Poker EOS被盜2萬多EOS事件啟示：私鑰被盜，滿盤皆輸 | 火星號精選_NER

Asecretbetweenmorethantwoisnosecret.兩人以上知道的秘密就不算秘密。

事件回顧

5月24日凌晨，PokerEOS官方中文電報群中發出通知：由于項目方賬戶私鑰泄露，被黑客攻擊。

官方通知

截止5月24日19點，據項目方統計，此次黑客攻擊事件項目方損失共計26992.2297EOS，pokereoshome損失13140EOS，pokereosgame損失8800EOS，poekreobonus損失200EOS，流入交易所900萬PKE交易損失約4852.2297EOS。

官方公告

項目方給出此次攻擊事件發生的原因是團隊私鑰管理不當。其實因私鑰管理不當而導致損失的事件可以說不是罕見的事了。

交易所被盜金額統計圖

據資料匯總，從2014年起至2019年3月共發生交易所被盜事件33起，其中主要因私鑰泄露導致損失的有3起：2018年4月12日，印度加密貨幣交易所Coinsecure因冷存儲恢復失敗暴露了用于離線存儲的私鑰被盜438比特幣，發現私鑰在網上曝光超過12小時；2018年7月26日，KICKICO由于安全漏洞發生導致黑客成功獲得了“KICK智能合約賬戶”的私鑰，損失770美元；2015年1月9日，Bitstamp多個操作錢包遭到破壞，導致19,000比特幣丟失，據稱是由于該公司一名員工下載了一個惡意文件，該文件使攻擊者可以訪問包含wallet.dat文件的服務器以及公司熱錢包的密碼。

NFT交易員Pokeee兌現承諾，花費近90萬美元買入69個DeGods:1月18日消息，NFT交易員Pokeee在Magic Eden市場上花費了近90萬美元購買了69個DeGods，并要求Magic Eden將其NFT掃貨功能的總量從50個提高到69個。

此前，Pokeee曾在推特上表示，其于1月13日發布的推文若超過1000個贊，將購買69個DeGods NFT，以支持該項目即將遷移到以太坊，目前這條推文已獲得了4621個贊。

根據CryptoSlam的數據，迄今為止，DeGods已經積累了價值約1.35億美元的交易量。此前，NFT項目DeGods表示將于2023年第一季度從Solana橋接至以太坊。[2023/1/18 11:18:51]

除交易所被盜外，也有針對個別用戶進行攻擊，盜取私鑰的，2018年7月發生的近千萬EOS被盜事件，黑客通過盜取受害人的私鑰而盜走了其價值近千萬的EOS。

而今年年初轟動一時的交易所QuadrigaCX上億資產被鎖事件則是由于其創始人兼首席執行官的突然離世導致其中1.47億美元的加密數字貨幣秘鑰丟失“被上鎖”。

Sol City Poker Club項目Discord服務器遭到攻擊:金色財經報道，據CertiK監測，Sol City Poker Club項目Discord服務器遭到攻擊。請社區用戶在頻道修復之前不要點擊任何鏈接。[2022/12/21 21:57:41]

這些丟失的資產一去不復還。因為區塊鏈的“去中心化”的特性，基于區塊鏈技術的加密貨幣一旦丟失，基本是不可找回的，不可逆的，除非主網分叉

私鑰及其重要性

那么什么是私鑰呢？有賬號就有私鑰。私鑰是錢包里資金所有權的證明和合約擁有權的證明，其本質是32個byte組成的數組，由256個0或者1隨機組成，可以把它理解成銀行卡的密碼，這個密碼除了自己不會有任何人知道，不過銀行卡密碼是可以自己設置的，而私鑰是隨機生成的。

回到此次事件，我們來看EOS私鑰。一些普通用戶可能不知道在EOS的賬號體系中有兩種權限的私鑰，即Owner私鑰和Active私鑰，并不是只有一把私鑰。

Poked bot NFT在二級市場上以3,000 ICP（172,140 美元）的價格售出:11月10日消息，據NFT市場Entrepot的數據，Poked bot NFT在二級市場上以3,000 ICP（172,140 美元）的價格售出，創下IC NFT新紀錄。Poked bot NFT是PokedStudio在IC上構建的元宇宙NFT，該系列包含10000個風格獨特的機器人NFT，講述了500年后機器人在地球上發生的故事。[2021/11/10 6:43:14]

Owner私鑰是所有權，具有Active私鑰所有權限，以及具有重置Active私鑰等最高權限。

Active私鑰即操作權，可以用于平時的轉賬、投票等滿足日常的操作。

Owner私鑰和Active私鑰的關系類似老板和員工的關系。Owner即老板，擁有最高的權限，可以做任何事情。Active即員工，相對而言權限較小。但是老板只在有重大事件時參與運營，日常的經營業務則是由員工完成的。

Hive Capital戰略投資用“NFT + DeFi”創造的PokerFi:5月31日消息，Hive Capital戰略投資用“NFT + DeFi”創造的新型加密貨幣系統PokerFi。

目前PokerFi已獲得Hive Capital、Redline Capital（紅鏈資本）、7 O'Clock Capital、安芙蘭資本、極客資本、輝客資本、ECO2 Foundation Ltd、點石基金 等機構戰略投資，具體投資金額暫未披露。

?據悉，PokerFi是用“NFT + DeFi”創造的新型加密貨幣系統。PokerFi應用DeFi智能合約代碼確保整個生態的信任機制，利用卡牌NFT在ETH、BSC等公鏈上建立了一個全新的貨幣生態。[2021/5/31 22:58:54]

