黑客，请放开我的 EOS！

每天醒来第一件事

就是打开自己的钱包

查看 EOS 余额

虽然一再被嘲笑

就你那么点 EOS，都不够黑客的电费

但那又怎样

我有我的执着

防范未然，是我每天的必修课

HelloTalk 本期话题：为什么 EOS 总被黑客盗？

上周 EOSDice 和 FFgame 随机数均被破解遭到同一黑客攻击，昨日 EOS.Win 遭到攻击，一个月内，已经有超5款 EOS 竞猜类游戏遭到了攻击，此前柚资银行冷钱包也被盗。类似这种安全事件频繁出现，危及到用户的资产安全。

大家对 EOS 的安全问题怎么看？为什么 EOS 总被黑客盗？

本期 HelloTalk 邀请了安全机构、钱包、DAPP 项目方为大家解读 EOS 安全，篇幅有点长，都是干货，为了你的 EOS，答应我耐心读下去

EOS 上线不到半年，技术比较新，比如使用 WebAssembly 做虚拟机， 使用C++开发语言开发，机制与以太坊不同，编程思维与传统的软件的差异也是非常大，以太坊上上线早期也经历了智能合约的黑客攻击事件，其实做为一个新生事物，这也很正常。

不EOS 社区热度高，但智能合约开发者参差不齐，对技术的理解足。EOS 和其它智能合约一样，也不是能生成真随机数的，使用合约生成伪随机数时要论证是否可被预测或者控制结果。

开发者要认识到，使用恶意合约发起攻击是黑客最常用方法，要警惕合约的恶意传参。

风控是重中之重，发现异常立即将资金转入安全钱包 。

随机数设计机制不安全，即使代码未开源，也会被攻击，只是时间问题，请项目方自查，或者请专业的审计公司审计。

对照慢雾科技 EOS 安全编程最佳实践，近期会进一步完善。

https://github.com/slowmist/eos-smart-contract-security-best-practices

近期几个 EOS 被盗的主要的原因主要分为二种：

私钥保管不善，被各种钓鱼网站、Telegram 钓鱼群，冒充钱包官方人员骗走私钥。

智能合约有漏洞，比如波菜类游戏的随机数是可预测的。或者合约中没有判断转账的收款人。

首先发生被盗的不仅仅是柚子币，其实比特币、以太坊也存在着同样的被盗现象，只是EOS 有 ECAF 组织存在, 所以被盗的事件更容易被披露。我们在与用户交流的过程中。也发现很多用户无法正确地保管自已的私钥。建议每个钱包使用者从几个方面检查自已的私钥是否安全。

如果你的私钥是明文备份在网盘，Email 中，或者其他云服务。

将私钥分成几部分，存储在不同的地方。

备份时用微信或者其他IM工具来传输私钥。

私钥或者助记词截过图，当然包括用别人的手机给自已的助记词拍照留念。

如果发生以上的任何一种情况，建议立即更换新的私钥。不要让黑客有可乘之机。

另外发生被盗是智能合约的漏洞，从以太坊到 EOS，由于合约问题引起的损失一直没有停止过。近期的几次由于合约造成损失，我想主要是由于目前大部分 EOS 的 DApp 合约代码不开源，也缺少审计。其次是 EOS 刚上线不久，如何开发一个安全的智能合约资料不足，每次都是发生攻击之后，开发者才会检查自已有没有同类情况。

我们的建议是首先项目方合约代码一定要开源，只有更多开发人员来检查，合约才能更安全，第二是尽快有 EOS 合约代码检查工具，能够对已知的漏洞进行检查。第三是项目方做好自已的风控管理，比如监控到自已账户的 EOS 非正常变动时，有更快的应对措施。

我们也认为 EOS 做为一个新生的区块链，有目前的各种问题也属正常现象，而且整个 EOS 社区对此类事件的应对也非常及时与合理。相信 EOS 在区块链治理方面能够走出一条不同的道路来。

imToken 做为一个钱包供应商，将钱包安全一直做为我们产品的最重要部分，首先在技术上每次钱包核心代码更新后，会经过内部审核与外部审计。关闭了 APP 的云备份；使用的 KDF 算法加密私钥；私钥只有在签名时才会被解密。近期我们也会推出更为安全的硬件解决方案。在用户教育方面，我们也会经常的举办活动来引导用户更安全的使用钱包。

