Poker EOS被盜2萬多EOS事件啟示：私鑰被盜，滿盤皆輸 | 火星號精選_EOS:POKUP

Asecretbetweenmorethantwoisnosecret.兩人以上知道的秘密就不算秘密。

事件回顧

5月24日凌晨，PokerEOS官方中文電報群中發出通知：由于項目方賬戶私鑰泄露，被黑客攻擊。

官方通知

截止5月24日19點，據項目方統計，此次黑客攻擊事件項目方損失共計26992.2297EOS，pokereoshome損失13140EOS，pokereosgame損失8800EOS，poekreobonus損失200EOS，流入交易所900萬PKE交易損失約4852.2297EOS。

官方公告

項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。

交易所被盜金額統計圖

據資料匯總，從2014年起至2019年3月共發生交易所被盜事件33起，其中主要因私鑰泄露導致損失的有3起：2018年4月12日，印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣，發現私鑰在網上曝光超過12小時；2018年7月26日，KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰，損失770美元；2015年1月9日，Bitstamp多個操作錢包遭到破壞，導致19,000比特幣丟失，據稱是由于該公司一名員工下載了一個惡意文件，該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。

NFT交易員Pokeee兌現承諾，花費近90萬美元買入69個DeGods:1月18日消息，NFT交易員Pokeee在Magic Eden市場上花費了近90萬美元購買了69個DeGods，并要求Magic Eden將其NFT掃貨功能的總量從50個提高到69個。

此前，Pokeee曾在推特上表示，其于1月13日發布的推文若超過1000個贊，將購買69個DeGods NFT，以支持該項目即將遷移到以太坊，目前這條推文已獲得了4621個贊。

根據CryptoSlam的數據，迄今為止，DeGods已經積累了價值約1.35億美元的交易量。此前，NFT項目DeGods表示將于2023年第一季度從Solana橋接至以太坊。[2023/1/18 11:18:51]

除交易所被盜外，也有針對個別用戶進行攻擊，盜取私鑰的，2018年7月發生的近千萬EOS被盜事件，黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。

而今年年初轟動一時的交易所QuadrigaCX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。

MetaBox與Pokemon共同發起500萬美元專項生態基金:據官方消息，Metabox與Pokemon口袋怪獸達成深度合作，雙方將共同發起500萬美金元宇宙專項生態基金，用于扶持MetaBox元宇宙生態建設，雙方將共同開發以Pokemon 為主題的元宇宙游戲。據悉，此前MetaBox基金會已經購買了價值100 ETH Pokemon的NFT版權，用于MetaBox生態里Pokemon主題的鏈游開發。[2021/12/31 8:16:44]

這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性，基于區塊鏈技術的加密貨幣一旦丟失，基本是不可找回的，不可逆的，除非主網分叉

私鑰及其重要性

那么什么是私鑰呢？有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明，其本質是32個byte組成的數組，由256個0或者1隨機組成，可以把它理解成銀行卡的密碼，這個密碼除了自己不會有任何人知道，不過銀行卡密碼是可以自己設置的，而私鑰是隨機生成的。

James Wo發推特稱已參與VirtuePoker的戰略投資:4月13日，風險投資公司數字金融集團的創始人JamesWo發推特稱，已成為基于以太坊的去中心化撲克平臺VirtuePoker的戰略投資者。[2021/4/13 20:13:43]

回到此次事件，我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰，即Owner私鑰和Active私鑰，并不是只有一把私鑰。

Owner私鑰是所有權，具有Active私鑰所有權限，以及具有重置Active私鑰等最高權限。

Active私鑰即操作權，可以用于平時的轉賬、投票等滿足日常的操作。

Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板，擁有最高的權限，可以做任何事情。Active即員工，相對而言權限較小。但是老板只在有重大事件時參與運營，日常的經營業務則是由員工完成的。

于是，平時最常露面的是員工，主要用來做平時的轉賬、投票等日常的操作。老板并不經常出現，只有當員工發生重大問題，才會需要他出面。

動態 | EOS競猜類游戲Poker EOS因私鑰泄漏損失超2萬EOS:今日凌晨，PeckShield安全盾風控平臺DAppShield監測到EOS競猜類游戲Poker EOS出現異常，經確認是游戲項目方私鑰泄漏所致，黑客共計獲利超過2萬個EOS，其中已有超過1萬個EOS已被轉至幣安和火幣交易所。項目方呼吁玩家不要在去中心化交易所掛單買賣其代幣PKE，避免造成進一步的損失。PeckShield安全人員在此提醒DApp開發者及廣大玩家，務必注意私鑰的安全，必要時可采用多簽機制增強關鍵帳號安全性。[2019/5/24]

