PeckShield发布EOS高危账号预警，存在“彩虹”攻击被盗风险

近日，区块链安全公司PeckShield在分析EOS账户安全性时发现，部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合，而通过这种方式生成的秘钥很容易存在“彩虹”攻击，进而导致账户数字资产被盗。

针对此安全威胁，为了帮助用户减少可能的经济损失，PeckShield安全人员定制了一套危机解决方案：

1、披露因助记词使用问题导致的资产被盗漏洞细节，并呼吁EOS社区用户加强安全防范，避免使用空助记词或较弱的助记词组合；

2、启用EOSRescuer公共查询服务，用户可一键查阅自己的账号是否存在安全风险（peckshield.com/eosrescuer） ；

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户，受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害，PeckShield会将上述安全账户的所有记录透明公开，并接受第三方媒体的监督。注：用户认领时需提供EOS账户所有权的证明，包括必要的交易记录等。

以下我们将对该安全问题做详细阐释，并将被业已被EOSRescuer服务保护的高风险账户列表公开。

问题描述

该安全威胁的本质源自不恰当地使用第三方EOS秘钥生成工具，包括但不限于EOSTEA[3]。这些工具极为方便用户使用指定的助记词生成EOS秘钥对。遗憾的是，如果用户挑选的简单助记词被工具不加甄别地采用，生成的秘钥很有可能被黑客以”彩虹表攻击”(又名”字典攻击”) [4]的方式暴力破解，如图表1所示。

（图表 1：针对EOS高风险账户的彩虹表攻击）

我们的解决办法

为了拯救那些遭受彩虹攻击威胁的EOS高风险账户，我们选择首先创建一个安全的EOS账户，而后采取临时安置措施：将EOS账户余额从高风险账户转移至该安全账户。接下来，我们将以透明和可验证的方式将已转出的EOS账户余额返还给原始用户（在验证其真实账户所有权之后）。与此同时，我们提供一个免费的公共查询服务EOSRescuer（https://peckshield.com/eosrescuer），每位EOS持有者都可以通过查询该服务来检查自身的帐户是否存在风险。如账户被标记为危险，请尽快联系我们以便认领被保护的账户余额。在认领时，也请提供足够的信息来证明您对原始高风险账户的所有权，譬如必要的账户交易记录等。为确保用户利益不受侵害，PeckShield会将整个流程透明公开，并接受第三方媒体的监督。

截至目前为止，我们已经完成了部分拯救行动，相关信息如下所示：

EOS账号余额找回流程

1.1. 账号名称、最后余额（包括内存数量、CPU及网络资源抵押数量）、密钥对及权限；

1.2. 在北京时间2018年7月11日11点14分之前，钱包中发生的EOS交易的截图

2. PeckShield核对信息，并反馈信息给用户

3. 用户更改密钥对或提供一个新账号

4. PeckShield监测到用户账号无安全风险之后，退回账户；

【参考文献】

[1] An “In-the-Wild” Victim Report about EOS Key Attack (in Chinese), June 18, 2018

[2] EOSRescurer: Rescuing High-Risk EOS Accounts, July 10, 2018

[3] EOSTEA: https://github.com/eostea/eos-generate-key, Last visited on July 10, 2018

[4] Rainbow table attack: https://en.wikipedia.org/wiki/Dictionary_attack, Last edited on May 2, 2018

[5] Changing the private key for an EOS account: https://medium.com/@cc32d9/changing-the-private-key-for-an-eos-account-58a79dc385cd, June 17, 2018

关于我们