近日,据相关媒体报道,IOTA 社区遭遇了黑客攻击,攻击者通过攻击IOTA 钱包密钥,通过钓鱼网站盗取加密货币钱包,使得用户惨遭超过400万美元的资金损失。
IOTA是什么?
IOTA是世界上市值最高的第十一种加密货币,全称是MIOTA。IOTA是为物联网(IoT)而设计的一个革命性的新型交易结算和数据转移层。其宗旨是利用DAG(有向无环图,IOTA里叫做Tangle)代替区块链实现分布式、不可逆信息传递的一种技术,在此基础上集成加密货币功能,服务于物联网。
据了解,本次攻击事件,黑客做了长期充分的准备与策划。2017 年 8 月 ,黑客组织先注册了 iotaseed.io 域名,切入钓鱼网站,并将其标榜为 IOTA 密钥在线生成器。
Alex Studer通过发表文章揭示,黑客运行的代码对 Notifier.js 库加载了额外的代码,导致生成的 IOTA 钱包私钥总是相同的,导致访问 iotaseed.io 网站的用户获取到的是黑客预知的私钥。
然后黑客在网络上投放广告,吸引了大量用户点击。经过 6 个月的研究和收集,黑客于 2018 年 1 月 19 日开始访问 IOTA 账户,并将资金从用户的 IOTA 钱包中转出。最后,在 iotaseed.io网站上仅留下一句Taken down. Apologies。
至目前为止,事件仍在调查中,攻击者身份尚未明确。
面对这类钓鱼网站事件,作为国内信息安全服务商,数安时代(GDCA)第一时间是从网络安全角度出发。由iotaseed.io网站可看出,该站部署DV SSL证书。但IOTA是一种加密货币,涉及金融。而DV SSL仅限用户个人验证,适用于个人博客,并不适用于金融行业。之前,本站发过一篇《 为什么DV SSL证书不适用于金融行业》的文章介绍。因此GDCA建议广大用户凡涉及金融交易站点,必须检查其证书(金融网站的证书通常为OV SSL或EV SSL证书),核实网站的真实身份后再进行下一步的操作。
SSL证书是网络安全建设的基本保障之一,是用户识别服务器身份的一种权威途径。但SSL证书有多种类型,服务器用户应根据自身特点选择合适的SSL证书。浏览器用户可根据证书的信息正确识别网站。SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注数安时代(GDCA)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。
