一字不只值千金! 程式碼多一字讓駭客偷走近60萬美元的零幣

零幣(Zcoin)專案本周表示幾周前零幣程式碼中一個錯字造成的漏洞,讓駭客偷走37萬零幣,約美金59.2萬(約1820萬台幣)。

零幣(Zcoin, Zerocoin或稱XYZ)是比特幣的一個擴展計畫,它實作零知識證明(Zero-Knowledge proof)來確保交易雙方完全的隱私與匿名性。零幣之後,提供較比特幣更具隱私的加密貨幣還有Zcash及Monero。

上周零幣專案小組發現,零幣程式碼僅僅多出一個字元引發的漏洞,讓駭客有機可趁,重覆使用手中有效的證明,以一次零幣交易獲得好多倍的金額。

經過初步分析,零幣專案小組認為駭客手法相當高明,建立好幾個交易帳號,並刻意將存、提款行動分散於好幾周,藉此隱藏其作案蹤跡。估計這名(或多名)駭客總共竊取了37萬零幣,而且已經售出將近35萬,剩下約2萬零幣為市場吸收,駭客總獲利約為410比特幣(約43.7萬美元)。

該團隊已先行通報各交易平台要求協助調查,且已經於24小時找出漏洞所在,並緊急釋出修補程式,呼籲所有礦池或交易平台在獲得修補程式後儘速更新。

《全文請見iThome(http://www.ithome.com.tw/news/112057)》
行動版 電腦版