这篇文章我将告诉你一组安全策略,以避免在黑客攻击或骗局中受到财产损失。
一、设置两个不同的密钥对
EOS 账号和比特币等其他区块链的密钥不同,EOS 账号拥有两个公私钥对,分别对应拥有者(owner)权限和管理者(active)权限。但是出于方便性的考虑,很多注册 EOS 账号的服务都把两个公私钥对设置成相同的,这样用户只需要备份一个私钥即可。这样的处理带来了方便,但也损失了账号的部分安全性。
EOS 的两个权限分别对账号有着不同的操作权限。拥有者(owner)权限可以对账号做任何想要的操作,转账、变更拥有者(owner)权限、变更管理者(active)权限等等。而管理者(active)权限无法变更拥有者(owner)权限,账号的其他操作则可以操作。
我们一般很少涉及到变更拥有者(owner)权限的操作,而管理者(active)权限又可以做其他所有的操作,因此一般都建议钱包只导入管理者权限来管理账号,而拥有者(owner)权限则建议用可靠的离网方式保存起来。因为通过手写容易出现难以辨认的情况,一般建议保存为电子档案,当然也可以附加打印版本。这些方式最终的目的都是让私钥有且只有自己能够准确地使用。
虽然管理者权限泄露会丢失可转账资产,但在拥有者(owner)权限安全的情况下至少能够保证账号一直处于自己的掌控之下,那些短时间内无法转移的资产能够在及时发现的情况下免于丢失。假如你的 EOS 处于抵押状态或者被购买为 REX并将其存入 REX 储蓄系统中,使这些资产需要 3 天/ 4 天的解锁期限,那么只要及时发现,在解押解锁期限内更换被盗的管理者(active)密钥,就可以避免这部分资产丢失。
而假如你的两个权限的密钥对都是相同的,密钥被盗后,黑客或者骗子就可以利用这个密钥导入拥有者权限更换所有权限密钥对。被盗的账号所有权瞬间被转移成了黑客或骗子,就没有任何机会找回了。
因此,如果你 EOS 账号的两个密钥对也是相同的,我建议你将管理者(active)权限密钥对变更为不同密钥,然后使用那个密钥导入钱包来管理你的账号。而原来的拥有者(owner)权限密钥则用可靠的离网方式保存起来。为了避免意外最好备份 3 份以上。请注意,一定要确保这个拥有者权限私钥有且只有你能够准确使用。
二、订阅账号变动提醒
EOS 的一个节点 EOS Authority 为社区用户提供 EOS 账号变动提醒服务。你可以用邮箱或者电报(Telegram)免费订阅提醒。订阅时你可以根据需要选择以下提醒范围:
所有变动都提醒
忽略小额(<0.1 EOS)变动
忽略与流行的 Dapp 的交易以及空投和小额(<0.1 EOS)转账
只提醒抵押变动、密钥变动以及EOS转账
不过,目前这个提醒服务有一个缺陷,它不会提醒包含与自己账号有关的多签提案,只会在提案所涉及的交易发生后才能收到提醒。这使得我们无法在多签提案执行前收到提醒,无法在坏事发生前知道坏事即将发生。不过,我相信社区很快会意识到这个需求,开发出相应的服务。
虽然这个提醒服务还不能对账号相关提案做相应提醒,但它仍然能够提高我们账号的安全性。比如,假设你的 EOS 处于抵押状态或者购买为 REX 并存入在了 REX 储蓄系统中,如果账号被盗或被骗,因为你按我们第一章所说设置了两个不同的密钥对,拥有者(owner)权限私钥始终处于有且只有你可以准确使用的状态,黑客或骗子获取了你账号的管理者权限,这个时候他们能做的事情就是将 EOS 解押,然后转移到他们的账号。假如你订阅了这个提醒服务,你就能收到你的 EOS或 REX 正在解押的提醒。而因为解押有 3 天或者 5天的解锁期限,假如你及时看到提醒,你就可以用你的拥有者(owner)权限密钥更改掉被盗的管理者(active)密钥从而避免损失。
按照我们以上的办法,将 EOS 账号的两个不同权限密钥设置成不同的密钥对,再加上 EOS 上抵押系统和 REX 的储蓄系统以及订阅账号变动提醒服务,你的 EOS 资产将远远比其他区块链上的资产安全,即使其他区块链的钱包使用硬件钱包。这种安全策略组合将使你在被黑客攻击或者被骗中避免受到损失,保证你的财产权不受到侵犯。
作者: Dario Cesaro
编辑: Randall Roland
翻译: Josh Chung
校订:Gracie Lau
资源与引用: