TMT观察网_独特视角观察TMT行业

你會信任讓誰知道自己的私鑰？

這個問題可能正是EOS代幣持有者所關(guān)注的，持有者被激勵去幫助這個期待已久的項目正式上線，但是他們還沒有這樣做。由于EOS被建立以實現(xiàn)其用戶的自我管理，這些個人和企業(yè)必須邁出第一步，通過精心設(shè)計的全球網(wǎng)絡(luò)投票來選出想要誰來處理交易，也就是選出區(qū)塊生產(chǎn)者（BP）。

但是截至到目前為止，EOS持有者對這場選舉的的積極性并不高。相反，EOS區(qū)塊鏈被鎖定在了“已啟動”和“上線運行”之間的一個中間地帶，而這個過程的完成完全取決于用戶的意愿。

問題是，要參與投票，用戶必須證明他們持有自己的代幣，這一過程需要使用到他們的EOS私鑰、這一敏感的密碼字符串來證明他們擁有自己的EOS資金，如果私鑰丟失了，那么這些資金就會永遠消失。因此，盡管用戶渴望參與投票，但他們擔(dān)心那些能夠讓他們投票的工具可能會使他們的持有權(quán)處于危險之中。

一個EOS用戶在電報群中寫道：“在EOS啟動過程中，最大的“失算”就是未能了解到散戶EOS投資者并不愿意用他們的私鑰投票。”

正如coinDesk所詳述的，唯一受到第三方安全審查的投票軟件是CLEOS，這是eos創(chuàng)建者block.one發(fā)布的命令行工具。然而，由于使用該工具需要具備較高的計算機技術(shù)能力，許多eos代幣持有者被迫選擇不那么受信任的軟件。

事實上，在整個社區(qū)論壇上，為eos創(chuàng)建的第三方軟件中的不信任導(dǎo)致了參與投票過程的用戶面臨混亂。

雖然已經(jīng)制作了幾個軟件來解決這個問題，但也有人表達了表達了對這些軟件缺乏第三方安全審計的擔(dān)憂。此外，還有可能發(fā)生欺詐和攻擊，甚至可以攔截最誠實的開發(fā)人員的努力。

“每當(dāng)事情對人們來說太復(fù)雜時，就會出現(xiàn)一些不法分子，他們試圖利用這些弱點，”一種名為Tokenika的投票工具的首席開發(fā)者Krzysztof szumny告訴CoinDesk。

盡管如此，有一些證據(jù)表明，這樣的擔(dān)憂可能會導(dǎo)致投票進展緩慢，進而導(dǎo)致EOS主網(wǎng)運行啟動緩慢。截止發(fā)稿時，在所需要的1.5億EOS選票中，目前只完成了37.35%。

正如一位EOS用戶在電報群中所寫的那樣：

“可以肯定的是，我并不是唯一一個正在等待把私鑰放進新錢包能夠百分之百安全的人。”

安全

首先要了解為什么需要私鑰才能對EOS進行投票，這是很有幫助的。

在使用任何EOS投票軟件時都需要一個私鑰，原因有兩個：1.驗證投票是否合法；2.將該投票與用戶的持有量相關(guān)聯(lián)，后者用于確定投票的權(quán)重。

Bancor聯(lián)合創(chuàng)始人兼CTO尤迪·利維(Yudi Levi)表示：“無論你是從錢包、命令行工具還是其他任何地方投票，都必須使用你的私鑰投票。”

Bancor也開發(fā)了一種投票工具，名為LIGIDOS。

從本質(zhì)上說，在投票過程中使用私鑰等同于交易簽名——需要相同類型的簽名才能發(fā)送標(biāo)準(zhǔn)的加密貨幣交易。

然而，問題歸結(jié)為私鑰是以何種方式被暴露的。

在接受CoinDesk采訪時，區(qū)塊生產(chǎn)者候選人和投票軟件提供商Eos Canada的聯(lián)合創(chuàng)始人亞歷山大·布爾吉(Alexandre Bourget)表示，目前的投票工具存在一系列安全問題，從可信賴到極高風(fēng)險。

一方面，有命令行工具，比如CLEOS，其中私鑰的暴露風(fēng)險最小。隨著軟件添加代碼以提供用戶友好的界面，安全性變得越來越困難。另外，代碼越接近互聯(lián)網(wǎng)，截獲私鑰的機會就越大。

Bourget告訴CoinDesk說：

“有網(wǎng)站會要求你把你的私鑰放進去，然后用它來做事情。”

“他們可能是完全合法的，但這是一個巨大的風(fēng)險，因為我們一次又一次地看到網(wǎng)站是非常善意的，但被黑客攻擊。”

值得注意的是，EOS代幣持有者正處于一個敏感的階段。Bourget強調(diào)，大多數(shù)EOS用戶都是直接從代幣眾籌中來的，而且可能還沒有將訪問控制重新配置到他們的EOS帳戶。或者換一種方式，盡管可以創(chuàng)建多個私鑰來管理一個帳戶，但目前大多數(shù)用戶的代幣可能都對應(yīng)于一個私鑰。

對于黑客來說，這為對這個字母數(shù)字字符串發(fā)動釣魚攻擊增加了一個重要的激勵。

最佳措施

盡管如此，EOS持有者在投票時還是有辦法保護自己的。

例如，Bourget建議用戶重新配置EOS帳戶設(shè)置，以生成一個私鑰，該私鑰可以用于投票簽名，但不能鏈接到實際錢包本身。

盡管關(guān)于介紹如何做到這一點的說明文檔不多，Bourget暗示EOS Canada可能很快就會創(chuàng)建一個視頻來解釋如何操作。不過，在此之前，用戶可以采取一些更簡單的措施。

Bancor的Levi說：

“使用一個可下載的投票工具，然后在你的機器上運行，此外要確保在瀏覽器外運行，在瀏覽器投票容易被工具欄、僵尸網(wǎng)絡(luò)和其他不法分子操縱。”

此外，他還鼓勵人們使用由老牌公司生產(chǎn)的工具，并說：

“老牌公司承擔(dān)丟失風(fēng)險的能力更強。”

例如，雖然Scatter, Greymass, LiquidEOS和EOS Canada的“EOSC”等開源投票工具沒有經(jīng)過第三方審計，但這些應(yīng)用程序背后的每一家公司或項目都在努力限制私鑰暴露的程度，并仔細記錄這些過程。

正如前面提到的，由于私鑰在網(wǎng)上使用時更容易被盜用，Tokenika設(shè)計了一種離線生成投票的工具，只連接到互聯(lián)網(wǎng)上發(fā)布投票記錄。

“為了最大限度的安全，我們強烈鼓勵人們在上網(wǎng)時不要在設(shè)備上使用私鑰，”Tokenika的szumny告訴CoinDesk。

盡管如此，用戶仍然有機會在他們的設(shè)備上本地觸發(fā)惡意軟件。

Bourget告訴CoinDesk說：“知道二進制文件的來源和構(gòu)建它的人是非常重要的，因為有風(fēng)險，而且是冷捕獲，所以很容易逃脫它。”

因此，Szumny警告EOS持有者不要做實驗，要謹慎地使用私鑰，要慢慢來參與投票過程，以免因為操之過急而犯下錯誤。

這位開發(fā)者總結(jié)道：

“盡早投票是很重要的，但更重要的是在投票過程中不要犯任何錯誤。”

私鑰風(fēng)險絕不是危言聳聽。根據(jù)IMEOS今天上午消息，EOS主網(wǎng)上線期間大量EOS私鑰被黑客偷走。已有超過60多位英文區(qū)和韓文區(qū)的受害者，中文區(qū)還未統(tǒng)計。涉及的EOS總數(shù)超過百萬。截至目前，已有3個賬號被找回，一個被認領(lǐng)。由EOS42發(fā)起，多個節(jié)點正在全力支持處理。

這百萬EOS是因用戶操作不當(dāng)被盜，并不是交易所EOS被盜，各大節(jié)點正努力協(xié)同找回。目前根據(jù)佳能節(jié)點CTO bean的分析，可能是因為在用戶復(fù)制粘貼私鑰的時候，被某些惡意程序監(jiān)聽了。建議大家不要復(fù)制私鑰。