零幣(Zcoin)專案本周表示幾周前零幣程式碼中一個錯字造成的漏洞,讓駭客偷走37萬零幣,約美金59.2萬(約1820萬台幣)。
零幣(Zcoin, Zerocoin或稱XYZ)是比特幣的一個擴展計畫,它實作零知識證明(Zero-Knowledge proof)來確保交易雙方完全的隱私與匿名性。零幣之後,提供較比特幣更具隱私的加密貨幣還有Zcash及Monero。
上周零幣專案小組發現,零幣程式碼僅僅多出一個字元引發的漏洞,讓駭客有機可趁,重覆使用手中有效的證明,以一次零幣交易獲得好多倍的金額。
經過初步分析,零幣專案小組認為駭客手法相當高明,建立好幾個交易帳號,並刻意將存、提款行動分散於好幾周,藉此隱藏其作案蹤跡。估計這名(或多名)駭客總共竊取了37萬零幣,而且已經售出將近35萬,剩下約2萬零幣為市場吸收,駭客總獲利約為410比特幣(約43.7萬美元)。
該團隊已先行通報各交易平台要求協助調查,且已經於24小時找出漏洞所在,並緊急釋出修補程式,呼籲所有礦池或交易平台在獲得修補程式後儘速更新。
不過為免引發驚慌,零幣專案小組仍強調,這次攻擊純粹出於程式碼的漏洞,而非加密法的弱點。此外零幣的匿名性並未因此被破壞,因為該小組是基於造幣廠(mint)總交易量與總支出交易次數不符,才發現到攻擊的存在,如果總貨幣供應量因為不公開交易金額而無法驗證,專案成員就發現不到這隻漏洞。
不過零幣專案小組表示不會因此封鎖任何貨幣,一旦礦池及交易平台更新程式碼,就會重新開放交易。