新聞來源連結:http://blockcast.it/2018/01/22/nearly-4m-iota-stolen-from-wallet
s-since-users-used-seed-generation-websites/
新聞本文:
日前,一名來自 IOTA Evangelist Network(IEN)的成員在部落格上發文表示,一些 IO
TA 代幣錢包用戶,因使用線上 Seed 產生器而造成資金損失。據稱這筆資金總額估計接
近 400 萬美元 。
Ralf Rottmann 於 20 日在其個人部落格上發出一篇題為「What happened last night o
n IOTA」的文章,他提到「在 2018 年 1 月 19 日,部分持有 IOTA 代幣的用戶遭不明
攻擊者竊取了他們的資金」。Rottmann 隨後稱,攻擊者並非利用 IOTA 技術上的漏洞來
進行竊取,他強調「IOTA 的技術是安全的」。
據 Rottmann 的解釋,造成是次不幸事件的原因是該些用戶使用了非官方網站所提供的新
錢包 Seed 產生器(Seed Generator)。IOTA 官方亦表示,最近收到不少有關遺失 IOTA
代幣的報告。官方指出這些 Seed 是透過非官方網站生成, IOTA 目前並沒有建立任何
Seed 產生器的官方網站,而由 IOTA 社群營運的 helloiota.com 是目前唯一受 IOTA 官
方認可的網站,在 helloiota.com 有介紹如何生成 Seed 的方法。
IOTA 官方 Discord 呼籲使用者依照 helloiota.com 的教學來生成 Seed。
「Seed」簡單來說可理解為錢包的私鑰,IOTA 錢包的 Seed 是一組共 81 個字元的隨機
字串,只要擁有這組字串,就能隨時隨地使用電子設備登錄到相關錢包,因此 Seed 的公
開就等同把錢包裡的錢雙手奉上。
Rottmann 補充表示,攻擊者首先從產生器網站上取得使用者所創建的錢包 Seed,然後等
待合適時機,像是收集到大量 Seed 後,就開始資金轉移。Rottmann 在文中特別點名 io
taseed.io 這個產生器網站,而目前這網站已經無法使用。
iotaseed.io 網站目前已無法操作。
IOTA 官方多次向使用者表示「不要使用任何線上 Seed 產生器」,並強調確保 Seed 的
安全的重要性,然而,不少使用者還是被惡意欺騙了。
Rottmann 還提到,不法份子把資金轉移到自己的手中的同時,還策劃了一次針對數個 IO
TA 全節點的 DDoS 攻擊,攻擊者的目的在於要有效阻止受害人挽救回他們被盜走的 IOTA
代幣。由於網絡節點受到攻擊,受害人不能找到一個節點,以便在攻擊者轉移代幣前成
功登錄並移走錢包中的代幣。
對於今次事件,Rottmann 透露負責維持全節點營運的社群已展開各種保護策略的討論,
以便在未來更好地保護社群節點,免受此類特定和類似的 DDoS 攻擊。但值得注意,Rott
mann 同時帶出了一個重要訊息,是錢包使用者必須注意的事。
本質上,從純粹的技術和安全角度來看,在這次攻擊事件下進行的所有交易轉移都是合法
的...攻擊者知道相關錢包的 Seed,是你親手把「鑰匙」放在銀盤上交給他們,邀請他們
來打開你的錢包。
評論:好像都沒人提到IOTA wallet用seed這件事,我個人是覺得蠻麻煩的,雖然說cmd可
以很快速的產生,但大多數人第一直覺還是上網找 online generator吧,這種類似phish
ing的手法,反而更容易而且更有效。