IOTA今天又涨了，但那个让用户丢失400万美元漏洞依然存在

编者按：本文来自“Chainology链科技”，作者安可，36氪经授权发布。

近日， 随着大部分币价格上涨，IOTA也让投资者有了点信心，最近最高涨至到了1.6美元。

以下是IOTA从去年7月份的的走势图：

而今天的上涨原因，很可能是这家公司上线了新网站。

IOTA (MIOTA)此前突破了1.60美元，达到了这个月价格的峰值，该团队还表示，即将推出的Trinity钱包。不过，目前仍令人担忧的是，IOTA的成交量较低，且购买方式仍有限，主要集中在Bitfinex，这一交易仍被认为是有风险的。因为在Bitfinex，MIOTA与美元（USD）进行配对交易，但事实上，投资和投机的流入将来自Tethers (USDT)。而USDT此前的资金隐患到目前，团队也并未给出太多回复。

据外媒分析显示，IOTA的一个缺点是没有合适的钱包。而该团队正在研发的“三位一体”钱包还在alpha阶段测试，受到社区参与的推动，但尚未确定正式发布日期。

在4月9日的最新更新中，Trinity开发者指出了Android版钱包的重大进展。根据早期alpha用户的说法，在这个阶段，钱包看起来是完整的，所有的功能都是用户友好的工具。在Nano的硬件存储设备上，有关于IOTA钱包的beta版本的讨论，这意味着该资产将会达到更广泛的计算范围。

1、IOTA并非区块链 却获得了很多地区的认可

事实上，这项技术的发展最令人兴奋的方式之一是通过它的结合，一个叫做物联网的概念，几乎所有的东西(如手表、冰箱和汽车)都连接到互联网上，并以此互相操控。例如，冰箱里的牛奶盒上的传感器可能会注意到你已经到了最后一个杯子，并向当地的杂货店发出了订单。 

project IOTA在这个用例中加入了加密技术，并将其转变为一个更加开放的市场，这引起了相当多的关注。

在纽约的科技聚会上，听到开发者说IOTA的基础技术，“非区块链的区块链”，或者所谓的“tangle”，是区块链空间的未来，这并不少见。

不仅极微小被吹捧为一种颠覆当前集中的筒仓系统,简化业务方面的时间和成本,而且作为一种可以让区块链行业摆脱所有的困扰,比如技术的扩展问题,导致事务积压和高费用和能源技术的体系结构的大量消耗。

“最明显的是，IOTA是第一个超越区块链的项目。摆脱了矿工。在这个过程中，我们解决了交易的主要痛苦点——不收取任何费用，”IOTA的联合创始人大卫·索斯汀博(David Sonstebo)在接受的采访中说。

这些大胆的声明似乎得到了与大型企业和机构合作的支持，包括大众汽车(Volkswagen)和台台北、瑞士、委内瑞拉等。

几天前，IOTA Foundation已经还在官方推特上宣布了一项新的人事任命，富士通中欧市场负责人沃夫•沃纳（Rolf Werner）博士将加入IOTA。

IOTA到底是做什么的呢？

据其团队介绍，核心产品是“无区块分布式账本”Tangle，旨在解决处理大量影响传统区块链技术的问题，并克服现有区块链设计中的低效性，并为去中心化P2P系统共识的达成创造了一种新方法。

而与区块链的区别是，区块链是每个区块记多笔交易，而DAG是每个区块存一笔交易。在IOTA白皮书里，把结扎在一起的交易称为缠结（Tangle）。

bIOTAsphere创始人兼Refined Data Solutions首席执行官Terry Shane曾解释道：“我们用手机可以跟Siri聊天，但也许不久之后，Siri类的这些智能语音机器之间也会互相交谈。在物联网时代，数以千亿的物联网设备所产生的交易量几乎是无穷大的。再比如，竞争生产区块所需要耗费的能量也非常可怕。”

