你會信任讓誰知道自己的私鑰?

這個問題可能正是 EOS 代幣持有者所關注的,持有者被激勵去幫助這個期待已久的項目正式上線,但是他們還沒有這樣做。由於 EOS 被建立以實現其用戶的自我管理,這些個人和企業必須邁出第一步,通過精心設計的全球網絡投票來選出想要誰來處理交易,也就是選出區塊生產者。

但是截至到目前爲止,EOS 持有者對這場選舉的的積極性並不高。相反,EOS 區塊鏈被鎖定在了「已啓動」和「上線運行」之間的一箇中間地帶,而這個過程的完成完全取決於用戶的意願。

問題是,要參與投票,用戶必須證明他們持有自己的代幣,這一過程需要使用到他們的 EOS 私鑰、這一敏感的密碼字符串來證明他們擁有自己的 EOS 資金,如果私鑰丟失了,那麼這些資金就會永遠消失。因此,儘管用戶渴望參與投票,但他們擔心那些能夠讓他們投票的工具可能會使他們的持有權處於危險之中。

一個 EOS 用戶在電報羣中寫道:「在 EOS 啓動過程中,最大的「失算」就是未能瞭解到散戶 EOS 投資者並不願意用他們的私鑰投票。」

正如 CoinDesk 所詳述的,唯一受到第三方安全審查的投票軟件是 CLEOS,這是 EOS 創建者 block.one 發佈的命令行工具。然而,由於使用該工具需要具備較高的計算機技術能力,許多 EOS 代幣持有者被迫選擇不那麼受信任的軟件。

事實上,在整個社區論壇上,爲 EOS 創建的第三方軟件中的不信任導致了參與投票過程的用戶面臨混亂。

雖然已經制作了幾個軟件來解決這個問題,但也有人表達了表達了對這些軟件缺乏第三方安全審計的擔憂。此外,還有可能發生欺詐和攻擊,甚至可以攔截最誠實的開發人員的努力。

「每當事情對人們來說太複雜時,就會出現一些不法分子,他們試圖利用這些弱點,」一種名爲 Tokenika 的投票工具的首席開發者 Krzysztof Szumny 告訴 CoinDesk。

儘管如此,有一些證據表明,這樣的擔憂可能會導致投票進展緩慢,進而導致 EOS 主網運行啓動緩慢。截止發稿時,在所需要的 1.5 億 EOS 選票中,目前只完成了 37.35%。

正如一位 EOS 用戶在電報羣中所寫的那樣:

「可以肯定的是,我並不是唯一一個正在等待把私鑰放進新錢包能夠百分之百安全的人。」

安全

首先要了解爲什麼需要私鑰才能對 EOS 進行投票,這是很有幫助的。

在使用任何 EOS 投票軟件時都需要一個私鑰,原因有兩個:1. 驗證投票是否合法;2. 將該投票與用戶的持有量相關聯,後者用於確定投票的權重。

Bancor 聯合創始人兼 CTO Yudi Levi 表示:「無論你是從錢包、命令行工具還是其他任何地方投票,都必須使用你的私鑰投票。」

Bancor 也開發了一種投票工具,名爲 LIGIDOS。

從本質上說,在投票過程中使用私鑰等同於交易簽名——需要相同類型的簽名才能發送標準的加密貨幣交易。

然而,問題歸結爲私鑰是以何種方式被暴露的。

在接受 CoinDesk 採訪時,區塊生產者候選人和投票軟件提供商 Eos Canada 的聯合創始人 Alexandre Bourget 表示,目前的投票工具存在一系列安全問題,從可信賴到極高風險。

一方面,有命令行工具,比如 CLEOS,其中私鑰的暴露風險最小。隨着軟件添加代碼以提供用戶友好的界面,安全性變得越來越困難。另外,代碼越接近互聯網,截獲私鑰的機會就越大。

Bourget 告訴 CoinDesk 說:

「有網站會要求你把你的私鑰放進去,然後用它來做事情。」

「他們可能是完全合法的,但這是一個巨大的風險,因爲我們一次又一次地看到網站是非常善意的,但被黑客攻擊。」

值得注意的是,EOS 代幣持有者正處於一個敏感的階段。Bourget 強調,大多數 EOS 用戶都是直接從代幣衆籌中來的,而且可能還沒有將訪問控制重新配置到他們的 EOS 帳戶。或者換一種方式,儘管可以創建多個私鑰來管理一個帳戶,但目前大多數用戶的代幣可能都對應於一個私鑰。

對於黑客來說,這爲對這個字母數字字符串發動釣魚攻擊增加了一個重要的激勵。

最佳措施

儘管如此,EOS 持有者在投票時還是有辦法保護自己的。

例如,Bourget 建議用戶重新配置 EOS 帳戶設置,以生成一個私鑰,該私鑰可以用於投票簽名,但不能鏈接到實際錢包本身。

儘管關於介紹如何做到這一點的說明文檔不多,Bourget 暗示 EOS Canada 可能很快就會創建一個視頻來解釋如何操作。不過,在此之前,用戶可以採取一些更簡單的措施。

Bancor 的 Levi 說:

「使用一個可下載的投票工具,然後在你的機器上運行,此外要確保在瀏覽器外運行,在瀏覽器投票容易被工具欄、殭屍網絡和其他不法分子操縱。」

此外,他還鼓勵人們使用由老牌公司生產的工具,並說:

「老牌公司承擔丟失風險的能力更強。」

例如,雖然 Scatter, Greymass, LiquidEOS 和 EOS Canada 的「EOSC」等開源投票工具沒有經過第三方審計,但這些應用程序背後的每一家公司或項目都在努力限制私鑰暴露的程度,並仔細記錄這些過程。

正如前面提到的,由於私鑰在網上使用時更容易被盜用,Tokenika 設計了一種離線生成投票的工具,只連接到互聯網上發佈投票記錄。

「爲了最大限度的安全,我們強烈鼓勵人們在上網時不要在設備上使用私鑰,」Tokenika 的 szumny 告訴 CoinDesk。

儘管如此,用戶仍然有機會在他們的設備上本地觸發惡意軟件。

Bourget 告訴 CoinDesk 說:「知道二進制文件的來源和構建它的人是非常重要的,因爲有風險,而且是冷捕獲,所以很容易逃脫它。」

因此,Szumny 警告 EOS 持有者不要做實驗,要謹慎地使用私鑰,要慢慢來參與投票過程,以免因爲操之過急而犯下錯誤。
這位開發者總結道:

「儘早投票是很重要的,但更重要的是在投票過程中不要犯任何錯誤。」

私鑰風險絕不是危言聳聽。根據 IMEOS 今天上午消息,EOS 主網上線期間大量 EOS 私鑰被黑客偷走。已有超過 60 多位英文區和韓文區的受害者,中文區還未統計,涉及的 EOS 總數超過百萬。截至目前,。由 EOS42 發起,多個節點正在全力支持處理,已有 3 個賬號被找回,一個被認領。

這百萬 EOS 是因用戶操作不當被盜,並不是交易所 EOS 被盜,各大節點正努力協同找回。目前根據佳能節點 CTO bean 的分析,可能是因爲在用戶複製粘貼私鑰的時候,被某些惡意程序監聽了,建議大家不要複製私鑰。

鏈聞 ChainNews:提供每日不可或缺的區塊鏈新聞。

原文作者:Rachel Rose O\’Leary
鏈聞編譯:Mr.Rochester
版權聲明:文章爲作者獨立觀點,不代表 鏈聞 ChainNews 立場。

來源鏈接:www.coindesk.com