1. 链一财经首页
  2. 资讯

再高明的技术也打不过钓鱼网站:IOTA如何损失400万美元?

本文1000字 完成阅读需2分钟

相对来说,IOTA是一种较为“年轻”的数字加密货币。它基于缠结(Tangle)而非区块链技术,提供高效、安全、轻便、实时的轻量级交易,并且不会产生任何交易费用。虽然,IOTA才刚刚诞生不久,且目前市场上关于IOTA的应用主要是小额的网络支付交易,但这并不影响它成为网络犯罪分子的攻击目标。

一位匿名黑客精心策划了一起准备时间超过半年的“盗窃案”,他精心设计了一个钓鱼网站,用以收集IOTA用户的私钥,并在1月19日执行了自己的计划,成功窃取了价值近400万美元的IOTA币。

就像其他加密货币一样,当IOTA用户想要创建钱包时,必须生成一个随机的字符串(由字母和数字组成)。这是钱包的私钥,也称为种子,用于两种用途——生成公共钱包地址,并作为密码来验证钱包的所有者。当用户创建IOTA钱包时,需要输入一个长度为81个字符的字符串作为种子。有多种方法可以生成这种随机字符串,其中就包括使用在线种子生成器。

这个匿名黑客正是利用了这一点,他在去年8月开始部署恶意站点。为此,他注册了域名iotaseed[.]io,并将其宣传为IOTA种子在线生成器。

由于大多数加密货币用户通常会对随机站点持怀疑态度,因此,他还将这个域名链接到GitHub存储库,声称网站运行的是相同的代码。

然而,事实并非如此。安全专家Alex Studer研揭露,黑客运行的代码大部分来自GitHub存储库,但对Notifier.js库进行了巧妙的修改,后者加载了额外的代码。

Studer解释说说:“这段代码修补了由[seed]生成代码使用的Math.seedrandom函数,总是使用一个固定的种子’4782588875512803642’加上一个计数器变量,每次运行seedrandom时会增加一个。这使得Math.random()总是返回相同且可预测的一系列数字,导致生成的IOTA钱包种子总是相同的。”

换句话说,通过iotaseed.io网站生成的种子是可预测的。黑客经过6个月的收集,得到了大量IOTA用户的私钥,并开始了他的“转账”计划。目前,该黑客创建的钓鱼网站已经关闭,仅提供了一条信息 “取消,抱歉”。

IOTA.jpg

至于这名黑客本人,研究人员表示,他已彻底“蒸发”。他曾经以网名“Norbertvdberg”出现在GitHub、Reddit和Quora上,为其网站用户和IOTA爱好者提供技术支持,而现在他在这些网站上留下的个人资料都已被彻底删除。

(原标文题:加密货币IOTA辛酸史:一个网络钓鱼网站让其损失近400万美元    作者:黑客视界)

原文链接:https://www.hackeye.net/securityevent/12134.aspx            

免责声明:本文来自黑客视界,仅代表原作者个人观点,不代表火星24立场。

火星提示:本站旨在传播更多信息,文章内容仅供参考,不构成任何投资建议,投资者据此操作,风险自担。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code