加密货币钱包 IOTA 近期因用户资金被盗遭到大量投诉 。据研究人员透露，黑客组织利用钓鱼网站收集 IOTA 钱包私钥，达到窃取用户资金的目的。目前初步估计，被盗金额高达 400 万美元。

使用 IOTA 钱包需要用户独立生成私钥 ，而许多用户都依赖于在线密钥生成器来实现这一点，于是黑客组织为此精心策划了一场钓鱼活动。

2017 年 8 月 ，黑客组织注册了 iotaseed.io 域名，并将其标榜为 IOTA 密钥在线生成器。由于大多数加密货币用户对随机站点持有怀疑态度，因此黑客将 iotaseed.io 网站链接到 GitHub 存储库，声称网站运行的代码 与 GitHub 相同。

但事实并非如此，Alex Studer 在周末发表的一篇分析文章揭示，虽然黑客运行的代码大部分来自 GitHub 存储库，但却对 Notifier.js 库加载了额外的代码，导致生成的 IOTA 钱包私钥总是相同的，也就意味着访问 iotaseed.io 网站的用户获取到的是黑客预知的私钥。

随后，黑客利用广告宣传该网站，为网站带来大量流量 。经过 6 个月的研究和收集，黑客于 2018 年 1 月 19 日开始访问 IOTA 账户，并将资金从用户的 IOTA 钱包中转出。至于网站 iotaseed.io 最后也只剩一句“ Taken down. Apologies. ”。

除了该起钓鱼网站事件之外，更糟糕的是，IOTA 钱包同时也受到了 DDoS 攻击。但 IOTA 创始人声称目前并没有确凿的证据可以表明 DDoS 攻击事件与钓鱼网站有任何关联。

消息来源：Bleeping Computer，编译：榆榆，校审：FOX

声明：本文来自HackerNews，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。