新闻来源连结:http://blockcast.it/2018/01/22/nearly-4m-iota-stolen-from-wallet
s-since-users-used-seed-generation-websites/
新闻本文:
日前,一名来自 IOTA Evangelist Network(IEN)的成员在部落格上发文表示,一些 IO
TA 代币钱包用户,因使用线上 Seed 产生器而造成资金损失。据称这笔资金总额估计接
近 400 万美元 。
Ralf Rottmann 于 20 日在其个人部落格上发出一篇题为“What happened last night o
n IOTA”的文章,他提到“在 2018 年 1 月 19 日,部分持有 IOTA 代币的用户遭不明
攻击者窃取了他们的资金”。Rottmann 随后称,攻击者并非利用 IOTA 技术上的漏洞来
进行窃取,他强调“IOTA 的技术是安全的”。
据 Rottmann 的解释,造成是次不幸事件的原因是该些用户使用了非官方网站所提供的新
钱包 Seed 产生器(Seed Generator)。IOTA 官方亦表示,最近收到不少有关遗失 IOTA
代币的报告。官方指出这些 Seed 是透过非官方网站生成, IOTA 目前并没有建立任何
Seed 产生器的官方网站,而由 IOTA 社群营运的 helloiota.com 是目前唯一受 IOTA 官
方认可的网站,在 helloiota.com 有介绍如何生成 Seed 的方法。
IOTA 官方 Discord 呼吁使用者依照 helloiota.com 的教学来生成 Seed。
“Seed”简单来说可理解为钱包的私钥,IOTA 钱包的 Seed 是一组共 81 个字符的随机
字串,只要拥有这组字串,就能随时随地使用电子设备登录到相关钱包,因此 Seed 的公
开就等同把钱包里的钱双手奉上。
Rottmann 补充表示,攻击者首先从产生器网站上取得使用者所创建的钱包 Seed,然后等
待合适时机,像是收集到大量 Seed 后,就开始资金转移。Rottmann 在文中特别点名 io
taseed.io 这个产生器网站,而目前这网站已经无法使用。
iotaseed.io 网站目前已无法操作。
IOTA 官方多次向使用者表示“不要使用任何线上 Seed 产生器”,并强调确保 Seed 的
安全的重要性,然而,不少使用者还是被恶意欺骗了。
Rottmann 还提到,不法份子把资金转移到自己的手中的同时,还策划了一次针对数个 IO
TA 全节点的 DDoS 攻击,攻击者的目的在于要有效阻止受害人挽救回他们被盗走的 IOTA
代币。由于网络节点受到攻击,受害人不能找到一个节点,以便在攻击者转移代币前成
功登录并移走钱包中的代币。
对于今次事件,Rottmann 透露负责维持全节点营运的社群已展开各种保护策略的讨论,
以便在未来更好地保护社群节点,免受此类特定和类似的 DDoS 攻击。但值得注意,Rott
mann 同时带出了一个重要讯息,是钱包使用者必须注意的事。
本质上,从纯粹的技术和安全角度来看,在这次攻击事件下进行的所有交易转移都是合法
的...攻击者知道相关钱包的 Seed,是你亲手把“钥匙”放在银盘上交给他们,邀请他们
来打开你的钱包。
评论:好像都没人提到IOTA wallet用seed这件事,我个人是觉得蛮麻烦的,虽然说cmd可
以很快速的产生,但大多数人第一直觉还是上网找 online generator吧,这种类似phish
ing的手法,反而更容易而且更有效。