于是，平時最常露面的是員工，主要用來做平時的轉賬、投票等日常的操作。老板并不經常出現，只有當員工發生重大問題，才會需要他出面。

對于Owner私鑰和Active私鑰的使用與保管，EOS官方推薦用戶平時只使用Active私鑰，把Owner私鑰離線保存，只在有重大安全問題時用到Owner私鑰。

蒙大拿州加密礦商Spokane拒絕支付370萬美元的電費:美國蒙大拿州加密礦業公司ProjectSpokane被電力公司EnergyKeepersInc.起訴，要求支付370萬美元的未付電費。12月14日，ProjectSpokane請求蒙大拿州聯邦法官駁回訴訟，聲稱在2018年收購該礦業公司大部分資產的HyperblockLLC公司對債務負有責任。然而，Hyperblock在今年3月新冠肺炎爆發后宣布破產。ProjectSpokane和Hyperblock共享一個所有者。該訴訟由EnergyKeepers于今年5月提起，稱ProjectSpokane利用與HyperblockLLC達成的協議，密謀不向電力供應商支付電費。ProjectSpokane聲稱，與Hyperblock的協議條款明確將其電力能源賬單轉移給了Hyperblock。（Cointelegraph）[2020/12/16 15:22:37]

這就意味著會有兩種操作模式：單私鑰模式和雙私鑰模式。

單私鑰模式即Owner和Active使用同一把私鑰，這樣來說相對簡單，只需備份一把私鑰。

雙私鑰模式即Owner和Active使用不同的私鑰，相對單私鑰模式而言，這種模式多了一道保險，安全性能更高。

有的用戶不知道EOS賬號體系有兩種權限，主要原因是錢包多采用單私鑰模式，自然地這說明了大多錢包的私鑰操作模式實際上是不夠安全的。

而區塊鏈應用中用來保障用戶資產安全的就是公鑰和私鑰。公鑰與私鑰是成對出現的，公鑰加密，私鑰解密。公鑰是公開的，它相當于是銀行卡號，這樣就不難理解私鑰才是我們自己能夠真正保障我們信息、資產安全的那道“防線”，失私鑰者，失“天下”

私鑰是如何被盜的

私鑰映射時：

1.使用了不安全的映射工具。

使用不安全的映射工具，導致映射使用的公私鑰是由工具開發者(實際是攻擊者)控制的，當EOS主網上線后，攻擊者隨即updateauth更新公私鑰。或者映射工具在網絡傳輸時沒有使用SSL加密，攻擊者通過中間人的方式替換了映射使用的公私鑰。

私鑰創建時：

1.讓陌生人幫助注冊賬號

由于注冊賬號需要已經存在的賬號幫忙抵押內存，這使黑客有機可乘。黑客利用最常見的釣魚手法——幫忙注冊賬號盜取用戶私鑰。我們前面已經說過私鑰其實有兩把，設置雙私鑰模式會增強安全性，但讓他人幫忙注冊賬號，就意味著Owner和Active權限都將可能掌握在他人手中，這就喪失了其本該有的安全性。

2.用戶使用空助記詞或較弱的助記詞組合生成的私鑰

助記詞是私鑰的另外一種表現形式，由于私鑰隨機產生，識記較為困難，為了更好地記憶復雜的私鑰，用戶可以使用助記詞，通過助記詞導入錢包。如果用戶使用空助記詞或是強度較弱的助記詞產生的秘鑰，很容易遭受“彩虹”攻擊。

3.使用不安全的第三方私鑰創建工具

用戶使用不安全的第三方私鑰創建工具，例如安全保護不夠強的錢包，連網在線創建私鑰的網站等。

私鑰使用時：

1.使用了不安全的EOS超級節點投票工具

使用了不安全的EOS超級節點投票工具，使得工具開發者(實為攻擊者)可竊取EOS私鑰。

2.用戶存儲私鑰的媒介不安全

用戶存儲私鑰的方式不安全，例如存儲在郵箱、備忘錄等，可能存在弱口令被攻擊者登錄，從而被竊取私鑰。

3.在復制粘貼私鑰時，被惡意軟件竊取

用戶在手機或電腦上復制粘貼私鑰時，被某些惡意軟件監聽，導致被竊取。

防范措施

針對私鑰安全防范，我們給出以下建議：

1.使用安全性有保證的映射工具、私鑰創建工具和超級節點投票工具。

2.切忌讓陌生人幫自己注冊賬號。若不得以需要讓他人幫忙注冊，一定要使用受信任的進程或接口。在注冊好后，對Owner和Active私鑰做仔細檢查，以防萬一。

3.務必備份好Owner助記詞、Active助記詞。特別注意，不管是Owner助記詞，還是Active助記詞，都需要按順序記下并保護好。一旦有人得到了你的助記詞,那就等同于掌控了你的錢包，不需要任何密碼就可以轉移你的資產。

4.不管是私鑰還是助記詞最好抄寫在一張紙上，不要截屏或記錄在手機上，也不要通過任何渠道將助記詞信息傳播給他人，這是非常危險的行為。

5.避免在使用時進行私鑰的復制、粘貼

6.不要隨意點開來源不明的鏈接，下載來源不明的文件

引用及資料數據來源：

1.小牛幣讀《史上最全交易所被盜事件大盤點》

https://www.hongniuw.com/article/detail/9075

2.IMOS《EOS被盜事件頻起，這里有一份安全攻略供你食用》

https://www.jianshu.com/p/43c515f2b416

3.ITleaks《近千萬EOS被盜事件回顧，大家請保護好自己的EOS私鑰》

https://blog.csdn.net/itleaks/article/details/81060573

Tags：POKEOSNFTNERSPOKKZeos幣柚子TOPDOG Vault (NFTX)Miner X Protocol

FIL幣