近日, 據相關媒體報導, IOTA 社區遭遇了駭客攻擊, 攻擊者通過攻擊IOTA 錢包金鑰, 通過釣魚網站盜取加密貨幣錢包, 使得用戶慘遭超過400萬美元的資金損失。
IOTA是什麼?
IOTA是世界上市值最高的第十一種加密貨幣, 全稱是MIOTA。 IOTA是為物聯網(IoT)而設計的一個革命性的新型交易結算和資料轉移層。 其宗旨是利用DAG(有向無環圖, IOTA裡叫做Tangle)代替區塊鏈實現分散式、不可逆資訊傳遞的一種技術, 在此基礎上集成加密貨幣功能, 服務於物聯網。
據瞭解, 本次攻擊事件, 駭客做了長期充分的準備與策劃。 2017 年 8 月 , 駭客組織先註冊了 iotaseed.io 功能變數名稱,
Alex Studer通過發表文章揭示, 駭客運行的代碼對 Notifier.js 庫載入了額外的代碼, 導致生成的 IOTA 錢包私密金鑰總是相同的, 導致訪問 iotaseed.io 網站的用戶獲取到的是駭客預知的私密金鑰。
然後駭客在網路上投放廣告, 吸引了大量用戶點擊。 經過 6 個月的研究和收集, 駭客於 2018 年 1 月 19 日開始訪問 IOTA 帳戶, 並將資金從用戶的 IOTA 錢包中轉出。 最後, 在 iotaseed.io網站上僅留下一句Taken down. Apologies。
至目前為止, 事件仍在調查中, 攻擊者身份尚未明確。
面對這類釣魚網站事件, 作為國內資訊安全服務商, 數安時代(GDCA)第一時間是從網路安全角度出發。 由iotaseed.io網站可看出, 該站部署DV SSL證書。 但IOTA是一種加密貨幣, 涉及金融。 而DV SSL僅限用戶個人驗證, 適用於個人博客, 並不適用於金融行業。 之前, 本站發過一篇《 為什麼DV SSL證書不適用於金融行業》的文章介紹。 因此GDCA建議廣大使用者凡涉及金融交易網站, 必須檢查其證書(金融網站的證書通常為OV SSL或EV SSL證書), 核實網站的真實身份後再進行下一步的操作。
SSL證書是網路安全建設的基本保障之一, 是使用者識別伺服器身份的方式。 但SSL證書有多種類型, 伺服器使用者應根據自身特點選擇合適的SSL證書。 流覽器使用者可根據證書的資訊正確識別網站。 SSL證書是HTTP明文協定升級HTTPS加密協定的重要管道, 是網路安全傳輸的加密通道。
文章轉載https://www.trustauth.cn/news/security-news/24732.html