首页 > EOS柚子 > 正文

黑客,请放开我的 EOS!丨HelloTalk 第3期

HelloEOS社区 2018-11-14 19:30

  每天醒来第一件事

  就是打开自己的钱包

  查看 EOS 余额

  虽然一再被嘲笑

  就你那么点 EOS,都不够黑客的电费

  但那又怎样

  我有我的执着

  防范未然,是我每天的必修课

  HelloTalk 本期话题:为什么 EOS 总被黑客盗? 上周 EOSDice 和 FFgame 随机数均被破解遭到同一黑客攻击,昨日 EOS.Win 遭到攻击,一个月内,已经有超5款 EOS 竞猜类游戏遭到了攻击,此前柚资银行冷钱包也被盗。类似这种安全事件频繁出现,危及到用户的资产安全。

  大家对 EOS 的安全问题怎么看?为什么 EOS 总被黑客盗?

本期 HelloTalk 邀请了安全机构、钱包、DAPP 项目方为大家解读 EOS 安全,篇幅有点长,都是干货,为了你的 EOS,答应我耐心读下去

 

  EOS 上线不到半年,技术比较新,比如使用 WebAssembly 做虚拟机, 使用C 开发语言开发,机制与以太坊不同,编程思维与传统的软件的差异也是非常大,以太坊上上线早期也经历了智能合约的黑客攻击事件,其实做为一个新生事物,这也很正常。

  EOS 社区热度高,但智能合约开发者参差不齐,对技术理解不足。EOS 和其它智能合约一样,也不是能生成真随机数的,使用合约生成伪随机数时要论证是否可被预测或者控制结果。

  开发者要认识到,使用恶意合约发起攻击是黑客最常用方法,要警惕合约的恶意传参。

  风控是重中之重,发现异常立即将资金转入安全钱包 。

  随机数设计机制不安全,即使代码未开源,也会被攻击,只是时间问题,请项目方自查,或者请专业的审计公司审计。

  对照慢雾科技 EOS 安全编程最佳实践,近期会进一步完善。

  https://github.com/slowmist/eos-smart-contract-security-best-practices

  近期几个 EOS 被盗的主要的原因主要分为二种:

  私钥保管不善,被各种钓鱼网站、Telegram 钓鱼群,冒充钱包官方人员骗走私钥。

  智能合约有漏洞,比如波菜类游戏的随机数是可预测的。或者合约中没有判断转账的收款人。

  首先发生被盗的不仅仅是柚子币,其实比特币、以太坊也存在着同样的被盗现象,只是 EOS 有 ECAF 组织存在, 所以被盗的事件更容易被披露。我们在与用户交流的过程中。也发现很多用户无法正确地保管自已的私钥。建议每个钱包使用者从几个方面检查自已的私钥是否安全。

  如果你的私钥是明文备份在网盘,Email 中,或者其他云服务。

  将私钥分成几部分,存储在不同的地方。

  备份时用微信或者其他IM工具来传输私钥。

  私钥或者助记词截过图,当然包括用别人的手机给自已的助记词拍照留念。

  如果发生以上的任何一种情况,建议立即更换新的私钥。不要让黑客有可乘之机。

  另外发生被盗是智能合约的漏洞,从以太坊到 EOS,由于合约问题引起的损失一直没有停止过。近期的几次由于合约造成损失,我想主要是由于目前大部分 EOS 的 DApp 合约代码不开源,也缺少审计。其次是 EOS 刚上线不久,如何开发一个安全的智能合约资料不足,每次都是发生攻击之后,开发者才会检查自已有没有同类情况。

  我们的建议是首先项目方合约代码一定要开源,只有更多开发人员来检查,合约才能更安全,第二是尽快有 EOS 合约代码检查工具,能够对已知的漏洞进行检查。第三是项目方做好自已的风控管理,比如监控到自已账户的 EOS 非正常变动时,有更快的应对措施。

  我们也认为 EOS 做为一个新生的区块链,有目前的各种问题也属正常现象,而且整个 EOS 社区对此类事件的应对也非常及时与合理。相信 EOS 在区块链治理方面能够走出一条不同的道路来。

  imToken 做为一个钱包供应商,将钱包安全一直做为我们产品的最重要部分,首先在技术上每次钱包核心代码更新后,会经过内部审核与外部审计。关闭了 APP 的云备份;使用的 KDF 算法加密私钥;私钥只有在签名时才会被解密。近期我们也会推出更为安全的硬件解决方案。在用户教育方面,我们也会经常的举办活动来引导用户更安全的使用钱包。

