55 large

悲剧,我的以太币被盗了

rink1969 · 于 发布 · 最后由 detailyang回复 · 2544 次阅读

周三中午被转走,然后迅速分散到多个账号上去了。
众筹的token看样子也被转走了。
因为这几天都没开客户端更新数据,今天早上更新了一会儿数据之后才发现。

事后分析原因是这样的:
我的钱包和keystore本来在自己电脑上的。
但是后来担心文件丢失,所以将keystore导出一个压缩包,放了一份在公司的电脑上。
没想到公司的电脑中了EthereumNetworkSetup.rar的木马。
钱包的密码可能之前泄露了,被黑客跑字典跑到了。

事后想想,平常使用的时候其实有很多安全隐患。

  1. 不应该把所有的币都放在一个账号上。之前也想到过这点,但是一直没行动。。。
  2. 导出的keystore打了个压缩包,我还专门改了名字,以为这样就可以了。应该在压缩包上再加个密码的。
  3. 不应该把keystore放公司电脑上。本以为公司电脑会安全,但是因为一直联网,开机时间又长,其实还没有自己家里的电脑安全。
  4. 一定要经常查杀病毒木马。
  5. 钱包密码一定要之前从未用过高强度的密码。因为keystore文件被偷了之后,黑客是可以无限制的去跑字典。

希望这个血的教训能引起大家的注意。也期待大家补充更多安全方面的注意事项。

  • 43 large
    lgn21st

    除了公司电脑,还有可能是黑客通过其他途径盗走了你的私钥,所以必须小心,最好重新检查你的系统环境,更换私钥,设置强密码等一系列措施来降低风险。

  • 128
    unite

    @lgn21st 请问如何更换私钥?

  • 43 large
    lgn21st

    @unite 生成一个新的帐号,设置复杂密码,然后把钱转进去,删除老的帐号。

  • 51 large
    rubyu2

    密码管理是一大难题。备份多了,风险就比较大。
    建议主帐号的密码写到自己的某本书里,常用账户的可以保存到自己电脑里。如果需要钱就从主帐号转移到常用帐号,常用帐号只保留小部分钱。或者使用一个保险柜合约。

    http://ethfans.org/posts/secure-vault-contract

  • 589 large
    lucid

    我的poloniex交易账户里的钱也被盗了。还好我的众筹dao账户没事。一定要注意安全!建议社区开发一套通用开源的安全机制。任何使用数字货币的电脑自动强制安装安全检测程序,过关后才能进一步操作。

  • 51 large
    rubyu2

    @lgn21st 如果黑客盗走私钥是不是也就可以修改私钥了?

  • 43 large
    lgn21st

    @rubyu2 私钥泄漏,代表黑客和用户同时控制了私钥账户名下的资产,下一步是比谁更快把资产转移到只有自己能控制的私钥上。

  • 51 large
    rubyu2

    https://github.com/PeterChauYEG/ethereum-guides/blob/master/create-ethereum-multisignature-wallet.md

    可以创建多签名钱包,每日提款有限额。如果要提超过一定款项的ether,要多个签名才可以。

  • 55 large
    rink1969

    感谢同学们提供的建议。
    保险柜合约和多重签名钱包都挺好的,不过目前使用起来貌似不是很方便。
    希望社区能尽快完善一下这方面功能,提供一个标准化的易用的工具。

    另外我看到 http://ethereum.stackexchange.com/questions/974/convert-an-eth-key-to-a-geth-key 这里描述了怎么查询账号的private key。
    把private key写在纸上,每次要用的时候临时导入,设置一个临时的高强度密码,用完之后马上把keystore删掉,是否可行?

    之前少平在另外一个帖子里面提到 geth account update 可以改账号的密码。
    但是我测试了一下,改了密码之后,原来的keysore文件+原来的密码还是可以操作这个账户

  • 128
    detailyang

    @rink1969 你当时的的被盗的价值是多少?我作为一个技术人员也犯错了,问题是我想不到我被盗的方式。