严重BUG,可以任意操作别人帐号

[gghi]

为什么脑密钥是空的、我的会是多少？怎么查看脑密钥？

你账上还有钱，估计就说明没中招。。呵呵，开个玩笑。

如果发现自己账号公钥在下面这四个里，就赶紧改吧。

    "pub_key": "BTS7X84JxsPQBv9HKiBA2W6RSqcgPaRoWLTtfYCQ4yMy4DMrsASAk"
    "pub_key": "BTS7gfghfHDTCi5HVYTZ7fnzfA8v9ccqRJTSwvZbRjfhVtGoqRBRN"
    "pub_key": "BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8"
    "pub_key": "BTS5iavugBUH517iRkzL54B53GtcieXzZ6zspiiwE3umrTFGXYwN6"

    谢谢，还好，没发现有上面的这四个。

[abit]

为什么脑密钥是空的、我的会是多少？怎么查看脑密钥？

你账上还有钱，估计就说明没中招。。呵呵，开个玩笑。

如果发现自己账号公钥在下面这四个里，就赶紧改吧。

    "pub_key": "BTS7X84JxsPQBv9HKiBA2W6RSqcgPaRoWLTtfYCQ4yMy4DMrsASAk"
    "pub_key": "BTS7gfghfHDTCi5HVYTZ7fnzfA8v9ccqRJTSwvZbRjfhVtGoqRBRN"
    "pub_key": "BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8"
    "pub_key": "BTS5iavugBUH517iRkzL54B53GtcieXzZ6zspiiwE3umrTFGXYwN6"

[gghi]

为什么脑密钥是空的、我的会是多少？怎么查看脑密钥？

[abit]

找到bug了。确实是空字符串的脑密钥。

目前链上一共还有11个账号受这个影响，账户剩余总金额大概 0.2 BTS 。

不排除有机器人发现已知key就自动改密码的可能，从而导致其他受影响的账号没有发现。
比如 jesus-coin 的key就已经被改了。

[abit]

miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥，对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。

是的，您这么一说，我看了下重钱包工具里的设置文件，果然就是这个公钥，那么我想:之前那个jesus-coin的账号估计是谁在配置api节点时把公私钥配置进去了，所以它也成了公共账号，不知道分析的对不对？

jesus-coin 的情况不是很确定，感觉不太一样。麻烦下次碰到时再注意一下。

[lucky]

miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥，对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。

是的，您这么一说，我看了下重钱包工具里的设置文件，果然就是这个公钥，那么我想:之前那个jesus-coin的账号估计是谁在配置api节点时把公私钥配置进去了，所以它也成了公共账号，不知道分析的对不对？

[abit]

miguel-2902 这个账号的key是 "BTS6MRyAjQq8ud7hVNYcfnVPJqcVpscN5So8BhtHuGYqET5GDW5CV" 。这个是一个公开的公钥，对应的私钥是写在bts代码里的。所以任何人都可以看到并且操作。

[lucky]

我刚刚也遇到了这个（耶稣）账号，而且可以查看到它的私钥，当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后，它消失了。令人费解。

下次看到这个私钥记得复制一下，或者截屏。我猜是因为他的脑密钥太简单了。

已将截图发给您，查看权限时脑钱包位置为Non-deterministic，我不懂如何找到bug出现的原因，但似乎新版本UI出现此漏洞频率挺高。

前几天出现的是jesus-coin这个账号，我记得当时这个账号的每个私钥都正常，资金和账户权限的私钥不同，当时删除钱包后就没再出现。这次出现的是miguel-2902这个账号，一下午重复删除并导入都出现这个账户。
做了几个实验，1，我有3个独立的钱包a、b、c，浏览器导入a钱包，出现陌生账户miguel-2902，重钱包导入a也出现了miguel-2902，重钱包导入b也出现miguel-2902，重钱包导入c，未出现。出现miguel-2902的钱包都有操作权限，可以查看私钥等一系列操作。
2，清除浏览器缓存、cookies，重钱包导入a、b、c都没出现其他账号，用浏览器导入a、b再次出现miguel-2902，c未出现。
4，将miguel-2902的资金权限里添加钱包e，权重1001（最大的一个），阀值1001，在出现miguel-2902的a和b对miguel-2902进行转账操作，交易成功，a、b都没有权限！
3，删除miguel-2902原来的私钥，替换为钱包e，清除浏览器记录，分别导入钱包abc，恢复正常，没再出现miguel-2902账户。
4，用e钱包将miguel-2902的私钥更改回去，浏览器导入a、b再次出现miguel-2902，但这会儿重钱包导入a、b没有出现miguel-2902。
可见用浏览器导入钱包发生此bug的几率大些，而且出现的陌生都是特定的某个钱包（或者是在末段时间内都是这个钱包），一旦出现幽灵钱包，你对幽灵钱包具有超级管理权限。

[abit]

我刚刚也遇到了这个（耶稣）账号，而且可以查看到它的私钥，当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后，它消失了。令人费解。