  WINALL.IO

  目前 EOS 上的 DApp 发生被盗事件,我认为有两个原因。一是EOS 作为一条刚运行不到半年的公链,开发语言和开发环境都与已经其他运行多年的公链有着不同。以太坊当年也同样遭遇THE DAO 事件,其造成的影响和损失更大。这是一个新事物初期所必然伴随的产物。但我认为这是一件好事,初期不断通过实践试错,可以为 EOS 在接下来成为一条为商业服务为目标公链开拓道路。二是目前大多数出现的黑客盗币事件,都来自于 DApp 开发者的源代码漏洞,而不是 EOS 自身的代码问题。我认为开发者在开发的时候,应该时刻敬畏代码,敬畏所开发的项目,通过一系列的安全测试和检验后才能推向市场,保障用户的利益。为了抢占市场而匆忙开发推向市场,是一件极不负责任的事情。

  EOS上的安全隐患我认为并不值得担心。传统互联网公司所开发的软件,经过多年的使用,都还会一直在不断修复 bug 和优化。EOS 也一样,代码是人写出来的,就注定不太可能一经推出就完美无瑕。需要社区,DApp开发者,用户共同维护,共同优化。还是那句话,时刻保持敬畏的心。

  WINALL.IO 上线接近两个月,目前还未出现涉及安全问题的漏洞,一直在稳定运行中。最近其他项目方所暴露出的漏洞,我们都在第一时间进行自查。有则改之,无则加勉。我们也确信,我们的代码一定不会是坚不可摧,之所以一直稳定运行,一定是还未被找出漏洞,而不是没有漏洞。但这并不妨碍我们让它保持运行,不断对代码进行优化升级,与黑客共舞,这是常态。正因为保持敬畏之心,我们对 WINALL.IO 采取了多种防御措施,包括采用"热+温+冷钱包"机制,高额度提现进行审核等,这让我们即使面对无处不在的攻击者攻击时,承受有限的损失。

  稳定运行,才是活下去的根本,才能让 WINALL.IO 建立起安全可靠的口碑,细水长流,一切才刚刚开始。

  社区

本期话题竟然被本司 CTO 公开无情嘲讽,认为这个问题很业余。

  小编看了想打人

  币问用户 BTS布道人

  我现在怀疑这个 helloeos 是不是官方。。。

  怎么提的问题虽然跟 eos 相关,但是这么业余呢???

  EOS容易被盗原因很简单吧?

  第一,发行在 EOS上的 dapp 是所有区块链代币活跃度最多,参与人数最多的。

  第二,发行在 eos 上的这些 dapp 的实力水准不够,无法建立足够的安全防御。

  总结就是:树大招风,所以容易被惦记。不够安全,所以会被顺走。

  这位技术大神是真的优(qian)秀(zou)!

  微博用户 老谢Tiger

  大部分的 DApp 是开源的。开源好处是可以逐步改进而且更透明,但对黑客来说这就是把衣服扒光了让人家看哪里有痣一样。普通人看不懂代码,看懂代码的但凡有一个坏人就是巨量的损失。

  微博用户 比原家的亚洲铜

  这些漏洞都不是柚子的问题,而是这些 dapp 的安全漏洞。自己技术菜,不要怨柚子。

  币问用户 低调的奢华

  我问了一下我的哥们,他的回答就一句话:这就好比汽车总比自行车的问题多一样的。

  币问用户 bangbangbang

  被黑客看上的币都是香饽饽。

  有高关注才会暴露大批安全问题。

  阿克琉斯足够强大了,高质量护踝迟早能做出来。

  币问用户 哎唷喂

  安全问题确实是横在很多用户心中的一根刺,目前来说,抵押 EOS 是一个比较不错的办法,黑客盗走了账户还有3天的时间才能提走。今天首例修改被盗用户私钥提案通过,也是在安全方面再加一道保险杠。

  至于 DApp 方总是被盗,可能需要上面说业余的技术大神们解救一下吧~

  得票最多的参与者将获得神秘礼物一份

  HelloTalk 上期获奖用户:哎唷喂

  这位用户2票就夺得大奖,请大家不要犹豫,尽情来薅羊毛

欢迎大家关注我们的官方微博、币问、微信公众号、微信群、电报群、推特参与下期讨论

 

—END—

阅读更多

上一篇:首个为 EOS 打造的流式 API 发布 | dfuse 涡轮加速 EOS 开发

下一篇:手把手教你玩eos:架设EOS区块浏览器

您可能喜欢:

关于我们联系我们作者投稿
Copyright © 2013 比特巴手机版
币圈人都爱上的网站,新闻行情教程人物测评资讯大全