被掏空的 IOTA 钱包:黑客使用恶意种子生成器窃取数百万美元

就在两天前,许多用户说,他们存放在 IOTA 钱包里的资金,估计有四百万美元被偷走了。而此事件发生的根源就在于在线种子生成器。针对 IOTA 钱包的在线种子生成器网站为用户提供帮助他们的 IOTA 钱包生成新种子的快速解决方案。

每创建一个新 IOTA 钱包,用户需要自己创建含 81 个符号的钱包种子。HelloIOTA 网站列出了一些解决办法,包括使用 IPFS 种子生成器,或者使用 Mac 或 Linux 终端创建密钥。然而,这两种方式都不像其他钱包那样便于操作,可能正是这个原因让新用户转向了这些在线种子生成器。

目前最火的 IOTA 钱包种子生成网站已经关闭,只在主页上留下了一条简单的信息:“网站下线,抱歉”。 此类生成器网站通常要求用户移动鼠标,以“生成随机性”,然后提供一个符合IOTA钱包要求的种子。它还会提供一个助记符短语编码版本的种子。

根据 IOTA Evangelist Network 网站会员拉尔夫·罗特曼(Ralf Rottmann)发表的博客文章,黑客实施盗窃后对常用的 IOTA 全节点发起 DDoS 攻击,导致被盗用户无法追回财产。黑客入侵网站后不费吹灰之力便入侵了用户钱包。目前全节点运营商正在讨论各种策略,以更好地保护公共节点未来免受此类和类似的 DDoS 攻击。

IOTA社区对在线种子生成器的态度非常明确,一直鼓励用户更改种子元素,以防止产生任何隐患。他们还一再指出,该漏洞与 IOTA 的技术无关,而只是与种子生成服务有关。IOTA 最近的经历颇具戏剧性,它先是因遭到媒体围剿而不得不澄清与微软的合作关系,而后去年秋天又爆出修补好的漏洞再次出现问题的情况。去年 10 月,IOTA 团队还因为使用快照时存在的另一个漏洞托管了一个风险基金。

雄心勃勃的 IOTA 钱包似乎总是深陷在一个又一个争议中纠缠不清。

翻译:熊猫译社

编辑:郝鹏程、王雅琪

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180122A0YUUN00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区