對于Owner私鑰和Active私鑰的使用與保管，EOS官方推薦用戶平時只使用Active私鑰，把Owner私鑰離線保存，只在有重大安全問題時用到Owner私鑰。

這就意味著會有兩種操作模式：單私鑰模式和雙私鑰模式。

單私鑰模式即Owner和Active使用同一把私鑰，這樣來說相對簡單，只需備份一把私鑰。

雙私鑰模式即Owner和Active使用不同的私鑰，相對單私鑰模式而言，這種模式多了一道保險，安全性能更高。

Bespoke區塊鏈分析師：Tether缺乏透明度帶來了危險:據cnbc報道，Bespoke投資集團軟件工程師兼區塊鏈分析師Dan Ciotoli表示：“Tether缺乏透明度為我帶來了危險。 Tether的發行很有可能對去年人為增長的比特幣價格做出了重大貢獻。”[2018/6/14]

有的用戶不知道EOS賬號體系有兩種權限，主要原因是錢包多采用單私鑰模式，自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。

而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的，公鑰加密，私鑰解密。公鑰是公開的，它相當于是銀行卡號，這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”，失私鑰者，失“天下”

私鑰是如何被盜的

私鑰映射時：

1.使用了不安全的映射工具。

使用不安全的映射工具，導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的，當EOS主網上線后，攻擊者隨即updateauth更新公私鑰。或者映射工具在網絡傳輸時沒有使用SSL加密，攻擊者通過中間人的方式替換了映射使用的公私鑰。

私鑰創建時：

1.讓陌生人幫助注冊賬號

由于注冊賬號需要已經存在的賬號幫忙抵押內存，這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把，設置雙私鑰模式會增強安全性，但讓他人幫忙注冊賬號，就意味著Owner和Active權限都將可能掌握在他人手中，這就喪失了其本該有的安全性。

2.用戶使用空助記詞或較弱的助記詞組合生成的私鑰

助記詞是私鑰的另外一種表現形式，由于私鑰隨機產生，識記較為困難，為了更好地記憶復雜的私鑰，用戶可以使用助記詞，通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰，很容易遭受“彩虹”攻擊。

3.使用不安全的第三方私鑰創建工具

用戶使用不安全的第三方私鑰創建工具，例如安全保護不夠強的錢包，連網在線創建私鑰的網站等。

私鑰使用時：

1.使用了不安全的EOS超級節點投票工具

使用了不安全的EOS超級節點投票工具，使得工具開發者(實為攻擊者)可竊取EOS私鑰。

2.用戶存儲私鑰的媒介不安全

用戶存儲私鑰的方式不安全，例如存儲在郵箱、備忘錄等，可能存在弱口令被攻擊者登錄，從而被竊取私鑰。

3.在復制粘貼私鑰時，被惡意軟件竊取

用戶在手機或電腦上復制粘貼私鑰時，被某些惡意軟件監聽，導致被竊取。

防范措施

針對私鑰安全防范，我們給出以下建議：

1.使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。

2.切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊，一定要使用受信任的進程或接口。在注冊好后，對Owner和Active私鑰做仔細檢查，以防萬一。

3.務必備份好Owner助記詞、Active助記詞。特別注意，不管是Owner助記詞，還是Active助記詞，都需要按順序記下并保護好。一旦有人得到了你的助記詞,那就等同于掌控了你的錢包，不需要任何密碼就可以轉移你的資產。

4.不管是私鑰還是助記詞最好抄寫在一張紙上，不要截屏或記錄在手機上，也不要通過任何渠道將助記詞信息傳播給他人，這是非常危險的行為。

5.避免在使用時進行私鑰的復制、粘貼

6.不要隨意點開來源不明的鏈接，下載來源不明的文件

引用及資料數據來源：

1.小牛幣讀《史上最全交易所被盜事件大盤點》

https://www.hongniuw.com/article/detail/9075

2.IMOS《EOS被盜事件頻起，這里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

3.ITleaks《近千萬EOS被盜事件回顧，大家請保護好自己的EOS私鑰》

https://blog.csdn.net/itleaks/article/details/81060573

Tags：EOSPOKCTIACTDEOS幣POKUPUnicly Feevocious Collectionfactr幣合約地址

火必