MicrosoftInternetExplorer402DocumentNotSpecified7.8Normal0

地下市场交易网站丝绸之路2.0告知客户，网站遭遇大规模黑客攻击，至少有4476个比特币被偷。该网站管理人员把此次事件归咎于这个星期被发现的交易可锻性问题（transaction malleability）。

“我们的初步调查显示，一名供应商利用最近比特币协议中的交易可锻性的漏洞，反复撤销提现，从而搬空了我们的比特币。”Defecon即丝绸之路的管理员之一在Tor网络上的论坛发表帖子说道。

帖子还补充说：“黑客攻击后，对于已经引起广泛关注的交易可锻性问题，网站的组织者花费了太长的时间才做出回应。”“尽管我们拥有硬化和渗透程序，但是攻击者利用比特币协议中的漏洞攻击了我们程序之外的范围。”它说。

一般来说，良好的安全性原则将有一个以比特币为基础的网站冷藏管理大量的比特币（即离线存储），保证他们无法被网络攻击者窃取。但是帖子中称，因为网站的后端存储，所有的比特币都是在线存储。“我们在过去这个星期打算重新推出新的自动完成和争议中心（auto-finalize and Dispute Center）。”Defcon在帖子说。这两个功能的完善将会触碰到大量订单的完成量，从而导致网站让所有的比特币立即可用。

帖子中还认为托管钱包（escrow wallets）也被危及到了。另外个人钱包（持有已上传但不能使用的资产，或者客户发送的但却未体现的比特币）的币是否被偷还不是很确定。

帖子中其他人跟帖说他们也受到损害。“至少我是出现了这样的情况。虽然只有0.1286btc，但是我却在blockchain记录中看到向一个陌生的地址发送比特币的交易。”用户

UncleFester称。

Blockchain显示我的SR钱包已空，而且托管钱包和钱包（前面所指）的币都不见了，另外一名用户meathead_420说。

其他人则担心等丝绸之路2.0解决这个问题之后，剩余的比特币都已经被窃取了。

如何发生？

目前还不清楚的是交易可锻性问题是如何导致被托管账户的丢币事件的发生。这种攻击涉及到改变一个比特币交易的ID ，使发送者认为该笔交易并没有发生。

正如我们本周之前所说，简单更改建议ID并不能窃取比特币。个人或者组织（比如这次的丝绸之路）发送比特币，在遇到客户欺诈投诉之后大概会需要自动重新发送，但是必须要注意到这次不眨眼之间5000个比特币就从托管账户中消失了。

“DEFCON，如果MT GOX和bitstamp在处理这个bug的时候选择取消提现，你为什么不采取同样的措施？”用户‘Soloist’.质问道。

“为什么比特币持续地在我的账户进进出出，但是消失却在一眨眼之间。”在回帖中用户‘garconSR2′如是说。

技术专家赶到困惑和怀疑。“为什么犯罪份子（应当指丝绸之路，译者注）会犯如此愚蠢的错误呢？很有可能。大多数像这样的地下网站不是蜜罐就是巨大的骗局。”比特币核心开发者JeffGarzik 说。

Defon提供了一些攻击的细节，他解释道，这次攻击很有可能是几个法国的供应商相互订购，找到并利用了这个比特币协议中的漏洞，并且主要账户名为“narco93”。

虽然此次事件有很多疑点，人们尝试利用Defcon提供的证据去寻找更多的细节。一名用户在网上发现了一个可能这些资金的流向的钱包。这个blockchain钱包在过去两天超过60次交易中流入了超过8566个比特币。超过半数的人还在继续讨论，并且目前也没有确实的证据指明这个钱包和比特币盗窃有关联。

(有删减）

原文：http://www.coindesk.com/silk-road-2-loses-bitcoins-hack/

翻译时间：2013.2.14

译者： 半空中的乌龟

捐赠地址：BTC：1MYG1kGpBzTYbNPRPQLoLUnC2QZrpqVLHN

          IFC： iRfjBx44YAWvwSFAMDNHdFJ5zXjWy9gxtn