POSTED ON 2016 年 02 月 20 日 BY iThome新聞
詳細文章連結：http://www.ithome.com.tw/news/112057

零幣(Zcoin)專案本周表示幾周前零幣程式碼中一個錯字造成的漏洞，讓駭客偷走37萬零幣，約美金59.2萬（約1820萬台幣）。
 
零幣（Zcoin, Zerocoin或稱XYZ）是比特幣的一個擴展計畫，它實作零知識證明（Zero-Knowledge proof）來確保交易雙方完全的隱私與匿名性。零幣之後，提供較比特幣更具隱私的加密貨幣還有Zcash及Monero。
 
上周零幣專案小組發現，零幣程式碼僅僅多出一個字元引發的漏洞，讓駭客有機可趁，重覆使用手中有效的證明，以一次零幣交易獲得好多倍的金額。
 
經過初步分析，零幣專案小組認為駭客手法相當高明，建立好幾個交易帳號，並刻意將存、提款行動分散於好幾周，藉此隱藏其作案蹤跡。估計這名（或多名）駭客總共竊取了37萬零幣，而且已經售出將近35萬，剩下約2萬零幣為市場吸收，駭客總獲利約為410比特幣（約43.7萬美元）。
 
該團隊已先行通報各交易平台要求協助調查，且已經於24小時找出漏洞所在，並緊急釋出修補程式，呼籲所有礦池或交易平台在獲得修補程式後儘速更新。
 
不過為免引發驚慌，零幣專案小組仍強調，這次攻擊純粹出於程式碼的漏洞，而非加密法的弱點。此外零幣的匿名性並未因此被破壞，因為該小組是基於造幣廠（mint）總交易量與總支出交易次數不符，才發現到攻擊的存在，如果總貨幣供應量因為不公開交易金額而無法驗證，專案成員就發現不到這隻漏洞。
 
不過零幣專案小組表示不會因此封鎖任何貨幣，一旦礦池及交易平台更新程式碼，就會重新開放交易。

技術人員，無論是程式、稀土、網路、DB 等，都揹負非常大的責任，任何一點小失誤都有可能造成大傷害，所以除了不斷精進自己的能力以外，可靠的第三方資源(白黑箱)弱掃程式，也是必要的。