一字不只值千金! 程式碼多一字讓駭客偷 - 數位貨幣

新聞來源連結：
http://www.ithome.com.tw/news/112057

一字不只值千金! 程式碼多一字讓駭客偷走近60萬美元的零幣

零幣(Zcoin)專案本周表示幾周前零幣程式碼中一個錯字造成的漏洞，讓駭客偷走37萬零
幣，約美金59.2萬（約1820萬台幣）。

零幣（Zcoin, Zerocoin或稱XYZ）是比特幣的一個擴展計畫，它實作零知識證明（
Zero-Knowledge proof）來確保交易雙方完全的隱私與匿名性。零幣之後，提供較比特幣
更具隱私的加密貨幣還有Zcash及Monero。

上周零幣專案小組發現，零幣程式碼僅僅多出一個字元引發的漏洞，讓駭客有機可趁，重
覆使用手中有效的證明，以一次零幣交易獲得好多倍的金額。

經過初步分析，零幣專案小組認為駭客手法相當高明，建立好幾個交易帳號，並刻意將存
、提款行動分散於好幾周，藉此隱藏其作案蹤跡。估計這名（或多名）駭客總共竊取了37
萬零幣，而且已經售出將近35萬，剩下約2萬零幣為市場吸收，駭客總獲利約為410比特幣
（約43.7萬美元）。

該團隊已先行通報各交易平台要求協助調查，且已經於24小時找出漏洞所在，並緊急釋出
修補程式，呼籲所有礦池或交易平台在獲得修補程式後儘速更新。

不過為免引發驚慌，零幣專案小組仍強調，這次攻擊純粹出於程式碼的漏洞，而非加密法
的弱點。此外零幣的匿名性並未因此被破壞，因為該小組是基於造幣廠（mint）總交易量
與總支出交易次數不符，才發現到攻擊的存在，如果總貨幣供應量因為不公開交易金額而
無法驗證，專案成員就發現不到這隻漏洞。

不過零幣專案小組表示不會因此封鎖任何貨幣，一旦礦池及交易平台更新程式碼，就會重
新開放交易。

評論：
所以損失是要交易所吞下去？

--