每天进步一点点:使用命令行钱包(cli_wallet)移除账户的第三方POSTING授权

无意中发现我一朋友的账户竟然在给垃圾帖子点赞,并且还点了许多次。于是告知他不要给垃圾贴点赞,否则容易被视作SPAMER团伙,遭受凌厉的打击。

image.png
(图源 :pixabay)

我朋友很委屈地说,他根本没有给什么垃圾贴点过赞,如果要是因此被打击可就太悲催了,让我帮他分析一下是怎么回事。

我简单分析一下点赞的特点,发现按照时间规律,还真应该不是我朋友操作的,那么这就更危险了,说明他账户被人盗用了。不过貌似盗用者没有得到密码或者转账私钥,否则也不会仅仅偷偷拿去点赞了事。

其实账户被别人拿去点赞,这种事情在HIVE上已经发生过好多次了,曾经大名鼎鼎的@utopian-io 就出现过账户被盗事件,因为很多用户曾经授权给@utopian-io ,导致这些用户的账户被黑客利用来点赞或者踩人。

我观察了一下我朋友的账户,果然授权给一堆账户,有些他都不清楚是什么账户以及什么时候授权的(胡乱登第三方网站导致):

Reveal spoiler

image.png

出于安全考虑,应当移除无用的授权,然而他并不会操作,于是我决定去帮他弄一下。

HiveSigner 方式

使用HiveSigner可以移除账户授权,比如说通过以下链接移除dtube.app的授权:

https://hivesigner.com/revoke/dtube.app

在浏览器中输入上述链接后,就会出现如下提示:

Reveal spoiler

image.png

然后点击Continue按钮并按提示操作即可用完成对dtube.app授权的移除。

不过移除授权需要在浏览器中使用Active KEY(资金密码)或者账户密码,我比较抵触这样的操作,所以我打算使用命令行钱包来完成上述操作。

命令行方式

因为操作权限是一件非常危险的事情,万一不小心搞错了,把账户锁死,那可就是一件万分悲催的事情了。为了避免这样的悲剧出现,我决定用我的测试账户先进行以下测试。

添加权限

因为移除权限,首先要账户中有多余的权限才可以移除,所以我决定先为测试账户增加一些权限。

执行下述两条指令会为oflyhigh.test账户的posting 权限中增加oflyhigh以及oflyhigh.demo两个账户:

update_account_auth_account oflyhigh.test posting oflyhigh 1 true
update_account_auth_account oflyhigh.test posting oflyhigh.demo 1 true

https://hiveblocks.com/中可以看到相应的操作:

Reveal spoiler

image.png

Reveal spoiler

image.png

检查oflyhigh.test的账户授权信息:

Reveal spoiler

image.png

可以看到账户POSTING权限下多出来oflyhigh以及oflyhigh.demo两个账户,亦即授权成功。

移除授权

现在我们就可以测试移除授权了,不过进行操作之前,我们先来解释一下之前的指令。之前的指令对应的帮助信息如下:

condenser_api::legacy_signed_transaction update_account_auth_account(const string & account_name, authority_type type, const string & auth_account, weight_type weight, bool broadcast)

其中account_name就是我们要操作的账户,type对应权限的类型:postingactiveownerauth_account就是我们要添加或者删除的账户,而 weight就是账户的权重。

不涉及账户多签时,weight1就是添加授权,而weight0就是移除授权喽。这样移除授权的指令就清楚了,和之前一样,只不过把weight设置为0即可:

update_account_auth_account oflyhigh.test posting oflyhigh 0 true
update_account_auth_account oflyhigh.test posting oflyhigh.demo 0 true

执行上述两条指令,账户授权信息变得干干净净清清爽爽:

Reveal spoiler

image.png

结果

学习并测试如何使用命令行钱包来移除账户的第三方POSTING授权后,我要来朋友的active私钥,帮他移除了账户中的授权,移除后果然清清爽爽干干净净。

然而移除后,我有手欠查了一下那个疑似被盗用的点赞操作,计算出来的结果竟然是我朋友自己的私钥签名的。那就意味着如果不是我朋友本人操作,就是私钥泄露了。需要修改私钥或者修改整个账户的密码,哎,这又是另外一个悲催的故事了。

相关链接

Sort:  

O哥好厉害👍👍👍,你的朋友因为有你,太幸运了

啊,还有被盗用点赞的😂有点可怕

感觉有点可怕啊,不知道我这个账户有没有人看上盗用🤣🤣🤣

😂先留着 哈哈 万一哪天手贱瞎点了,拿出来还可以拯救一下自己🤣🤣


为什么会显示全部密码,O哥不用打码么

這些是明碼,類似公鑰,本來就是公開的喔。

哦哦。原来是这样,学习了。