安全警示
刚刚注意到一篇文章:
大致就是 @noisy & @lukmarcus 通过技术手段 获取了 9 个密码, 2 个private active keys 以及64 private memo keys,有了这些密码,就可以做一些坏坏的事情了:(
但是 @noisy & @lukmarcus 并没有动这些钱,而是对这些账户的资金做了保护,并提示这些用户修改,真是值得敬佩的大好人。致敬!
原理 & 如何避免
你可能很好奇,他们是怎么做到的?
同时可能也会很关心,是不是steem 区块链有漏洞或者网站不安全?
首先,可以告诉你的是,并非steem或者steemit被黑导致的泄露,可以把心放到肚子里啦。
然后,我再来简单解释一下,他们是如何做到的,以及我们该如何避免泄露账户密码。
其实说起来很简单:
请注意图中箭头指向,重要的事情说三遍。
- 千万不要在这里填写密码或者私钥
- 千万不要在这里填写密码或者私钥
- 千万不要在这里填写密码或者私钥
此处是填写备注的,简单的说如果你想给我转钱,那么在此处可以填写类似这些内容
- 这是奖励你的
- 还给你上次欠你的20美元
- 其它等等
这部分内容是公开的,任何人都可以看到
当然也可以用过在前边加#号来发送私密MEMO,但是这样也不能在此处填写密码。
而上述文章作者,就是利用有人不小心将密码/私钥填入MEMO区域,进而获得了这些密码
大致手段是
- 查询所有的转账记录
- 获取MEMO区域内容
- 判断是否是密码或者私钥
- 记录
避免手段,我们也提到了,就是: 千万不要在箭头指向处填写密码或者私钥
文中有对应代码,感兴趣的可以去学习,但是不要用来做坏事哦
其它
幸运的是:
- 上文作者已经向代码库提交了对应补丁
- @ned 也已经注意到这篇文章并回复
所以也许一小段时间以后,我们可以不用担心输错内容了。
一旦我们不小心搞错了,系统会给我们一个友好提示:
喂喂喂,你不应在这里填入密码,否则你的钱就变成别人的啦!
但是我们始终应该保持良好的安全意识和安全习惯,难道不是吗?
最后,向 @noisy & @lukmarcus 表示感谢。
正是很多像他们一样的正直、善良又有高超技术的人的不懈努力,我们的社区才变得越来越好。
@noisy & @lukmarcus
Thanks for your great work!
Your efforts make our community more security and stronger.
Image credits: source