危情48小时,区块链安全公司曝价值上亿的EOS映射无效!专栏号

/ 开眼二郎 / 2018-06-01 16:38

此两天,闹得沸沸扬扬的EOS高危漏洞问题,引发了数字货币市场的全民焦虑和隐忧。

 

奇虎360这个传统互联网安全领域的巨头,仅仅靠一次高危漏洞预警,就成了区块链行业的网红。尽管EOS创始人BM直指这是一场有预谋制造恐慌的行为,但Block.one最终还是联合HackerOne安全平台推出EOSIO漏洞赏金计划,也算是间接为EOS公链生态建设注入了希望和活力。

 

然而,一波未平,一波又起,“漏洞”问题还未平息,“映射”问题又成了大家心忧的话题。

 

就在EOS主网上线还剩不到两天的关键时刻,专注于区块链领域的安全公司PeckShield再曝一剂猛料称“在目前已经完成映射的70.02%个EOS Token中,竟有0.23%的Token映射无效”,根据当天EOS价格(12.40 USD)来计,这些Token价值约为2700万美元,这些Token若在主网启动前没有进行正确重新映射的话将永久丢失,届时直接有价值上亿的资产化为空气。

 

据PeckShield披露,目前存在两类无效映射状况:

 

第一类是由于Token持有者用网上公开的EOS key,(即EOS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV)做映射,该部分占比为0.19%,由于这部分EOS地址及私钥是公开的,地址极易被他人盗取。根据国外一家区块生产商候选人EOS Authority团队昨天发表的文章《我们从黑客中拯救了1000万美元的EOS》称,他们发现213个钱包共享相同的EOS公钥,而且这些钱包匹配的私钥并不是秘密的,一旦启动EOS,资金就可以从EOS主网络中被转出。

 

另一类是用非法的key,常见的有用EOSCrowdsale和EOSTokenContract等地址作为key)做映射,该部分占比为0.04%。截至目前共发现1243个非法的EOS key和725个受影响的钱包地址。

 

(由于格式错误而未有效映射的地址Top 10如上图)

 

此前,PeckShied公司就连发预警称,EOS主网映射存在效率低下的问题,距离主网上线前两个月前,EOS被爆有76%未做主网映射,距离主网上线仅一周前,仍有51.7%的Token未做映射,距离主网上线前48小时内,依然有29.98%的Token未做映射。可以看出,随着众多交易所和钱包商相继展开了批量映射操作,EOS的映射问题得到了很大的进展,也宁愿相信在主网上线前的前一秒,这一映射比例会达到百分百。

 

但是,假使出现以上两类无效映射,且没有及时察觉,又该当如何?

 

众所周知,EOS映射尽管牵扯亿万资金,但如此低效的映射效率至少反映出了一个问题:映射太过被动。

 

一方面,大部分人并没有对“映射”可能产生的问题和风险有深刻认知,以为映射过了就高枕无忧了,完全忽略了可能出现差错的问题。大部分选用个人手动映射的人可能会遇到这种情况,信心满满以为映射“成功”了,就不再关注映射问题了,却不曾预防还有映射失败,重新再来的可能。因此友情提示,在完成映射操作后,切记要记得借助第三方工具检测是映射是否真的成功了。

 

另一方面,由于个人手动映射的安全风险太大,大部分人还是会选择交易所和钱包商批量映射,这样“智能化”的映射过程,大部分人都是“宁可信其行”的心态,忽略了其中可能产生的差错和风险预警,比如,一旦主网上线后还是没映射成功怎么办,又或者即便最后一秒都映射掉了,出现这种无效映射的情况该怎么办?最糟糕的是,怕是发现了也没时间补救了。因此,强烈呼吁,最后29.98%Token的持币平台尽快映射,要留足补救差错的时间,切莫再拖延时间了。

 

如果没能重新映射的话,后果会有多严重呢?根据以下错误地址余额表显示,我们可以看到,第一持币大户掌握着大约1896292个EOS,价值超过2000万美元。这个损失无论对个人还是交易所都是毁灭性的打击,倘若不及时映射,后果之严重可想而知。

 

 

<em>写在最后:</em>

 

在最后映射期的危情48小时内,关于EOS映射,又会有怎样的问题和曝光出来呢?各位EOS的持币者,要及时关注区块链安全公司预警及媒体报道,谨防自己的资产败光在认知不足下。都说币圈庄家黑心难防,一不小心就成了韭菜,现在来看,认知gap也是一个较大的被割韭菜可能。

 

透过这一系列漏洞预警事件,让一直处于幕后的区块链安全公司,也成了舞台上的主角。在顶层监管政策举旗不定的大背景下,这个已倾注数千亿美元资金的数字货币市场,成了一批冒险者拼死掘金的沙场。他们究竟是赌徒还是信徒,没有人说得清楚,但可以肯定的是,他们太需要一些身披”护航卫士“光环的区块链安全技术服务公司来喂食安神汤。

 

 

------------------------

原创文章转载请署名,欢迎技术从业人员加入“区块链啄木鸟”知识星球,ID 79413906.作者目前从事区块链安全生态研究 微信号:tmel0211




1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。


阅读延展



最新快报

1
3