原标题:一字不只值千金! 程式码错一字让骇客偷走近60万美元的零币
示意图,与新闻事件无关。
图片来源:维基共享资源;作者:Jericho
零币(Zcoin)专案本周表示几周前零币程式码中一个错字造成的漏洞,让骇客偷走37万零币,约美金59.2万(约1820万台币)。?零币(Zcoin, Zerocoin或称XYZ)是比特币的一个扩展计画,它实作零知识证明(Zero-Knowledge proof)来确保交易双方完全的隐私与匿名性。零币之后,提供较比特币更具隐私的加密货币还有Zcash及Monero。?上周零币专案小组发现,零币程式码仅仅多出一个字元引发的漏洞,让骇客有机可趁,重覆使用手中有效的证明,以一次零币交易获得好多倍的金额。?经过初步分析,零币专案小组认为骇客手法相当高明,建立好几个交易帐号,并刻意将存、提款行动分散于好几周,藉此隐藏其作案蹤迹。估计这名(或多名)骇客总共窃取了37万零币,而且已经售出将近35万,剩下约2万零币为市场吸收,骇客总获利约为410比特币(约43.7万美元)。?该团队已先行通报各交易平台要求协助调查,且已经于24小时找出漏洞所在,并紧急释出修补程式,呼吁所有矿池或交易平台在获得修补程式后儘速更新。?不过为免引发惊慌,零币专案小组仍强调,这次攻击纯粹出于程式码的漏洞,而非加密法的弱点。此外零币的匿名性并未因此被破坏,因为该小组是基于造币厂(mint)总交易量与总支出交易次数不符,才发现到攻击的存在,如果总货币供应量因为不公开交易金额而无法验证,专案成员就发现不到这只漏洞。?不过零币专案小组表示不会因此封锁任何货币,一旦矿池及交易平台更新程式码,就会重新开放交易。
?
相关:
资安业者:Android for Work含有两个中间程式攻击漏洞
以色列资安业者Skypcure技术长Yair Amit本周揭露了Android for Work含有两个中间程式攻击(app-in-the-middle)漏洞,将允许安装在个人档案(Personal profile)的恶意程式窃取来自工作档案(Work profile)的资讯,
Gmail恶意邮件调查大揭密:攻击企业信箱的恶意程式数量是个人信箱的4.3倍
图片来源: Google Gmail安全团队本周在RSA 2017资安会议上发表了针对Gmail上用于公务的信箱与个人信箱之恶意程式活动的分析报告,指出公务信箱所收到的恶意程式数量是个人信箱的4.3倍,公务信箱所收到的网钓攻击数量
IBM旗下The Weather释出行动程式,没有网络也能传送灾难警报
图片来源: IBM IBM在2015年以25亿美元买下的气象分析暨预测公司The Weather Company在本周三(2/15)发表了新的网状网路警报(Mesh Network Alerts)技术,即便在没有网路连线或基地台挂掉的情况下都能传递紧急的气象
雅虎今天表示,公司已经通知部分使用者,骇客可能利用一种方法,而不用窃取密码就能入侵他们的帐户。法新社报道,这项最新通知是因应雅虎去年底公布约10亿用户受冲击的破纪录遇骇事件,涉及窜改cookies或用户登入帐号
木马程式Xagent攻击目标从iOS移到macOS,专门窃取密码与iPhone备份
示意图,与新闻事件无关。 图片来源: Apple 资安业者Bitdefender周二(2/14)指出,原本锁定iOS的间谍木马程式Xagent已把攻击目标转至macOS。Xagent为趋势科技在2015年时分析网路间谍活动「典当风暴行动」(Operat