被掏空的 IOTA 钱包：黑客使用恶意种子生成器窃取数百万美元

就在两天前，许多用户说，他们存放在 IOTA 钱包里的资金，估计有四百万美元被偷走了。而此事件发生的根源就在于在线种子生成器。针对 IOTA 钱包的在线种子生成器网站为用户提供帮助他们的 IOTA 钱包生成新种子的快速解决方案。

每创建一个新 IOTA 钱包，用户需要自己创建含 81 个符号的钱包种子。HelloIOTA 网站列出了一些解决办法，包括使用 IPFS 种子生成器，或者使用 Mac 或 Linux 终端创建密钥。然而，这两种方式都不像其他钱包那样便于操作，可能正是这个原因让新用户转向了这些在线种子生成器。

目前最火的 IOTA 钱包种子生成网站已经关闭，只在主页上留下了一条简单的信息：“网站下线，抱歉”。 此类生成器网站通常要求用户移动鼠标，以“生成随机性”，然后提供一个符合IOTA钱包要求的种子。它还会提供一个助记符短语编码版本的种子。

根据 IOTA Evangelist Network 网站会员拉尔夫·罗特曼（Ralf Rottmann）发表的博客文章，黑客实施盗窃后对常用的 IOTA 全节点发起 DDoS 攻击，导致被盗用户无法追回财产。黑客入侵网站后不费吹灰之力便入侵了用户钱包。目前全节点运营商正在讨论各种策略，以更好地保护公共节点未来免受此类和类似的 DDoS 攻击。

IOTA社区对在线种子生成器的态度非常明确，一直鼓励用户更改种子元素，以防止产生任何隐患。他们还一再指出，该漏洞与 IOTA 的技术无关，而只是与种子生成服务有关。IOTA 最近的经历颇具戏剧性，它先是因遭到媒体围剿而不得不澄清与微软的合作关系，而后去年秋天又爆出修补好的漏洞再次出现问题的情况。去年 10 月，IOTA 团队还因为使用快照时存在的另一个漏洞托管了一个风险基金。

雄心勃勃的 IOTA 钱包似乎总是深陷在一个又一个争议中纠缠不清。

翻译：熊猫译社

编辑：郝鹏程、王雅琪