下次看到这个私钥记得复制一下，或者截屏。我猜是因为他的脑密钥太简单了。

[lucky]

我刚刚也遇到了这个（耶稣）账号，而且可以查看到它的私钥，当你锁上钱包后就没有对它的控制权限了。在我删除钱包并重新导入钱包后，它消失了。令人费解。

[quicksnake]

我看到之前的截图了（（

要是能在这个状态下调试浏览器就好了…………看来还是只能尝试撞出来如何发生这种情况…………

是呀，我本来是想留下问题钱包的，但是出于安全考虑还是把它删除了

其实留下来给我技术人员调试一下浏览器应该可以看出来的。。。

[haruka]

在这个帐号的 permission 里也能看到帐号对应的私钥？

如果有可能的话建议也签个消息，以便留档……这个确实有些诡异

以及，是在具体什么钱包上发生的？有没有一个固定的流程准确复现这个问题？因为实在太难看出来发生的原因了……

haruka 您好，我就是MylvAngel的朋友quicksnake，好巧啊
今天也是刚好遇到这个非常诡异的bug，我先来回答你的问题
我是在导入我手上的另一钱包的时候（网页导入双钱包）后，该账户出现在该钱包的首位。
我尝试用该账户转账到另一账户，测试成功，转出了1bridge. BCO，也即是说钱包开启了该账户的活跃密钥
进入permission，发现3公钥全在激活状态（蓝色），点进公钥中试图观察密钥，无法显示密钥（点击显示无反应）。之后试图删除活跃及账户公钥，并用openledger账户进行权限替换，无法保存修改（仍然点击无反应）。因此虽然拥有该账户的私钥权限（可转账，可看到备注信息），但无法更改permission。同时，刷新网页钱包后，重新用钱包密码解锁，打开的钱包中仍然有该账户，但备注信息变得不可见（变成未解锁形式）。
然后，通过删除该钱包，重新导入（仍然是双钱包），该账户消失。。。非常诡异。因为该账户最终消失，所以无法签名留档。。。
出现该情况的钱包，是因为在比特帝国上导入后，一直无法刷出交易界面，才到我们自己项目的钱包地址上导入双钱包的，然后就出现了该账户。但观察该账户之前记录，预计有大概5人（包括我）以上曾获得过权限，而且时间跨度很大，不一定是UI或者某网页钱包的问题。
由于过于诡异，我和我的技术人员也毫无头绪，希望各位社区大佬尽快一并发掘，避免不好的事情发生。

我看到之前的截图了（（

要是能在这个状态下调试浏览器就好了…………看来还是只能尝试撞出来如何发生这种情况…………

[quicksnake]

我也遇到了这个bug，然后导入钱包的时候也进了这个jesus-coin，是新UI的问题？

在这个帐号的 permission 里也能看到帐号对应的私钥？

如果有可能的话建议也签个消息，以便留档……这个确实有些诡异

以及，是在具体什么钱包上发生的？有没有一个固定的流程准确复现这个问题？因为实在太难看出来发生的原因了……

haruka 您好，我就是MylvAngel的朋友quicksnake，好巧啊
今天也是刚好遇到这个非常诡异的bug，我先来回答你的问题
我是在导入我手上的另一钱包的时候（网页导入双钱包）后，该账户出现在该钱包的首位。
我尝试用该账户转账到另一账户，测试成功，转出了1bridge. BCO，也即是说钱包开启了该账户的活跃密钥
进入permission，发现3公钥全在激活状态（蓝色），点进公钥中试图观察密钥，无法显示密钥（点击显示无反应）。之后试图删除活跃及账户公钥，并用openledger账户进行权限替换，无法保存修改（仍然点击无反应）。因此虽然拥有该账户的私钥权限（可转账，可看到备注信息），但无法更改permission。同时，刷新网页钱包后，重新用钱包密码解锁，打开的钱包中仍然有该账户，但备注信息变得不可见（变成未解锁形式）。
然后，通过删除该钱包，重新导入（仍然是双钱包），该账户消失。。。非常诡异。因为该账户最终消失，所以无法签名留档。。。
出现该情况的钱包，是因为在比特帝国上导入后，一直无法刷出交易界面，才到我们自己项目的钱包地址上导入双钱包的，然后就出现了该账户。但观察该账户之前记录，预计有大概5人（包括我）以上曾获得过权限，而且时间跨度很大，不一定是UI或者某网页钱包的问题。
由于过于诡异，我和我的技术人员也毫无头绪，希望各位社区大佬尽快一并发掘，避免不好的事情发生。

[haruka]

我也遇到了这个bug，然后导入钱包的时候也进了这个jesus-coin，是新UI的问题？

在这个帐号的 permission 里也能看到帐号对应的私钥？

如果有可能的话建议也签个消息，以便留档……这个确实有些诡异

以及，是在具体什么钱包上发生的？有没有一个固定的流程准确复现这个问题？因为实在太难看出来发生的原因了……

[quicksnake]

