我不是標(biāo)題黨,但從近期EOS被盜頻發(fā)的情況看东跪,所有的EOS錢包用戶都必須馬上作一件事:
立即查詢你的EOS公鑰對(duì)應(yīng)的EOS賬戶畸陡!
立即查詢你的EOS公鑰對(duì)應(yīng)的EOS賬戶!
立即查詢你的EOS公鑰對(duì)應(yīng)的EOS賬戶虽填!
一罩锐、說(shuō)原因
部分網(wǎng)站的助記詞生成密鑰的機(jī)制有漏洞,導(dǎo)致用戶的密鑰對(duì)易被黑客“撞庫(kù)”暴力破解卤唉。
具體來(lái)說(shuō)涩惑,就是部分網(wǎng)站推薦用戶使用自定義助記詞生成密鑰對(duì),而部分用戶因?yàn)槿鄙侔踩WR(shí)桑驱,只用了很簡(jiǎn)單的助記詞來(lái)生成密鑰對(duì)竭恬,比如空白助記詞(比如空格),或者一個(gè)單詞(比如apple)熬的,或者使用一句常用語(yǔ)句或歌詞等來(lái)作為助記詞(比如I love you)痊硕,這樣簡(jiǎn)單的助記詞生成的密鑰對(duì),很容易被黑客用窮舉法暴力破解并進(jìn)行類似“撞庫(kù)”攻擊押框。
二岔绸、說(shuō)過(guò)程
“撞庫(kù)”是什么:撞庫(kù)是黑客通過(guò)收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對(duì)應(yīng)的字典表橡伞,嘗試批量登錄其他網(wǎng)站后盒揉,得到一系列可以登錄的用戶賬戶。因?yàn)楹芏嘤脩粼诓煌W(wǎng)站使用的賬號(hào)密碼大多是相同的兑徘,因此黑客可以通過(guò)獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站刚盈。
黑客如何使用密鑰對(duì)進(jìn)行撞庫(kù)攻擊呢?我思考了一下挂脑,邏輯可能是這樣的:黑客用簡(jiǎn)單助記詞生成的密鑰對(duì)藕漱,也可以被黑客用于生成密鑰對(duì)字典欲侮,然后通過(guò)這個(gè)密鑰對(duì)字典去掃描網(wǎng)絡(luò)上暴露的公鑰或EOS賬戶,一旦發(fā)現(xiàn)某公鑰或某EOS賬戶使用了簡(jiǎn)單助記詞生成的密鑰對(duì)肋联,與黑客字典里的密鑰對(duì)重合威蕉,黑客就可以利用助記詞或私鑰修改掉該用戶的owner權(quán)限和active權(quán)限,也就是說(shuō)橄仍,盜走了該用戶的EOS賬戶忘伞,并轉(zhuǎn)走他的EOS。
三沙兰、說(shuō)措施
有些人可能會(huì)問(wèn)了氓奈,那DuoBaaa你這么說(shuō),那豈不是所有密鑰對(duì)都不安全鼎天?所有的密鑰對(duì)都有可能被黑客錄入密鑰對(duì)字典呀舀奶。
所有的密鑰對(duì)是不可能被錄入黑客的密鑰對(duì)字典的,因?yàn)槊荑€對(duì)是無(wú)限多的斋射。就像我們用戶設(shè)置的密碼育勺,有無(wú)限多種密碼一樣。黑客是不可能做這樣的傻事情的罗岖,黑客能做的費(fèi)效比最高的方式涧至,就是盡可能多的窮盡“簡(jiǎn)單助記詞”生成的密鑰對(duì),并以此生成密鑰對(duì)字典桑包,并進(jìn)行撞庫(kù)攻擊南蓬。就像黑客使用簡(jiǎn)單密碼詞典去撞庫(kù)攻擊一樣。
因此哑了,我們只要做到:
1.立即上網(wǎng)查詢你的公鑰赘方,是否只對(duì)應(yīng)你自己創(chuàng)建的賬號(hào),如果有未知賬號(hào)弱左,那么你的私鑰可能已經(jīng)泄露或被別人掌握窄陡。
提供兩個(gè)網(wǎng)站查詢:eosflare和eospark
2.?生成密鑰對(duì)之前一定要對(duì)電腦進(jìn)行查殺木馬病毒,確保電腦上網(wǎng)環(huán)境干凈無(wú)木馬拆火。
3.?如果是別人或其他網(wǎng)站幫你注冊(cè)的EOS賬戶跳夭,請(qǐng)立即打開(kāi)你的錢包,檢查owner權(quán)限的關(guān)聯(lián)公鑰和active權(quán)限的關(guān)聯(lián)公鑰们镜,確認(rèn)是否都是你的公鑰币叹。如果不是,請(qǐng)盡快轉(zhuǎn)移你的EOS資產(chǎn)到安全的EOS賬號(hào)上憎账。
4.?任何情況下套硼,不要復(fù)制粘貼私鑰卡辰。手動(dòng)輸入私鑰是安全的做法胞皱,如果你還不放心邪意,可以在斷網(wǎng)情況下手動(dòng)輸入私鑰,然后再聯(lián)網(wǎng)反砌。
5.?私鑰必須手抄多份保存雾鬼,絕對(duì)不能把私鑰保存在處于網(wǎng)絡(luò)環(huán)境下的任何工具中,比如上網(wǎng)電腦宴树,比如郵箱策菜,比如QQ,比如微信酒贬,比如百度云等云存儲(chǔ)又憨。
我是DuoBaaa,一枚幣圈的小韭菜锭吨,用自己的思考理解蠢莺,用通俗易懂的解讀,用自己的原創(chuàng)干貨零如,與大家共同學(xué)習(xí)躏将,共同成長(zhǎng)。
