本文摘要：一些天前我们注意到 IOTA 停止了主网，虽然早前我们也告诉 IOTA 用户遭遇了盗币反击，但没想到 IOTA 官方不会通过停止主网方式来展开这次盗币反击的拦阻与调查，显然问题很相当严重。

一些天前我们注意到 IOTA 停止了主网，虽然早前我们也告诉 IOTA 用户遭遇了盗币反击，但没想到 IOTA 官方不会通过停止主网方式来展开这次盗币反击的拦阻与调查，显然问题很相当严重。随后，2020/02/19，我们深入分析了官方透露在 status.iota.org 上的一些线索，开始独立国家调查这次相当严重安全事故的明确原因。

通过对 IOTA 官方钱包 Trinity 新版本公布的分析，我们在其 GitHub 上展开了版本核对，注意到了 MoonPay 这个第三方组件被去除，且我们注意到 Trinitiy 桌面钱包是基于 Electron 研发的，安全性经验告诉他我们，这有可能是个大坑，于是，我们 2020/02/19 时公布了一些推断：快雾：IOTA 用户 Trinity 钱包被盗币反击推断IOTA 因为近期不少用户的 Trinity 钱包被盗币反击，为了制止反击之后、调查与修缮明确原因，主网协商器都停止运营了。这是一个被高估的经典反击，官方没有透露明确反击细节，但通过我们的分析，可以作出某些最重要推断，首先可以具体的几个点：不是 IOTA 区块链协议的问题，是 IOTA 的 Trinity 桌面钱包的问题（官方说道的，且先坚信）这款桌面钱包基于 Electron(一个用于 JavaScript 为核心建构桌面应用于的框架)，网卓新闻网，意味著核心代码是 JavaScript 写出的在做到该做到钱包新旧版本代码的 diff 分析时，找到去除了之前内置的一个交易所功能模块 MoonPay，这其中关键点是去除了一段可怕的代码：const script = document.createElement('script');script.src = 'https://cdn.moonpay.io/moonpay-sdk.js';document.write(script.outerHTML);如果这个第三方 JavaScript 链接主动或被黑害人，那该桌面版钱包就可以指出是几乎失守了。

到这，我们很有理由坚信这是个相当大的定时炸弹，如果这个定时炸弹是知道炸伤了，那很相符官方的一些说词与说明，如：尽早升级新版本的 Trinity 桌面钱包，尽早改为密码，尽早移往资产到安全性种子里等等。且看官方的先前透露。今天(2020/02/22)，我们注意到了官方透露了一些细节，基本检验了我们的推断。https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8重点注目下这段：The attacker started on November 27th, 2019 with a DNS-interception Proof of Concept that used a Cloudflare API key to rewrite the api.moonpay.io endpoints, capturing all data going to api.moonpay.io for potential analysis or exfiltration. Another longer-running Proof of Concept was evaluated by the attacker one month later, on December 22nd, 2019. On January 25th, 2020, the active attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.攻击者利用 MoonPay 的 Cloudflare API Key 已完成了先前一系列挟持反击，预估被盗的 IOTA 约 8.55 Ti(8550000 枚 MIOTA，MIOTA 现在是交易所配置文件大于交易单元，当前价格 0.267 美金/MIOTA)。

根据我们历史经验，如果 Web 服务方用于了 Cloudflare，而其 Cloudflare 账号权限被掌控，就可以做十分极致的中间人挟持反击，流经蓄意 JavaScript。而 Trinity 桌面钱包又是基于 Electron，一个极致的 JavaScript 继续执行环境就放在这，不必须任何尤其的越权，JavaScript 可以已完成用户或 Trinity 钱包可以已完成的任何事情，其中就还包括密码和种子的窃取等等。

由于我们不像 IOTA 和 MoonPay 官方，他们享有充足的日志记录来将反击过程原始掌控，我们不能通过我们所能认识到的已完成以上推断与涉及分析工作。只剩的就期望官方发布明确细节并尽早已完成主网的新的运营。

在这，我们被迫托的一些安全性观点及建议：1. 第三方是可以恶魔的，配置文件都不能信，软件安全性研发过程一定要警觉第三方倚赖，还包括第三方组件与第三方 JavaScript 链接录：IOTA 基金会牵头创始人 Dominik Schiener 回应：“此次反击是由于构建 MoonPay 的漏洞导致，「Trinity 钱包所犯的仅次于错误是没构建 NPM 软件包，并且没必要地对构建展开安全性审查」”我们车站在第三方独立国家安全性审核的角度指出，这种众说纷纭是不缜密的，在加密货币发展的历史上，因为 NPM 包中提到的第三方源而造成的加密货币被盗案件不在少数。如著名的 "event-stream" 事件2. Cloudflare 等第三方 CDN/WAF 服务很杰出很强劲，但如果使用者没有安全性管理好自己的账号权限，其 Web 服务将不会遭遇极致的中间人反击3. 公链官方钱包的一个可怕缺失有可能搞垮一条公链，链上安全性注目的同时，链下安全性也无法忽略，他们是仍然整体，这也是为什么我们注目的是区块链生态安全性，而不是意味着区块链本身的链上安全性4. 作为 IOTA 官方钱包 Trinity 的使用者来说，尽早按官方的指导已完成安全性修整工作，这个就不多说道了涉及链接：Trinity Attack Incident Part 1: Summary and next steps https://blog.iota.org/trinity-attack-incident-part-1-summary-and-next-steps-8c7ccc4d81e8Trinity Attack Incident Part 2: Trinity Seed Migration Plan https://blog.iota.org/trinity-attack-incident-part-2-trinity-seed-migration-plan-4c52086699b6Trinity Attack Incident Part 3: Key LearningsTakeaways https://blog.iota.org/trinity-attack-incident-part-3-key-learnings-takeaways-c933de22fd0aIOTA Status Page: https://status.iota.org/如何看来 NPM 包在 event-stream 被黑客伪造，找到包括恶意代码？https://www.zhihu.。

本文来源：18新利app-www.gamerprogress.com