加密货币 IOTA 漏洞事件再掀波澜

时间 2019-12-08 标签加密货币 iota 漏洞事件掀波澜

去年闹得轰轰烈烈的加密货币 IOTA 漏洞事件再掀波澜。去年 7 月，DCI 指证 IOTA 这一价值高达 50 亿美圆的加密货币所使用的散列算法 curl 存在着严重的安全漏洞，然然后者一直不肯正面认可，直至近日，双方团队间长达 124 页的电子邮件内容被公开，才将这段持续数月的隔空对战摆到了公众面前，同时，也引起了公众关于数字货币安全性的深刻辩论。git

图片来源：Coincentralgithub

IOTA 是一种基于 DAG 的分布式帐本方案，社区有人称之为区块链 3.0 （相对比特币和以太坊），其特色是不须要传统的“挖矿”，而是帮助验证其余交易来获得奖励，另外其设计目标是针对大规模的物联网设备，以牺牲部分去中心化为代价大幅度地提高了性能。DCI 则是麻省理工学院的学生、开发者和研究人员组成的一个数字货币计划团体。算法

近日，IOTA 去年漏洞事件中的邮件被泄露。据悉，这次邮件泄露并非 DCI 或 IOTA 双方中的任何一方有意而为，更有多是 DCI 被黑客攻击致使的邮件泄露。api

从泄漏邮件来看，麻省理工学院数字货币计划附属的波士顿大学研究员 Ethan Heilman 和 MIT 媒体实验室的密码研究人员 Neha Narula 于 2017 年 7 月 15 日向 IOTA 开发团队通报表示，其使用的散列算法 curl 存在严重的漏洞，包括低成本的散列碰撞以及随机数缺陷等。安全

这些漏洞彻底打破了 EU-CMA 标准，IOTA 的开发者们在一开始也并不肯意认可他们设计的 curl 有违反密码工程原则——即严禁本身设计算法。但在 Ethan 和 MIT 媒体实验室的详细解释后，IOTA 最终于 2017 年 8 月 8 日将 curl 替换成了基于 Keccak（SHA-3）的 kerl。网络

但其后，对密码研究者团队公开的报告（当时尚未公开）十分不满的 IOTA 团队仍致力于想让公众确信 IOTA 的安全性是有保证的。不过密码研究者团队仍坚持应该按照事实编写报告，以后遭到了 IOTA 团队的人身攻击——直至 2017 年 9 月 8 日，密码研究团队将漏洞报告公布在 MIT DCI 的代码 github 仓库上。curl

以后，2018 年 1 月 7 日，关注事件发展的用户应该知晓，IOTA 发布了 IOTA 针对 MIT DCI 漏洞报告的官方技术回应（共4篇）。针对这次 MIT DCI 电子邮件的泄露状况，IOTA 随后也在其官方声明中表示，这些信息只是相关方之间的私人往来，其公布并未得到各方的许可。不事后续，比较使人玩味的是，DCI 却没有对于这两次事件回应过一个字。分布式

此外据外媒 Coincentral 分析指出，MIT DCI 彷佛是受到某个数字货币组织的资金支持的，而 DCI 的 Neha Narula 正在支持比特币开发闪电网络，同时 Ethan 也在构建本身的基于 DAG 的协议，很容易怀疑此番事件又是一次利益间的冲突致使的。由于更有趣的是，DCI 的 IOTA 漏洞报告发布至今已有半年的时间，期间却没有任何人可以成功的利用 DCI 所谓的漏洞来对 IOTA 发动攻击，也没有任何用户由于此漏洞而发生资金被盗的状况。性能