IOTA漏洞報告 from MIT

看板DigiCurrency作者 (春暖花開)時間6年前 (2018/01/25 00:45), 6年前編輯推噓11(11025)
留言36則, 8人參與, 5年前最新討論串1/1
https://goo.gl/nfsF5q 總結: 我們介紹了在IOTA區塊鏈中使用的密碼攻擊,包括在某些條件下偽造簽名的能力 。 我們已經對IOTA的加密散列函數Curl進行了實際攻擊,使我們能夠快速生成短的碰撞消息 。 即使對於相同長度的消息,這些衝突也是有效的。在Curl中利用這些弱點,我們打破了歐 盟 - 中東歐國家的安全的IOTA簽名方案。 最後我們展示在選定的消息設置中,我們可以偽造有效支出交易的簽名(在IOTA中稱為捆 綁 我們提出並展示了一個實際的攻擊(幾分鐘內即可實現),攻擊者可以偽造一個IOTA簽名 , 並有可能使用這個偽造的簽名竊取另一個IOTA用戶的資金。 本報告提供了這些漏洞的示例演但沒有詳細說明產生衝突的確切密碼分析過程。稍後的出 版物將對Curl的密碼分析提供深入的研究。 -- Sent from my Windows -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.73.69.127 ※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1516812357.A.2AA.html ※ 編輯: ilovevear (42.73.69.127), 01/25/2018 00:51:49
01/25 00:52, 6年前 , 1F
這不是舊聞嗎? 有更新?
01/25 00:52, 1F
01/25 01:23, 6年前 , 2F
只有一個branch, commit 5 months ago,沒更新吧
01/25 01:23, 2F
01/25 04:06, 6年前 , 3F
很舊,早就補起來了,但當大家想砲IOTA時,就會再提到
01/25 04:06, 3F
01/25 06:21, 6年前 , 4F
舊聞+1, 漏洞還好, 比較糟糕的是IOTA當初的回應態度.
01/25 06:21, 4F
01/25 12:20, 6年前 , 5F
IOTA:哼,漏洞是我們故意擺的(轉身馬上補洞)
01/25 12:20, 5F
01/25 12:23, 6年前 , 6F
還好不是被惡意者先發現,不然早就讓它GG
01/25 12:23, 6F
01/25 12:24, 6年前 , 7F
MIT:你自己修補製造的褲子,後面有洞很容易被肛
01/25 12:24, 7F
01/25 12:26, 6年前 , 8F
IOTA:這是時尚,故意要整抄襲我新褲設計的山寨者。
01/25 12:26, 8F
01/25 13:56, 6年前 , 9F
只能說這些白帽人真好
01/25 13:56, 9F
01/25 15:36, 6年前 , 10F
不過有看仔細當初文章的人會發現,要「利用」這個漏洞,
01/25 15:36, 10F
01/25 15:37, 6年前 , 11F
必須要叫受害人也做一些「工程師才懂」的動作
01/25 15:37, 11F
01/25 15:39, 6年前 , 12F
達成條件頗牽強的... 但向著無懈可擊的方向改是好事。
01/25 15:39, 12F
01/25 18:25, 6年前 , 13F
同樓上,要攻擊成功其實蠻難的
01/25 18:25, 13F
01/25 18:26, 6年前 , 14F
詳見 goo.gl/gAJZVU
01/25 18:26, 14F
01/25 18:28, 6年前 , 15F
而且 MIT 那些人背後其實有利益衝突,不是單純好心的白帽
01/25 18:28, 15F
01/25 18:39, 6年前 , 16F
01/25 18:39, 16F
01/25 18:54, 6年前 , 17F
iota在那次事件後在歐美人心中印象很差
01/25 18:54, 17F
01/25 19:20, 6年前 , 18F
要能擋 misbehave node是加密貨幣最基本的要求, 所有的攻擊
01/25 19:20, 18F
01/25 19:22, 6年前 , 19F
都是透過改code來進行的,如果每個node都乖乖run官方實作
01/25 19:22, 19F
01/25 19:23, 6年前 , 20F
那什麼共識機制也不用設計了,說好你+5我-5就好了
01/25 19:23, 20F
01/25 19:27, 6年前 , 21F
MIT發現漏洞後沒有昭告天下,有遵守白帽道德先跟IOTA知會,結
01/25 19:27, 21F
01/25 19:28, 6年前 , 22F
推樓上,所以還是需要朝無懈可擊努力。
01/25 19:28, 22F
01/25 19:29, 6年前 , 23F
果得到是這種回應.
01/25 19:29, 23F
01/25 19:45, 6年前 , 24F
貨幣真的是信仰啊,文章資料都貼出來了還能被這樣負面的
01/25 19:45, 24F
01/25 19:45, 6年前 , 25F
解讀。
01/25 19:45, 25F
01/26 04:22, 6年前 , 26F
貨幣真的是信仰啊,文章資料part2把當初CFB講過的話連結都帶
01/26 04:22, 26F
01/26 04:25, 6年前 , 27F
入了,https://goo.gl/2mL5qF 懷疑你有認真讀完嗎
01/26 04:25, 27F
01/26 12:19, 6年前 , 28F
既然你看完了,那你有看到好幾個月過去,DGI 當初說好要
01/26 12:19, 28F
01/26 12:19, 6年前 , 29F
發佈的完整報告和代碼沒有發佈這件事嗎?文章下方 DGI 團
01/26 12:19, 29F
01/26 12:19, 6年前 , 30F
隊人員利益衝突也看到了吧?文章看完了還只挑 CFB 那部分
01/26 12:19, 30F
01/26 12:19, 6年前 , 31F
被打到爛的講,貨幣真的是信仰啊
01/26 12:19, 31F
01/26 12:22, 6年前 , 32F
DCI*
01/26 12:22, 32F
02/27 16:20, 6年前 , 33F
02/27 16:20, 33F
02/27 16:21, 6年前 , 34F
Iota對MIT的email 正式回應
02/27 16:21, 34F
02/27 16:21, 6年前 , 35F
MIT那篇應該是FUD了
02/27 16:21, 35F
09/09 12:01, 5年前 , 36F
基本上iota沒挖礦,根本就是異類
09/09 12:01, 36F
更多 ilovevear 的文章
文章代碼(AID): #1QQBX5Ag (DigiCurrency)