资讯 > 安全资讯 > 正文

拼写错误导致价值40万美元的数字货币被攻击者盗取

摘要: 上周,数字货币Zcoin声明:一个拼写错误,让不明身份的攻击者赚取了价值约40万美元的Zcoin。

Zcoin与比特币类似,都是基于加密的数字货币,没有所谓中央银行的存在。Zcoin基于Zeorocoin软件协议,该协议旨在为用户提供“完全的金融隐私和匿名性。”

但在实现的时候,Zcoin搞砸了。其社区经理李本·亚普在博客中写道:“昨天,我们的团队在Zerocoin的实现中找到了一个漏洞。代码手误多加了一个字符,一名攻击者借此创建了没有相应来源的Zerocoin消费交易。”

换句话说,他们的代码中拼错了一个单词,而这让黑客通过从单次交易中多次兑现,盗得大笔Zcoin。

亚普强调:Zcoin的加密没有任何问题,仅仅是拼写错误导致了那个问题。“该攻击源于代码中的漏洞,而不是加密策略有弱点。拼写错误造成了攻击者可以重用其现有有效证明,来产生额外的Zerocoin消费交易。”

简言之:这是人为错误,不是Zcoin项目有什么致命缺陷。

该名至今身份未明的攻击者,偷走了约370,000枚Zcoin,按当前汇率价值 $680,000。几乎全部被盗Zcoin都已被售出,给攻击者带来了月410比特币的净利润——$437,000。

该攻击者用低频支付和体现的手法,在数周内成功躲过了检测。亚普写道:“从我们掌握的情况看,该攻击者(或攻击团伙)非常狡猾,他/她做了很多事来掩饰其踪迹,比如创建大量兑换账户,将存款和取款精心分摊到数周时间里。”

“我们估测,该攻击者大约创造了370,000枚Zcoin,并且几乎全部售完,仅余20,000多枚,从市场上卷走约410比特币的利润。也就是说,所造成的损害已经被几乎被市场吸收了。”

 

【极密盾推荐阅】

      FBI完全有能力hack Tor和VPN用户


END
网络安全