Poker EOS被盜2萬多EOS事件啟示：私鑰被盜，滿盤皆輸 | 火星號精選_ACT

Asecretbetweenmorethantwoisnosecret.兩人以上知道的秘密就不算秘密。

事件回顧

5月24日凌晨，PokerEOS官方中文電報群中發出通知：由于項目方賬戶私鑰泄露，被黑客攻擊。

官方通知

截止5月24日19點，據項目方統計，此次黑客攻擊事件項目方損失共計26992.2297EOS，pokereoshome損失13140EOS，pokereosgame損失8800EOS，poekreobonus損失200EOS，流入交易所900萬PKE交易損失約4852.2297EOS。

官方公告

項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。

交易所被盜金額統計圖

據資料匯總，從2014年起至2019年3月共發生交易所被盜事件33起，其中主要因私鑰泄露導致損失的有3起：2018年4月12日，印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣，發現私鑰在網上曝光超過12小時；2018年7月26日，KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰，損失770美元；2015年1月9日，Bitstamp多個操作錢包遭到破壞，導致19,000比特幣丟失，據稱是由于該公司一名員工下載了一個惡意文件，該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。

Poko完成450萬美元種子輪融資，Y Combinator等領投:6月15日消息，Web3支付解決方案Poko完成450萬美元種子輪融資，YCombinator、NAZCA、Global Founders Capital領投，GOodwater Capital、Soma Capital、Amasia、Credit Ease、Dentsu Ventures、Orange DAO、MS&AD Ventures參投。本輪融資旨在減少Web3支付成本。[2023/6/15 21:39:03]

除交易所被盜外，也有針對個別用戶進行攻擊，盜取私鑰的，2018年7月發生的近千萬EOS被盜事件，黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。

而今年年初轟動一時的交易所QuadrigaCX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。

這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性，基于區塊鏈技術的加密貨幣一旦丟失，基本是不可找回的，不可逆的，除非主網分叉

寶可夢起訴NFT項目PokeWorld:金色財經報道，近日，寶可夢國際（The Pokemon Company International) 對寶可夢有限公司(Pokemon Pty Ltd) 提起訴訟，要求其停止使用寶可夢中角色的名字。

據悉，澳大利亞企業Pokemon Pty Ltd推出了一款名為PokeWorld的NFT游戲。TPCI指出，寶可夢的版權由其所擁有，TPCI和任天堂“故意做出決定”不參與NFT市場。[2022/12/22 22:01:38]

私鑰及其重要性

那么什么是私鑰呢？有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明，其本質是32個byte組成的數組，由256個0或者1隨機組成，可以把它理解成銀行卡的密碼，這個密碼除了自己不會有任何人知道，不過銀行卡密碼是可以自己設置的，而私鑰是隨機生成的。

回到此次事件，我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰，即Owner私鑰和Active私鑰，并不是只有一把私鑰。

CDI宣布戰略投資區塊鏈撲克項目Virtue Poker:據官方消息，CDI宣布作為亞洲區領投戰略投資區塊鏈撲克項目Virtue Poker。

據悉，Virtue Poker項目起始于2018年，經過兩年開發，結合區塊鏈和德州撲克游戲。讓玩家可以避免玩在線 poker 游戲中遇到的安全與信任問題。資產存在于區塊鏈上，可以保證資產的安全性，同時每個人的手牌和桌上的牌面經過加密之后在區塊上傳輸，避免了傳統在線poker中被攻擊的可能性（比如底牌泄露）。基于去中心化技術的poker游戲，規避傳統使用虛擬貨幣在線poker所遇到的法律問題，是目前在歐美具有長期法規穩定性的游戲。

Virtue Poker的顧問委員會包括以太坊區塊鏈的聯合創始人之一Joe Lubin和最大的在線撲克策略網站 PokerStrategy 的前首席執行官Damian Sokol。

此前，數字資產代幣銷售和發行平臺 CoinList 也公布了Virtue Poker是CoinList Seed 2021 年的項目之一。[2021/5/7 21:34:57]

Owner私鑰是所有權，具有Active私鑰所有權限，以及具有重置Active私鑰等最高權限。

動態 | EOS競猜類游戲Poker EOS因私鑰泄漏損失超2萬EOS:今日凌晨，PeckShield安全盾風控平臺DAppShield監測到EOS競猜類游戲Poker EOS出現異常，經確認是游戲項目方私鑰泄漏所致，黑客共計獲利超過2萬個EOS，其中已有超過1萬個EOS已被轉至幣安和火幣交易所。項目方呼吁玩家不要在去中心化交易所掛單買賣其代幣PKE，避免造成進一步的損失。PeckShield安全人員在此提醒DApp開發者及廣大玩家，務必注意私鑰的安全，必要時可采用多簽機制增強關鍵帳號安全性。[2019/5/24]

