9 月 25 日（昨日）下午，IMEOS 發(fā)布公告稱，EOS 賬戶“gm3dcnqgenes”被盜 209 萬個 EOS，約合 1080 萬美元（后更正為 212 萬個EOS）。

事件經過是這樣的，25 日凌晨 3 點，該賬號被更新 owner 和 active 兩把私鑰。之后，黑客對該賬戶實施了系列操作，包括贖回賬戶抵押的所有 EOS、將賬戶中的大量糖果（主要是BLACK、IQ、ADD）通過交易所 Newdex 換成 EOS、并通過場外交易平臺 OTCBTC 套現了小部分（ 5000 個） EOS。

EOS 治理社區(qū)得知情況后，各 BP（超級節(jié)點）表示將支持被害者，并凍結了黑客未提走的大部分EOS，目前，EOS 核心仲裁論壇（ECAF）正在處理該案件。

賬戶“gm3dcnqgenes”的情況，數據來自Blocks.io，時間截至2018.9.26 12:00

回過頭看，這一系列操作是如何發(fā)生的呢？

據Bcsec安全團隊介紹，目前事件披露的信息較少，我們只知道該賬戶可能是被黑客釣魚了（ECAF 工作人員表示該賬戶疑似曾使用過一款名為 EOS Wallet 的釣魚軟件），這也是目前比較常見的手段。但實際情況如何還需等待仲裁結果。

自主網上線后，EOS 資產被盜的事件頻頻發(fā)生。據 EOS 中文治理社區(qū)的 EMAC 的報告，截止 2018 年 7 月 8 日，已接到 6 起報告丟失 EOS 的案件，丟失數量從幾十到幾十萬個不等。

這些安全事件的發(fā)生，一方面是由于用戶的安全意識不夠，比如一些 EOS 賬戶使用弱助記詞生成私鑰，就存在隱含風險；另一面，也要歸因于 EOS 獨特的賬戶機制，讓黑客有可乘之機。

我們知道比特幣和以太坊是每個賬戶都有一個地址/公鑰，以及與之對應的私鑰。而 EOS 的賬號則有兩對不同權限的公/私鑰：

Active 權限，包括一對 Active 公鑰和私鑰。Active 即操作權，該權限可以用于轉賬、投票等日常操作。

Owner 權限，包括一對 Owner 公鑰和私鑰。Owner 即所有權，是賬戶最高權限，可以用于重置 Active 私鑰。

黑客利用這個機制設計，可輕易釣取用戶的資產。

舉個曾發(fā)生過的案例。由于注冊 EOS 賬戶需要已存在的賬戶幫忙抵押內存，所以一種常見的釣魚手法是幫助新用戶注冊賬戶。注冊時，用戶需向來幫忙的賬戶提供公鑰，此時，釣魚者就會將用戶提供的公鑰設置為新賬戶 Active 公鑰，把自己的公鑰偷偷設置為新賬戶的 Owner 公鑰。之后，若有人向新賬戶轉入 EOS 資產，釣魚者就用自己控制的 Owner 權限來控制用戶的新賬戶，轉走 EOS 資產。

據知情人士透露，黑客控制賬戶后，如果他還未轉走 EOS，那么賬戶實際戶主可提請 ECAF 進行仲裁；但若黑客已通過交易所提走 EOS，因為已超出 ECAF 的權責范圍，追回資金較困難。

此次 “gm3dcnqgenes” 被盜消息披露后，黑客兌換糖果所用的 EOS 去中心化交易所 Newdex 宣布禁止被盜賬戶的一切交易（直到賬戶物歸原主）；Starteos 節(jié)點則自發(fā)凍結了該賬戶，加上BP 和 ECAF 的介入，黑客不得已終止了操作，沒給資產所有者造成過大損失。

EOS 是人治程度較高的去中心化平臺，大家覺得，這種善后機制的方式如何呢？