由於一個惡意網站為用戶提供了新的錢包種子,IOTA社群最近受到了一些戲劇性的打擊,因為有些人的錢包因此被洗劫一空。
就在兩天前,許多用戶報告說,他們的IOTA錢包(粗估為400萬美元)被一個不明來源竊取。
原因為何?
一切發生在在線種子生成器。
IOTA的在線種子生成器是為用戶提供快速為IOTA錢包生成新種子的網站。
當創建一個新的IOTA錢包時,用戶的任務是創建一個81字符的種子。 HelloIOTA網站提供了一些解決方案,包括使用IPFS種子生成器,或使用Mac或Linux終端創建密鑰。
然而,這兩者都不如其他錢包那麼友善 – 這可能會讓新用戶直接轉向使用這些在線生成器。
此次IOTA錢包的在線種子生成以致用戶被駭的事件,已經讓HelloIOTA關閉了它的網站,僅留下一個簡單的說明「網站已下架,十分抱歉」。
這個IOTA種子生成器需要使用者將鼠標移動到「隨機生成」,然後即產生符合IOTA錢包要求的種子。
它還提供了透過編碼生成助記短語的種子版本。
根據IOTA 社群(IOTA Evangelist Network) Ralf Rottmann 的Blog文章,攻擊者部署了一個針對受觀迎的IOTA fullnodes的DDoS攻擊,使搶劫的受害者無法拯救任何資金。
當攻擊者知道這些種子,而用戶在silver platter中交出錢包鑰匙後,進而將攻擊者邀請至你的錢包。
IOTA fullnodes 的運營社群正在討論各種策略,以便在未來更有效的保護公共社群節點免受此類特定和類似的DDoS攻擊。
IOTA社群對在線種子生成器事件的解釋已經非常清楚,並鼓勵用戶改變種子元素以防止任何可能被駭漏洞。他們也一再指出這個漏洞與IOTA的技術無關,僅僅是因為惡意的IOTA種子生成服務。
IOTA近來經歷了一些戲劇性的事件,經過一段糟糕的微軟合作案新聞風波之後,IOTA與微軟的合作關係得到了澄清,並修復了去年秋天發現的IOTA資金漏洞。年10月份,IOTA團隊也因為使用快照而導致另一個漏洞,從而對IOTA資金進行了集中保管。
雖然 IOTA 專案相當具有野心,但 Tangle 網路似乎總是糾纏(Tangled up)在諸多爭議之中。
消息來源:Emptied IOTA Wallets: Hackers Steal Millions Using Malicious Seed Generators
編者:Brandon
歡迎加入動區動趨粉絲團
追蹤最即時的區塊鏈消息~