈分析師Dan Ciotoli表示：“Tether缺乏透明度為我帶來了危險。 Tether的發行很有可能對去年人為增長的比特幣價格做出了重大貢獻。”[2018/6/14]

這就意味著會有兩種操作模式：單私鑰模式和雙私鑰模式。

單私鑰模式即Owner和Active使用同一把私鑰，這樣來說相對簡單，只需備份一把私鑰。

雙私鑰模式即Owner和Active使用不同的私鑰，相對單私鑰模式而言，這種模式多了一道保險，安全性能更高。

有的用戶不知道EOS賬號體系有兩種權限，主要原因是錢包多采用單私鑰模式，自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。

而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的，公鑰加密，私鑰解密。公鑰是公開的，它相當于是銀行卡號，這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”，失私鑰者，失“天下”

私鑰是如何被盜的

私鑰映射時：

1.使用了不安全的映射工具。

使用不安全的映射工具，導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的，當EOS主網上線后，攻擊者隨即updateauth更新公私鑰。或者映射工具在網絡傳輸時沒有使用SSL加密，攻擊者通過中間人的方式替換了映射使用的公私鑰。

私鑰創建時：

1.讓陌生人幫助注冊賬號

由于注冊賬號需要已經存在的賬號幫忙抵押內存，這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把，設置雙私鑰模式會增強安全性，但讓他人幫忙注冊賬號，就意味著Owner和Active權限都將可能掌握在他人手中，這就喪失了其本該有的安全性。

2.用戶使用空助記詞或較弱的助記詞組合生成的私鑰

助記詞是私鑰的另外一種表現形式，由于私鑰隨機產生，識記較為困難，為了更好地記憶復雜的私鑰，用戶可以使用助記詞，通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰，很容易遭受“彩虹”攻擊。

3.使用不安全的第三方私鑰創建工具

用戶使用不安全的第三方私鑰創建工具，例如安全保護不夠強的錢包，連網在線創建私鑰的網站等。

私鑰使用時：

1.使用了不安全的EOS超級節點投票工具

使用了不安全的EOS超級節點投票工具，使得工具開發者(實為攻擊者)可竊取EOS私鑰。

2.用戶存儲私鑰的媒介不安全

用戶存儲私鑰的方式不安全，例如存儲在郵箱、備忘錄等，可能存在弱口令被攻擊者登錄，從而被竊取私鑰。

3.在復制粘貼私鑰時，被惡意軟件竊取

用戶在手機或電腦上復制粘貼私鑰時，被某些惡意軟件監聽，導致被竊取。

防范措施

針對私鑰安全防范，我們給出以下建議：

1.使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。

2.切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊，一定要使用受信任的進程或接口。在注冊好后，對Owner和Active私鑰做仔細檢查，以防萬一。

3.務必備份好Owner助記詞、Active助記詞。特別注意，不管是Owner助記詞，還是Active助記詞，都需要按順序記下并保護好。一旦有人得到了你的助記詞,那就等同于掌控了你的錢包，不需要任何密碼就可以轉移你的資產。

4.不管是私鑰還是助記詞最好抄寫在一張紙上，不要截屏或記錄在手機上，也不要通過任何渠道將助記詞信息傳播給他人，這是非常危險的行為。

5.避免在使用時進行私鑰的復制、粘貼

6.不要隨意點開來源不明的鏈接，下載來源不明的文件

引用及資料數據來源：

1.小牛幣讀《史上最全交易所被盜事件大盤點》

https://www.hongniuw.com/article/detail/9075

2.IMOS《EOS被盜事件頻起，這里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

3.ITleaks《近千萬EOS被盜事件回顧，大家請保護好自己的EOS私鑰》

https://blog.csdn.net/itleaks/article/details/81060573

Tags：EOSPOKCTIACTEOS AuctionPokerainOCTIONTransaction Service fee

中幣下載