Bitcoin.HK | 香港比特幣一站式資訊新聞平台

駭客透過惡意種子生產器來盜取用戶的IOTA錢包

由於一個惡意網站為用戶提供了新的錢包種子,IOTA社群最近受到了一些戲劇性的打擊,因為有些人的錢包因此被洗劫一空。就在兩天前,許多用戶報告說,他們的IOTA錢包(粗估為400萬美元)被一個不明來源竊取。

原因為何?一切發生在在線種子生成器。

IOTA的在線種子生成器是為用戶提供快速為IOTA錢包生成新種子的網站。

當創建一個新的IOTA錢包時,用戶的任務是創建一個81字符的種子。 HelloIOTA網站提供了一些解決方案,包括使用IPFS種子生成器,或使用Mac或Linux終端創建密鑰。

然而,這兩者都不如其他錢包那麼友善 – 這可能會讓新用戶直接轉向使用這些在線生成器。

此次IOTA錢包的在線種子生成以致用戶被駭的事件,已經讓HelloIOTA關閉了它的網站,僅留下一個簡單的說明「網站已下架,十分抱歉」。

這個IOTA種子生成器需要使用者將鼠標移動到「隨機生成」,然後即產生符合IOTA錢包要求的種子。

它還提供了透過編碼生成助記短語的種子版本。

根據IOTA 社群(IOTA Evangelist Network) Ralf Rottmann 的Blog文章,攻擊者部署了一個針對受觀迎的IOTA fullnodes的DDoS攻擊,使搶劫的受害者無法拯救任何資金。

當攻擊者知道這些種子,而用戶在silver platter中交出錢包鑰匙後,進而將攻擊者邀請至你的錢包。

IOTA fullnodes 的運營社群正在討論各種策略,以便在未來更有效的保護公共社群節點免受此類特定和類似的DDoS攻擊。

IOTA社群對在線種子生成器事件的解釋已經非常清楚,並鼓勵用戶改變種子元素以防止任何可能被駭漏洞。他們也一再指出這個漏洞與IOTA的技術無關,僅僅是因為惡意的IOTA種子生成服務。

IOTA近來經歷了一些戲劇性的事件,經過一段糟糕的微軟合作案新聞風波之後,IOTA與微軟的合作關係得到了澄清,並修復了去年秋天發現的IOTA資金漏洞。年10月份,IOTA團隊也因為使用快照而導致另一個漏洞,從而對IOTA資金進行了集中保管。

雖然 IOTA 專案相當具有野心,但 Tangle 網路似乎總是糾纏(Tangled up)在諸多爭議之中。