我也遇到了这个bug，然后导入钱包的时候也进了这个jesus-coin，是新UI的问题？

[binggo]

有些账号的公私钥是公开的，抢红包用的

[szs484]

开什么国际玩笑，用了几年的产品，不至于直到今天才出现这个问题吧？

谁知道呢，有就有，软件BUG看来任何时候都不可避免
就看其严重性了
不造成大面积问题就好

[freebit]

开什么国际玩笑，用了几年的产品，不至于直到今天才出现这个问题吧？

[szs484]

如果是这样
那就不算是严重的bug
就是说出现这个bug的钱包
都是跳转到这一个账号
就是jesus-coin这个帐号

[szs484]

这个账号的操作记录很怪
也许其他人也跳转到过这个账号上
http://www.cryptofresh.com/u/jesus-coin
里面人的转账信息都跟我类似
可能都是在测试自己是否有权限

[szs484]

可能是那个人操作自己的私钥时，把账号转给你了。

如果是这样的话
查一下这个帐号的操作记录就行了
但是他怎么会有我的公钥
并转给我呢?
我账号名也很长,他容易添加的吗

[szs484]

我之前可以控制这个帐号的钱包好像删掉了
我自己的帐号是szs-bitshares2
是刚注册的帐号
公钥跟上面账号的公钥完全不一样
我刚看了一下

[Yao]

jesus-coin 这个是别人的账号？
你的账号是什么？你的这个能控制 jesus-coin 这个账号的钱包里有几个账号？

你看下你的这些账号里的所有公钥，是不是有跟 jesus-coin 一样的公钥？也就是看你的账号的“账户权限”、“活跃权限”有没有跟下面这两个一样的：BTS5iavugBUH517iRkzL54B53GtcieXzZ6zspiiwE3umrTFGXYwN6
BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8

[ripplexiaoshan]

可能是那个人操作自己的私钥时，把账号转给你了。

[szs484]

我重新查看了一下
我是在比特帝国交易所建立的新账号
后来又导入官方交易所的钱包
也可以从这个角度检查下有无问题
是不是区块链在广播时候出现的bug？

[szs484]

我那个朋友的英语只有中学水平
他不会知道jesus是什么意思
请不要怀疑我的这个帖子
开发组赶紧核实这个情况

[szs484]

哦 你的意思是说今天的帐号
是我朋友的小号？

不是，我的朋友完全对电脑一窍不通
他的帐号是我帮他申请的
每次都用qq远程协助
那个显然是外国人的帐号
jesus-coin

[szs484]

我朋友的还好说
你可以说不是BUG
虽然也不是你说的情况

但是今天这个帐号
完全是网上的陌生人
我拿到了私钥

[binggo]

是不是你朋友以前钱包里的小号，都一块备份到你钱包里了？！

[szs484]

我用的交易所是官方的网页交易所
wallet.bitshares.org
请知悉

[szs484]

进一步我要说
比特股网络有没有传输私钥的bug？
或者是网页交易所的bug？？？
这个太严重了
如果交易所的网页被植入不良代码……

[szs484]

这个BUG我是第二次碰到了
我知道帮我一个朋友操作他的帐号
我在删除他钱包之后
我的钱包不知怎么仍然保留了他的私钥
当然那个可以归结为在同一台电脑上操作过
所以危险性不算什么

但是今天我碰到的情况
是控制了一个完全陌生人的帐号
我和这个帐号没有过任何交集
是随便把网络里的一个陌生人的私钥弄来了
这个bug很严重
为什么我会搞到别人私钥？？？？？？

[szs484]

不对
我恢复之前的钱包
那个帐号又出现了
就是说不知为什么
我获得了jesus-coin这个账号的私钥

我不知道多少人碰到过这种bug
但是这个bug太严重了
开发组看到请回
请看，我用这个帐号来签个字
-----BEGIN BITSHARES SIGNED MESSAGE-----
i get this account，terrible！
-----BEGIN META-----
account=jesus-coin
memokey=BTS6ttNrvy4CXKmW36GxdXnyU2z1mprcKteUrqDTz1u9a7QSNaoR8
block=22960351
timestamp=Mon, 25 Dec 2017 15:07:57 GMT
-----BEGIN SIGNATURE-----
2048f2589af97375128fe1903f35d883a65fbe0b352596b60cbebbc748368184bb6be1aa553f55b9e24f71c5db7812ebb420377cdd99e44725033f58e517154120
-----END BITSHARES SIGNED MESSAGE-----

[szs484]

BUG情况:
在导入导出钱包的时候
我不太清楚具体什么情形下
但在我这里已经发生两次了
可以操作别人的帐号
证据在这里:
区块#22958309
最后一个jesus-coin转账
就是我的操作(钱后来还回去了,咳咳……）
就是说在哪个时候我可以完全控制jesus-coin这个帐号
这个不是我本人的帐号