无意中发现我一朋友的账户竟然在给垃圾帖子点赞,并且还点了许多次。于是告知他不要给垃圾贴点赞,否则容易被视作SPAMER团伙,遭受凌厉的打击。
(图源 :pixabay)
我朋友很委屈地说,他根本没有给什么垃圾贴点过赞,如果要是因此被打击可就太悲催了,让我帮他分析一下是怎么回事。
我简单分析一下点赞的特点,发现按照时间规律,还真应该不是我朋友操作的,那么这就更危险了,说明他账户被人盗用了。不过貌似盗用者没有得到密码或者转账私钥,否则也不会仅仅偷偷拿去点赞了事。
其实账户被别人拿去点赞,这种事情在HIVE上已经发生过好多次了,曾经大名鼎鼎的@utopian-io 就出现过账户被盗事件,因为很多用户曾经授权给@utopian-io ,导致这些用户的账户被黑客利用来点赞或者踩人。
我观察了一下我朋友的账户,果然授权给一堆账户,有些他都不清楚是什么账户以及什么时候授权的(胡乱登第三方网站导致):
Reveal spoiler
出于安全考虑,应当移除无用的授权,然而他并不会操作,于是我决定去帮他弄一下。
HiveSigner 方式
使用HiveSigner可以移除账户授权,比如说通过以下链接移除dtube.app的授权:
在浏览器中输入上述链接后,就会出现如下提示:
Reveal spoiler
然后点击Continue按钮并按提示操作即可用完成对dtube.app授权的移除。
不过移除授权需要在浏览器中使用Active KEY(资金密码)或者账户密码,我比较抵触这样的操作,所以我打算使用命令行钱包来完成上述操作。
命令行方式
因为操作权限是一件非常危险的事情,万一不小心搞错了,把账户锁死,那可就是一件万分悲催的事情了。为了避免这样的悲剧出现,我决定用我的测试账户先进行以下测试。
添加权限
因为移除权限,首先要账户中有多余的权限才可以移除,所以我决定先为测试账户增加一些权限。
执行下述两条指令会为oflyhigh.test账户的posting 权限中增加oflyhigh以及oflyhigh.demo两个账户:
update_account_auth_account oflyhigh.test posting oflyhigh 1 true
update_account_auth_account oflyhigh.test posting oflyhigh.demo 1 true
在https://hiveblocks.com/中可以看到相应的操作:
Reveal spoiler
Reveal spoiler
检查oflyhigh.test的账户授权信息:
Reveal spoiler
可以看到账户POSTING权限下多出来oflyhigh以及oflyhigh.demo两个账户,亦即授权成功。
移除授权
现在我们就可以测试移除授权了,不过进行操作之前,我们先来解释一下之前的指令。之前的指令对应的帮助信息如下:
condenser_api::legacy_signed_transaction update_account_auth_account(const string & account_name, authority_type type, const string & auth_account, weight_type weight, bool broadcast)
其中account_name
就是我们要操作的账户,type
对应权限的类型:posting、active、owner,auth_account
就是我们要添加或者删除的账户,而 weight
就是账户的权重。
不涉及账户多签时,weight
为1
就是添加授权,而weight
为0
就是移除授权喽。这样移除授权的指令就清楚了,和之前一样,只不过把weight
设置为0
即可:
update_account_auth_account oflyhigh.test posting oflyhigh 0 true
update_account_auth_account oflyhigh.test posting oflyhigh.demo 0 true
执行上述两条指令,账户授权信息变得干干净净清清爽爽:
Reveal spoiler
结果
学习并测试如何使用命令行钱包来移除账户的第三方POSTING授权后,我要来朋友的active私钥,帮他移除了账户中的授权,移除后果然清清爽爽干干净净。
然而移除后,我有手欠查了一下那个疑似被盗用的点赞操作,计算出来的结果竟然是我朋友自己的私钥签名的。那就意味着如果不是我朋友本人操作,就是私钥泄露了。需要修改私钥或者修改整个账户的密码,哎,这又是另外一个悲催的故事了。
O哥好厉害👍👍👍,你的朋友因为有你,太幸运了
啊,还有被盗用点赞的😂有点可怕
感觉有点可怕啊,不知道我这个账户有没有人看上盗用🤣🤣🤣
😂先留着 哈哈 万一哪天手贱瞎点了,拿出来还可以拯救一下自己🤣🤣
为什么会显示全部密码,O哥不用打码么
這些是明碼,類似公鑰,本來就是公開的喔。
哦哦。原来是这样,学习了。