加密貨幣被爆重大安全漏洞，價值 50 億美元！

關鍵時刻，第一時間送達！

據外媒 Motherboard 近日報道，去年鬧得轟轟烈烈的加密貨幣 IOTA 漏洞事件再掀波瀾。去年 7 月，DCI 指證 IOTA 這一價值高達 50 億美元的加密貨幣所使用的散列演算法 curl 存在著嚴重的安全漏洞，然而後者一直不願正面承認，直至近日，雙方團隊間長達 124 頁的電子郵件內容被公開，才將這段持續數月的隔空對戰擺到了公眾面前，同時，也引發了公眾關於數字貨幣安全性的深入辯論。

圖片來源：Coincentral

IOTA 是一種基於 DAG 的分散式賬本方案，社區有人稱之為區塊鏈 3.0 （相對比特幣和以太坊），其特點是不需要傳統的「挖礦」，而是幫助驗證其他交易來得到獎勵，另外其設計目標是針對大規模的物聯網設備，以犧牲部分去中心化為代價大幅度地提升了性能。DCI 則是麻省理工學院的學生、開發者和研究人員組成的一個數字貨幣計劃團體。

近日，IOTA 去年漏洞事件中的郵件被泄露。據悉，此次郵件泄露並不是 DCI 或 IOTA 雙方中的任何一方有意而為，更有可能是 DCI 被黑客攻擊導致的郵件泄露。

從泄漏郵件來看，麻省理工學院數字貨幣計劃附屬的波士頓大學研究員Ethan Heilman 和 MIT 媒體實驗室的密碼研究人員Neha Narula於 2017 年 7 月 15 日向 IOTA 開發團隊通報表示，其使用的散列演算法 curl 存在嚴重的漏洞，包括低成本的散列碰撞以及隨機數缺陷等。

這些漏洞完全打破了 EU-CMA 標準，IOTA 的開發者們在一開始也並不願意承認他們設計的 curl 有違反密碼工程原則——即嚴禁自己設計演算法。但在 Ethan 和 MIT 媒體實驗室的詳細解釋後，IOTA 最終於 2017 年 8 月 8 日將 curl 替換成了基於 Keccak（SHA-3）的 kerl。

但其後，對密碼研究者團隊公開的報告（當時還沒有公開）十分不滿的IOTA 團隊仍致力於想讓公眾確信 IOTA 的安全性是有保證的。不過密碼研究者團隊仍堅持應該按照事實編寫報告，之後遭到了 IOTA 團隊的人身攻擊——直至2017 年 9 月 8 日，密碼研究團隊將漏洞報告公布在 MIT DCI 的代碼 github 倉庫上。

之後，2018 年 1 月 7 日，關注事件發展的用戶應該知曉，IOTA 發布了 IOTA 針對 MIT DCI 漏洞報告的官方技術回應（共4篇）。針對此次 MIT DCI 電子郵件的泄露情況，IOTA 隨後也在其官方聲明中表示，這些信息只是相關方之間的私人往來，其公布並未獲得各方的許可。不過後續，比較令人玩味的是，DCI 卻沒有對於這兩次事件回應過一個字。

此外據外媒 Coincentral 分析指出，MIT DCI 似乎是受到某個數字貨幣組織的資金支持的，而 DCI 的 Neha Narula 正在支持比特幣開發閃電網路，同時 Ethan 也在構建自己的基於 DAG 的協議，很容易懷疑此番事件又是一次利益間的衝突導致的。因為更有趣的是，DCI 的 IOTA 漏洞報告發布至今已有半年的時間，期間卻沒有任何人能夠成功的利用 DCI 所謂的漏洞來對 IOTA 發動攻擊，也沒有任何用戶因為此漏洞而發生資金被盜的情況。

只能說，仁者見仁了。

參考鏈接：

https://motherboard.vice.com/en_us/article/ywq44k/a-5-billion-cryptocurrency-iota-has-enraged-cryptographers-leaked-emails

http://www.iotachina.com/leakedemailsseeminglyexonerateiota.html

https://coincentral.com/leaked-emails-seemingly-exonerate-iota/amp/

http://newswww.solidot.org/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！