一字不只值千金!程式码多一字让骇客偷走近60万美元的零币

零币(Zcoin)专案本周表示几周前零币程式码中一个错字造成的漏洞，让骇客偷走37万零币，约美金59.2万（约1820万台币）。
 
零币（Zcoin, Zerocoin或称XYZ）是比特币的一个扩展计划，它实作零知识证明（Zero-Knowledge proof）来确保交易双方完全的隐私与匿名性。零币之后，提供较比特币更具隐私的加密货币还有Zcash及Monero。
 
上周零币专案小组发现，零币程式码仅仅多出一个字元引发的漏洞，让骇客有机可趁，重复使用手中有效的证明，以一次零币交易获得好多倍的金额。
 
经过初步分析，零币专案小组认为骇客手法相当高明，建立好几个交易账号，并刻意将存、提款行动分散于好几周，借此隐藏其作案踪迹。估计这名（或多名）骇客总共窃取了37万零币，而且已经售出将近35万，剩下约2万零币为市场吸收，骇客总获利约为410比特币（约43.7万美元）。
 
该团队已先行通报各交易平台要求协助调查，且已经于24小时找出漏洞所在，并紧急释出修补程式，呼吁所有矿池或交易平台在获得修补程式后尽速更新。
 
不过为免引发惊慌，零币专案小组仍强调，这次攻击纯粹出于程式码的漏洞，而非加密法的弱点。此外零币的匿名性并未因此被破坏，因为该小组是基于造币厂（mint）总交易量与总支出交易次数不符，才发现到攻击的存在，如果总货币供应量因为不公开交易金额而无法验证，专案成员就发现不到这只漏洞。
 
不过零币专案小组表示不会因此封锁任何货币，一旦矿池及交易平台更新程式码，就会重新开放交易。