Active私鑰即操作權，可以用于平時的轉賬、投票等滿足日常的操作。

Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板，擁有最高的權限，可以做任何事情。Active即員工，相對而言權限較小。但是老板只在有重大事件時參與運營，日常的經營業務則是由員工完成的。

于是，平時最常露面的是員工，主要用來做平時的轉賬、投票等日常的操作。老板并不經常出現，只有當員工發生重大問題，才會需要他出面。

Bespoke區塊鏈分析師：Tether缺乏透明度帶來了危險:據cnbc報道，Bespoke投資集團軟件工程師兼區塊鏈分析師Dan Ciotoli表示：“Tether缺乏透明度為我帶來了危險。 Tether的發行很有可能對去年人為增長的比特幣價格做出了重大貢獻。”[2018/6/14]

對于Owner私鑰和Active私鑰的使用與保管，EOS官方推薦用戶平時只使用Active私鑰，把Owner私鑰離線保存，只在有重大安全問題時用到Owner私鑰。

這就意味著會有兩種操作模式：單私鑰模式和雙私鑰模式。

單私鑰模式即Owner和Active使用同一把私鑰，這樣來說相對簡單，只需備份一把私鑰。

雙私鑰模式即Owner和Active使用不同的私鑰，相對單私鑰模式而言，這種模式多了一道保險，安全性能更高。

有的用戶不知道EOS賬號體系有兩種權限，主要原因是錢包多采用單私鑰模式，自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。

而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的，公鑰加密，私鑰解密。公鑰是公開的，它相當于是銀行卡號，這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”，失私鑰者，失“天下”

私鑰是如何被盜的

私鑰映射時：

1.使用了不安全的映射工具。

使用不安全的映射工具，導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的，當EOS主網上線后，攻擊者隨即updateauth更新公私鑰。或者映射工具在網絡傳輸時沒有使用SSL加密，攻擊者通過中間人的方式替換了映射使用的公私鑰。

私鑰創建時：

1.讓陌生人幫助注冊賬號

由于注冊賬號需要已經存在的賬號幫忙抵押內存，這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把，設置雙私鑰模式會增強安全性，但讓他人幫忙注冊賬號，就意味著Owner和Active權限都將可能掌握在他人手中，這就喪失了其本該有的安全性。

2.用戶使用空助記詞或較弱的助記詞組合生成的私鑰

助記詞是私鑰的另外一種表現形式，由于私鑰隨機產生，識記較為困難，為了更好地記憶復雜的私鑰，用戶可以使用助記詞，通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰，很容易遭受“彩虹”攻擊。

3.使用不安全的第三方私鑰創建工具

用戶使用不安全的第三方私鑰創建工具，例如安全保護不夠強的錢包，連網在線創建私鑰的網站等。

私鑰使用時：

1.使用了不安全的EOS超級節點投票工具

使用了不安全的EOS超級節點投票工具，使得工具開發者(實為攻擊者)可竊取EOS私鑰。

2.用戶存儲私鑰的媒介不安全

用戶存儲私鑰的方式不安全，例如存儲在郵箱、備忘錄等，可能存在弱口令被攻擊者登錄，從而被竊取私鑰。

3.在復制粘貼私鑰時，被惡意軟件竊取

用戶在手機或電腦上復制粘貼私鑰時，被某些惡意軟件監聽，導致被竊取。

防范措施

針對私鑰安全防范，我們給出以下建議：

1.使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。

2.切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊，一定要使用受信任的進程或接口。在注冊好后，對Owner和Active私鑰做仔細檢查，以防萬一。

3.務必備份好Owner助記詞、Active助記詞。特別注意，不管是Owner助記詞，還是Active助記詞，都需要按順序記下并保護好。一旦有人得到了你的助記詞,那就等同于掌控了你的錢包，不需要任何密碼就可以轉移你的資產。

4.不管是私鑰還是助記詞最好抄寫在一張紙上，不要截屏或記錄在手機上，也不要通過任何渠道將助記詞信息傳播給他人，這是非常危險的行為。

5.避免在使用時進行私鑰的復制、粘貼

6.不要隨意點開來源不明的鏈接，下載來源不明的文件

引用及資料數據來源：

1.小牛幣讀《史上最全交易所被盜事件大盤點》

https://www.hongniuw.com/article/detail/9075

2.IMOS《EOS被盜事件頻起，這里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

3.ITleaks《近千萬EOS被盜事件回顧，大家請保護好自己的EOS私鑰》

https://blog.csdn.net/itleaks/article/details/81060573

Tags：EOSPOKACTCTIeos幣為什么漲不起來PokerainACTIONauction幣行情

火幣交易所