相对来说,IOTA是一种较为“年轻”的数字加密货币。它基于缠结(Tangle)而非区块链技术,提供高效、安全、轻便、实时的轻量级交易,并且不会产生任何交易费用。
虽然,IOTA才刚刚诞生不久,且目前市场上关于IOTA的应用主要是小额的网络支付交易,但这并不影响它成为网络犯罪分子的攻击目标。
一位匿名黑客精心策划了一起准备时间超过半年的“盗窃案”,他精心设计了一个钓鱼网站,用以收集IOTA用户的私钥,并在1月19日执行了自己的计划,成功窃取了价值近400万美元的IOTA币。
就像其他加密货币一样,当IOTA用户想要创建钱包时,必须生成一个随机的字符串(由字母和数字组成)。这是钱包的私钥,也称为种子,用于两种用途——生成公共钱包地址,并作为密码来验证钱包的所有者。
当用户创建IOTA钱包时,需要输入一个长度为81个字符的字符串作为种子。有多种方法可以生成这种随机字符串,其中就包括使用在线种子生成器。
这个匿名黑客正是利用了这一点,他在去年8月开始部署恶意站点。为此,他注册了域名iotaseed[.]io,并将其宣传为IOTA种子在线生成器。
由于大多数加密货币用户通常会对随机站点持怀疑态度,因此,他还将这个域名链接到GitHub存储库,声称网站运行的是相同的代码。
然而,事实并非如此。安全专家Alex Studer研揭露,黑客运行的代码大部分来自GitHub存储库,但对Notifier.js库进行了巧妙的修改,后者加载了额外的代码。
Studer解释说说:“这段代码修补了由[seed]生成代码使用的Math.seedrandom函数,总是使用一个固定的种子'4782588875512803642'加上一个计数器变量,每次运行seedrandom时会增加一个。这使得Math.random()总是返回相同且可预测的一系列数字,导致生成的IOTA钱包种子总是相同的。”
换句话说,通过iotaseed.io网站生成的种子是可预测的。黑客经过6个月的收集,得到了大量IOTA用户的私钥,并开始了他的“转账”计划。
目前,该黑客创建的钓鱼网站已经关闭,仅提供了一条信息 “取消,抱歉”。
至于这名黑客本人,研究人员表示,他已彻底“蒸发”。他曾经以网名“Norbertvdberg”出现在GitHub、Reddit和Quora上,为其网站用户和IOTA爱好者提供技术支持,而现在他在这些网站上留下的个人资料都已被彻底删除。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。