加密货币IOTA辛酸史：一个网络钓鱼网站让其损失近400万美元

“用指尖改变世界”

相对来说，IOTA是一种较为“年轻”的数字加密货币。它基于缠结(Tangle)而非区块链技术，提供高效、安全、轻便、实时的轻量级交易，并且不会产生任何交易费用。

虽然，IOTA才刚刚诞生不久，且目前市场上关于IOTA的应用主要是小额的网络支付交易，但这并不影响它成为网络犯罪分子的攻击目标。

一位匿名黑客精心策划了一起准备时间超过半年的“盗窃案”，他精心设计了一个钓鱼网站，用以收集IOTA用户的私钥，并在1月19日执行了自己的计划，成功窃取了价值近400万美元的IOTA币。

就像其他加密货币一样，当IOTA用户想要创建钱包时，必须生成一个随机的字符串(由字母和数字组成)。这是钱包的私钥，也称为种子，用于两种用途——生成公共钱包地址，并作为密码来验证钱包的所有者。

当用户创建IOTA钱包时，需要输入一个长度为81个字符的字符串作为种子。有多种方法可以生成这种随机字符串，其中就包括使用在线种子生成器。

这个匿名黑客正是利用了这一点，他在去年8月开始部署恶意站点。为此，他注册了域名iotaseed[.]io，并将其宣传为IOTA种子在线生成器。

由于大多数加密货币用户通常会对随机站点持怀疑态度，因此，他还将这个域名链接到GitHub存储库，声称网站运行的是相同的代码。

然而，事实并非如此。安全专家Alex Studer研揭露，黑客运行的代码大部分来自GitHub存储库，但对Notifier.js库进行了巧妙的修改，后者加载了额外的代码。

Studer解释说说：“这段代码修补了由[seed]生成代码使用的Math.seedrandom函数，总是使用一个固定的种子'4782588875512803642'加上一个计数器变量，每次运行seedrandom时会增加一个。这使得Math.random()总是返回相同且可预测的一系列数字，导致生成的IOTA钱包种子总是相同的。”

换句话说，通过iotaseed.io网站生成的种子是可预测的。黑客经过6个月的收集，得到了大量IOTA用户的私钥，并开始了他的“转账”计划。

目前，该黑客创建的钓鱼网站已经关闭，仅提供了一条信息 “取消，抱歉”。

至于这名黑客本人，研究人员表示，他已彻底“蒸发”。他曾经以网名“Norbertvdberg”出现在GitHub、Reddit和Quora上，为其网站用户和IOTA爱好者提供技术支持，而现在他在这些网站上留下的个人资料都已被彻底删除。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。