日前,一名來自 IOTA Evangelist Network(IEN)的成員在部落格上發文表示,一些 IOTA 代幣錢包用戶,因使用線上 Seed 產生器而造成資金損失。據稱這筆資金總額估計接近 400 萬美元。
Ralf Rottmann 於 20 日在其個人部落格上發出一篇題為「What happened last night on IOTA」的文章,他提到「在 2018 年 1 月 19 日,部分持有 IOTA 代幣的用戶遭不明攻擊者竊取了他們的資金」。 Rottmann 隨後稱,攻擊者並非利用 IOTA 技術上的漏洞來進行竊取,他強調「IOTA 的技術是安全的」。
據 Rottmann 的解釋,造成是次不幸事件的原因是該些用戶使用了非官方網站所提供的新錢包 Seed 產生器(Seed Generator)。 IOTA 官方亦表示,最近收到不少有關遺失 IOTA 代幣的報告。官方指出這些 Seed 是透過非官方網站生成, IOTA 目前並沒有建立任何 Seed 產生器的官方網站,而由 IOTA 社群營運的 helloiota.com 是目前唯一受 IOTA 官方認可的網站,在 helloiota.com 有介紹如何生成 Seed 的方法。
「Seed」簡單來說可理解為錢包的私鑰,IOTA 錢包的 Seed 是一組共 81 個字元的隨機字串,只要擁有這組字串,就能隨時隨地使用電子設備登錄到相關錢包,因此 Seed 的公開就等同把錢包裡的錢雙手奉上。
Rottmann 補充表示,攻擊者首先從產生器網站上取得使用者所創建的錢包 Seed,然後等待合適時機,像是收集到大量 Seed 後,就開始資金轉移。 Rottmann 在文中特別點名 iotaseed.io 這個產生器網站,而目前這網站已經無法使用。
IOTA 官方多次向使用者表示「不要使用任何線上 Seed 產生器」,並強調確保 Seed 的安全的重要性,然而,不少使用者還是被惡意欺騙了。
Rottmann 還提到,不法份子把資金轉移到自己的手中的同時,還策劃了一次針對數個 IOTA 全節點的 DDoS 攻擊,攻擊者的目的在於要有效阻止受害人挽救回他們被盜走的 IOTA 代幣。由於網絡節點受到攻擊,受害人不能找到一個節點,以便在攻擊者轉移代幣前成功登錄並移走錢包中的代幣。
對於今次事件,Rottmann 透露負責維持全節點營運的社群已展開各種保護策略的討論,以便在未來更好地保護社群節點,免受此類特定和類似的 DDoS 攻擊。但值得注意,Rottmann 同時帶出了一個重要訊息,是錢包使用者必須注意的事。
本質上,從純粹的技術和安全角度來看,在這次攻擊事件下進行的所有交易轉移都是合法的⋯攻擊者知道相關錢包的 Seed,是你親手把「鑰匙」放在銀盤上交給他們,邀請他們來打開你的錢包。
區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。