EOS可能开启多个主网映射，存在严重的安全隐患！

“

如果用户将EOS转入交易所，交易所会对每条主链进行多次映射，并对每条链的钱包进行专业评估。 “

今天EOS 90S发布了EOS关于多个主网映射的安全问题。 原题如下：

6月2日之后，block.one的法律结构使得主网无法上线，而Block.one前段时间公开声明EOS GO不是官方社区以太坊测试币能映射主网吗，没有权限。 这样，就会有多个社区同时启动EOS主网的可能。

用户使用EOS映射后的初始文件是所有EOS主网启动的初始分发。

用户想要在主链上使用任何币种，都需要将私钥导入到该主链钱包中。

如果有钱包或者主网作恶盗取了用户的私钥，最终的结果就是用户其他主网上的币全部被盗，包括EOS go链上的EOS。

这是一个无法回避的问题。 如果有什么好的解决方案，请与我们分享！

针对这个问题，EOS FORCE第一时间做出回应，很快就得到了各个社区的热烈讨论和支持，也引起了媒体的关注和转发。 之所以反应迅速，是因为EOS原力团队在EOS链上投票测试过程中发现了EOS相关的安全问题。

事实上，多主网映射的安全问题不仅是一个无法回避的问题，而且是一个非常严重的问题。

一旦恶意行为者在某个主网上通过发布恶意钱包或使用恶意手段窃取用户私钥，将会发生大规模盗窃用户资产的事件。 这样一来，不仅大量用户会遭受资产损失，还会流失大量EOS社区成员。

那么，这种EOS多主网映射的风险是如何产生的呢？ 为什么会有多个 EOS 链？ 这些安全问题的解决方案是什么？ 带着这些疑问，EOS原力总结了EOS链上投票测试的经验，为大家一一解答。

1.如何理解EOS可能有多个主网映射？

我们先从法律关系、映射逻辑、上链逻辑三个角度理解为什么会有多个主网。

1个

诉讼关系

Block.One是BM和BB成立的公司。 他们发起了 EOS 区块链项目，并在以太坊上进行了为期一年的 ICO。

EOSIO是Block.one开发的一套免费开源软件，任何人都可以直接使用，里面没有货币符号。 目前用户持有的EOS Token只是以太坊上的ERC20代币，并不是EOS主网上的代币。

为了规避证券化的法律风险，Block.One在项目之初就表示他们不会启动主链，而是将这项工作交给社区。

2个

映射逻辑

目前，用户持有的EOS TOKEN存储在以太坊链上，由以太坊账户私钥控制。 由于ETH链上的公私钥格式与EOS链上的不同，用户不能直接使用ETH私钥获取和控制EOS链上的资产，需要生成专用的公私钥对于 EOS 链。 这是映射。

那么如何完成ETH链到EOS链的映射呢？

原来我们只有ETH地址=>EOS TOKEN余额的对应关系，也就是说，通过ETH地址，我们可以知道地址上有多少EOS TOKEN。

但是怎么证明这个ETH地址是你的呢？ 这时，你作为ETH账户的持有者，首先使用EOS钱包制作工具随机生成一对EOS公私钥，然后使用你的ETH账户地址向智能合约发送映射交易，这将要求您填写您的 EOS 公钥。

交易完成后，生成ETH地址=>EOS公钥的对应关系。 EOS主链启动时，发起者可以直接写入用户EOS公钥=>EOS TOKEN余额的对应关系，然后完成token在ETH链和EOS链之间的迁移，ETH上的TOKEN成为 EOS 链的原生 COIN。

3个

链式逻辑

因为官方，也就是Block.one已经声明他们不会启动EOS链，而是交给社区来启动以太坊测试币能映射主网吗，所以不会有主链和官链。

如果社区启动链，意味着不同的社区可能会陆续启动主链，从而导致多条EOS链的产生。 而这些链都认可EOS映射合约中ETH => EOS公钥=> EOS TOKEN余额的对应关系。

这样，完成映射的用户手中的EOS私钥就会成为多个EOS链的公用私钥。 用户需要依次将私钥导入到这些EOS链各自的钱包中，才能进行账户解锁、投票、转账等操作。

EOSIO没有开发完整的钱包，这些钱包也是第三方社区自己开发的。

2、为什么多个主网映射存在安全问题？

1个

私钥安全

官方没有开发统一钱包，任何人都可以开发EOS钱包，这使得导入钱包的私钥的安全性非常严重。 谁能保证所用EOS钱包的安全？

如果每个EOS链都有自己的钱包，用户下载使用所有这些钱包，那么只要哪个钱包出现问题，或者私钥导入到钱包的过程中出现问题，私钥会被泄露。

因为每个EOS链的私钥都是一样的，只要EOS私钥泄露，所有这些链的私钥都会泄露，所有EOS链上的资产都有可能被转移走。

2个

钱包作弊问题有以下几种可能

3、如何解决多主网映射的安全问题？

1个

用户分别映射每个EOS的主网

单独映射是什么意思？

例如EOS链有3条：EOS A链、EOS B链、EOS C链。 用户需要映射一次EOS A链，然后映射EOS B链，最后再映射一次EOS C链。 这样每次映射完成后，不同EOS链的公私钥都不一样，就不用担心“私钥全丢”的情况了。

目前链上已经存在ETH地址=>EOS TOKEN的对应关系，也就是已经包含了你之前做的映射的记录。

如果现在需要再做一次映射，然后新建一个ETH地址=> EOS公钥的对应关系，那么可以像官方一样部署一个新的映射合约，要求用户对合约进行映射操作。 这需要特殊的操作接口支持（类似需要imtoken、myetherwallet等），比较复杂。

根据 EOS Authority() 提供的统计数据，只有约 41% 的 EOS 完成了映射。

这个数据反映了一个现实：很多用户已经忘记或者不愿意只做一条链的映射操作。 如果下一步是多次映射多条链，用户就更不愿意也无法操作了。

2个

通过交换重新映射

如果用户将EOS转入交易所，交易所会对每条主链进行多次映射，并对每条链的钱包进行专业评估。

同时，交易所只能进行中心化交易，待链上稳定、钱包安全后才开通，支持充值提现，更安全、更有保障。

四。 结论

EOS FORCE社区于2018年5月上旬上线EOS FORCE TESTNET，在全球范围内首次实现链上投票功能。 在测试过程中，还发现了大量与EOS相关的安全问题和社区治理问题。

后续我们会陆续发布，希望其他社区、交易所、超级节点、Block one官方关注这些问题。