WINALL.IO

目前 EOS 上的 DApp 发生被盗事件，我认为有两个原因。一是EOS 作为一条刚运行不到半年的公链，开发语言和开发环境都与已经其他运行多年的公链有着不同。以太坊当年也同样遭遇THE DAO 事件，其造成的影响和损失更大。这是一个新事物初期所必然伴随的产物。但我认为这是一件好事，初期不断通过实践试错，可以为 EOS 在接下来成为一条为商业服务为目标公链开拓道路。二是目前大多数出现的黑客盗币事件，都来自于 DApp 开发者的源代码漏洞，而不是 EOS 自身的代码问题。我认为开发者在开发的时候，应该时刻敬畏代码，敬畏所开发的项目，通过一系列的安全测试和检验后才能推向市场，保障用户的利益。为了抢占市场而匆忙开发推向市场，是一件极不负责任的事情。

EOS上的安全隐患我认为并不值得担心。传统互联网公司所开发的软件，经过多年的使用，都还会一直在不断修复 bug 和优化。EOS 也一样，代码是人写出来的，就注定不太可能一经推出就完美无瑕。需要社区，DApp开发者，用户共同维护，共同优化。还是那句话，时刻保持敬畏的心。

WINALL.IO 上线接近两个月，目前还未出现涉及安全问题的漏洞，一直在稳定运行中。最近其他项目方所暴露出的漏洞，我们都在第一时间进行自查。有则改之，无则加勉。我们也确信，我们的代码一定不会是坚不可摧，之所以一直稳定运行，一定是还未被找出漏洞，而不是没有漏洞。但这并不妨碍我们让它保持运行，不断对代码进行优化升级，与黑客共舞，这是常态。正因为保持敬畏之心，我们对 WINALL.IO 采取了多种防御措施，包括采用"热＋温＋冷钱包"机制，高额度提现进行审核等，这让我们即使面对无处不在的攻击者攻击时，承受有限的损失。

稳定运行，才是活下去的根本，才能让 WINALL.IO 建立起安全可靠的口碑，细水长流，一切才刚刚开始。

社区

本期话题竟然被本司 CTO 公开无情嘲讽，认为这个问题很业余。

小编看了想打人

币问用户 BTS布道人

我现在怀疑这个 helloeos 是不是官方。。。

怎么提的问题虽然跟 eos 相关，但是这么业余呢？？？

EOS容易被盗原因很简单吧？

第一，发行在 EOS上的 dapp 是所有区块链代币活跃度最多，参与人数最多的。

第二，发行在 eos 上的这些 dapp 的实力水准不够，无法建立足够的安全防御。

总结就是：树大招风，所以容易被惦记。不够安全，所以会被顺走。

这位技术大神是真的优（qian）秀（zou）！

微博用户 老谢Tiger

大部分的 DApp 是开源的。开源好处是可以逐步改进而且更透明，但对黑客来说这就是把衣服扒光了让人家看哪里有痣一样。普通人看不懂代码，看懂代码的但凡有一个坏人就是巨量的损失。

微博用户 比原家的亚洲铜

这些漏洞都不是柚子的问题，而是这些 dapp 的安全漏洞。自己技术菜，不要怨柚子。

币问用户 低调的奢华

我问了一下我的哥们，他的回答就一句话：这就好比汽车总比自行车的问题多一样的。

币问用户 bangbangbang

被黑客看上的币都是香饽饽。

有高关注才会暴露大批安全问题。

阿克琉斯足够强大了，高质量护踝迟早能做出来。

币问用户 哎唷喂

安全问题确实是横在很多用户心中的一根刺，目前来说，抵押 EOS 是一个比较不错的办法，黑客盗走了账户还有3天的时间才能提走。今天首例修改被盗用户私钥提案通过，也是在安全方面再加一道保险杠。

至于 DApp 方总是被盗，可能需要上面说业余的技术大神们解救一下吧~

得票最多的参与者将获得神秘礼物一份

HelloTalk 上期获奖用户：哎唷喂

这位用户2票就夺得大奖，请大家不要犹豫，尽情来薅羊毛

欢迎大家关注我们的官方微博、币问、微信公众号、微信群、电报群、推特参与下期讨论

—END—