请选择 进入手机版 | 继续访问电脑版
查看: 240|回复: 3

EOS主网上线在即,很有可能面临一个严重安全隐患 !

[复制链接]

48

主题

6277

帖子

5289

积分

版主

Rank: 7Rank: 7Rank: 7

积分
5289
发表于 2018-5-23 13:38:16 | 显示全部楼层 |阅读模式
6月2日之后, block.one的法律架构导致无法启动主网,而Block.one前段时间又公开宣布EOS GO不是官方社区,没有权威性。这样就会有多个社区同时启动EOS主网的可能性。

用户使用EOS映射后的初始文件是所有EOS主网启动的初始分配。

用户想要使用任何主链上的币,都是需要将私钥导入到那条主网钱包。

如果有钱包或者其中任何一条主网作恶,盗用了用户的私钥,结局将会是这个用户所有其他主网上的币会全部被盗,包括EOS go的那条链上的EOS也会被盗 。

这是一个无法回避的问题,有什么好的解决方案,大家一起交流!
回复

使用道具 举报

48

主题

6277

帖子

5289

积分

版主

Rank: 7Rank: 7Rank: 7

积分
5289
 楼主| 发表于 2018-5-23 13:38:31 | 显示全部楼层
EOS FORCE回应EOS90S关于多条主网映射的安全性问题。

近期,随着EOS主网启动临近,EOS FORCE 社区在部署主网时也发现了社区里热议的多条主网映射安全性问题,这里给大家做一个详细的描述:

一、如何理解多条主网映射存在安全问题

1、  法律关系.
Block.One是BM和BB设立的公司,他们在以太坊上进行了一年的ICO,目前产生的EOS Token只是以太坊上的ERC20记账单位,EOSIO是他们开发的一套免费公开软件,里面并没有限定货币符号,任何人都可以直接使用。Block.One为了规避证券化的法律风险,也决定自己不去启动一条链,而是交由社区去启动。

2、  映射逻辑
以太坊上的EOS TOKEN是由ETH账户的私钥控制的,新的EOS链的公私钥格式和ETH的不一样,也不能直接使用ETH的私钥,所以需要产生EOS链的专用公私钥,这个就是映射。

原来只有ETH地址=> EOS TOKEN余额的对应关系,现在由ETH账户持有人,随机生成一个EOS格式的公私钥,使用ETH账户地址发送一笔映射交易,包含该新公钥,就产生了ETH地址 => EOS公钥的对应关系,进而等EOS的链起来的时候,启动者就可以直接写入EOS公钥=> EOS TOKEN余额的对应关系,进而完成了链的迁移,ETH上的TOKEN也就变成了EOS链的原生COIN。

3、  起链逻辑
官方不起链,也就没有主链的说法,如果不同社区相继起多条链,同时都认ETH映射合约里的EOS公钥=>EOS TOKEN余额的对应关系,那么这些EOS映射用户手中的一个私钥,就会变成多条EOS链的相同钥匙,需要相继导入这些链的钱包,进行解锁账户、投票、转账等操作。而EOSIO并没有进行完整的钱包开发,也都是第三方进行社区开发。

4、  私钥安全
导入钱包的私钥安全性问题非常严重,如果用户使用了多条链的钱包,任意一个钱包有问题或者自己导入过程中出现问题,造成泄露,那么所有这些链的私钥就都泄露了,多条链的资产都可以被转走。

5、钱包作恶问题有以下可能
* 有些主链就是恶意的,发布一个恶意钱包让用户去领币,实则为了窃取私钥。
* 钱包打包发布下载的流程可能被黑,也会造成被钓鱼问题。
* 钱包私钥的存储没有进行安全的加密或直接明文存储,在本地存储后被其他软件扫描到。
* EOS钱包都不是全节点钱包,都要从钱包提供方的后端节点进行数据读取,这个过程中后端节点可能被黑,虽然不太会造成本地私钥泄露,但可能引导用户签署错误交易,将资产转给他人。

二、对于这个多条主网映射的安全性问题,该如何解决呢?

【方案一】用户对每条EOS的主链分别进行重新映射
目前链上已有ETH地址 EOS TOKEN的对应关系,需要新造一个ETH地址=>EOS公钥的对应关系,要么和官方一样新部署一个映射合约,要求用户对合约操作,这个需要专用操作界面支持(类似需要imtoken、myetherwallet等),比较复杂。而根据EOS Authority提供的统计(https://eosauthority.com/genesis), 现在仅有41% 左右的 EOS 完成了映射。只对一条链的映射操作,很多用户都会忘记,如果是多条链多次映射的话用户更操作不过来。
   
【方案二】通过交易所重新映射
用户如果把EOS转入交易所,由交易所在各条主链上做多次映射,并且对各个链钱包的做专业的评估。同时交易所可以只进行中心化交易,等链稳定和钱包安全后再进行激活进而支持充提现,这样更为安全稳妥。

EOS FORCE社区于2018年5月初发起了EOS FORCE TESTNET,全球首次实现了链上投票功能,在测试过程中发现大量安全问题和社区治理问题,后续我们会陆续发布,希望其他社区,交易所,超级节点,和Block one官方能重视这些问题。
回复

使用道具 举报

34

主题

6238

帖子

5063

积分

版主

Rank: 7Rank: 7Rank: 7

积分
5063
发表于 2018-5-23 13:58:37 | 显示全部楼层
相当不错,感谢无私分享精神!
回复

使用道具 举报

8

主题

6180

帖子

5033

积分

论坛元老

Rank: 8Rank: 8

积分
5033
发表于 2018-5-23 14:18:45 | 显示全部楼层
不错
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表