@community321被盗的原因与HF23的安全性问题

在5月20日，steem进行了HF23的硬分叉。这次分叉发生了一个意外，就是@community321这个账号的2300多万的STEEM被盗了。2300多万STEEM被转入bittrex交易所。

黑客在memo处留言：“These are funds stolen by the Steem witnesses using HF23 May 20th 2020 - please return them to their original owners prior to the fork :)”

本文不是去讨论这事情谁错谁对，而是想要讨论一下HF23是否安全？为什么会发生这样的账号被盗事件？我们的账号是否安全？

首先我们查看HF23的代码。

https://github.com/hfang1989/steemhf/tree/hf0.23.1

经过本人多位安全方面有较高水平的朋友审核代码后，他们一致认为HF23并没有产生新的漏洞，代码大致和HIVE HF23的差不多。如果HF23存在账号被盗的漏洞，那么HIVE链的@steem.dao账号也会发生同样的问题，里面的几千万资产也会被盗。

既然HF23的代码没有问题，那我们就产生了一个疑问：

谁盗取了这个账号？这是怎么发生的？

首先@community321这个账号，在分叉前几分钟进行了一次密码修改操作。（https://steemd.com/tx/e6d0d03d4d3c8e2d05f7d636a13f2a4422e0b52b）

我们通过反查签名，得出签名的公钥为：STM6cHjobp4Zrao2CXy6RLoz1E9E15wcEH8qDXjc5J4cNHhrvAAe4（反查办法看这里）

这把钥匙是账户刚创建的时候使用的owenr key，并且此账户没有改过密码。

这个事情是发生在分叉前，而且使用的是初始的OWNER KEY签名。那事情其实就很清楚了：

盗号原因是：此账号在分叉前泄露了私钥，盗号和HF23的分叉无关，HF23是安全的。

我们现在知道了HF23是安全的，那么再来讨论为什么这个账号的私钥会泄露？

首先我们看看谁会有机会接触用户的owner key：
1.账户拥有者本人
2.账户创建者有机会记录私钥
3.第三方恶意监听插件

首先我们看看这个@community321账号是谁创建的。这里使用的是一个第三方收费服务anonsteem，官网是：https://anon.steem.network/

这并不是官方注册渠道，我们不能保证这个服务不会作恶，或者服务商的服务器是否安全。账号创建者是有可能会记录或者通过安全漏洞泄露你的私钥的。

一旦私钥被记录，这是极为不安全的。（原因看我的文章）。账号恢复人，如果拥有用户的私钥，那他就等于可以在30天内任意的修改用户的密码，盗窃你的一切财产。

但是万幸的是，@community321这个账号可以通过恢复人@anonsteem帮助恢复，除非他不愿意帮忙（尽管这是一个收费服务）。

从@community321被盗这个事情，我们得到了几个教训：

• 1.有些第三方注册服务是不安全的，例如anonsteem
• 2.账号创建后请尽快修改密码，30天后你的账号才是完全安全的（30内有可能被账号创建者记录私钥并被修改密码）
• 3.账号创建后，如果使用第三方服务注册，请尽快把你的恢复人修改为一个可靠的人。