这也是IOTA能够通过TAG的结构做到区块链目前还能难做的事情，比如快速处理大量交易等。

Terry Shane认为IOTA使用DAG的数学结构，彻底消除了矿工，区块和链，由每一位参与到网络交易中的人们自己完成工作量证明来建立共识，而不是一种集中化的挖矿系统。

它的原理是让每一位用户为了让自己发起的交易得到确认，必须要先确认其他两笔交易，这个确认过程实际上需要执行一个非常小的工作量证明。选择两笔交易对象的方式非常随机，这样就形成了一个良性循环，构建了完全平等的一个分布式网络。在这种模式下，价值一美元的IOTA传递给另一位用户时，不会有任何资金上的损耗，一美元还是一美元。而IOTA的网络确认速度，也会随着用户的增加而不断提高，因为不断出现的新交易可以被用来验证早前出现的未验证交易。

但在今年3月份的时候，IOTA的技术漏洞也被麻省理工大学踢爆，还上演了一场学术上的“撕逼”。

2、麻省理工学院与IOTA的肉搏战

据Coindesk报道，介绍，IOTA有150名工作人员，它的开发人员和其他人总能把他们的故事说得很有逻辑，这也就让他们没有其他时间来没有处理好批评的问题，尤其是它与架构中的安全漏洞有关。

因此，很多专家们质疑IOTA的许多想法是否真的能在实践中发挥作用，目前的投资者和用户都是通过市值来支撑这个价值27亿美元的网络。

以色列希伯来大学(Hebrew University)的crypto研究员、高级讲师Aviv Zohar说：“由于研究人员已经指出了IOTA的许多漏洞，他预计还会有更多的漏洞，而对IOTA的攻击将继续下去。”

 “IOTA是一种我从喜欢到憎恨的加密数字货币。”Zohar说

Zohar这么说的原因是此前，麻省理工学院数字货币倡议组织(DCI)的研究人员在一项调查中发现，他们认为IOTA的代码存在漏洞。

根据研究人员的说法，IOTA开发人员使用了一个内部创建的哈希函数(称为P-Curl)来确保系统内部的数据，这在密码学家中是一个不存在的问题，他们认为，它更倾向于使用目前已经存在的高度研究和审查的功能。

但IOTA的开发人员说，事实上，他们这么做是故意的，目的是防止其他人抄袭他们的开源软件。

随后研究人员反驳了这一观点，认为这并没有多大意义，因为开源软件的基础是让更广泛的开发者社区自由复制。

约翰·霍普金斯大学的密码学教授马修·格林(Matthew Green)在推特上写道:“IOTA的开发人员一直无法向我解释为什么他们认为他们的不安全的哈希函数是安全的。”

随着事态进一步升级，IOTA团队的创始人开始出来回应，并表示波士顿大学的Ethan Heilman应该感到害怕，他们的律师正在研究这个文。后者是漏洞报告的研究人员之一。

3、一个400万美元的漏洞

在今年1月份的时候，IOTA用户称他们的加密货币被盗，价值高达400万美元。而此事件发生的根源就在于在线种子生成器。针对 IOTA 钱包的在线种子生成器网站为用户提供帮助他们的 IOTA 钱包生成新种子的快速解决方案。

对于一个加密货币项目没有为用户提供种子生成工具的问题，Heilman对CoinDesk说:“几乎所有的加密软件都是为他们的用户生成安全的随机数。让用户负责安全的随机生成是危险的，因为用户可能会使用一个糟糕的随机性来源。

据36氪报道，每创建一个新 IOTA 钱包，用户需要自己创建含 81 个符号的钱包种子。HelloIOTA 网站列出了一些解决办法，包括使用 IPFS 种子生成器，或者使用 Mac 或 Linux 终端创建密钥。然而，这两种方式都不像其他钱包那样便于操作，可能正是这个原因让新用户转向了这些在线种子生成器。

在被盗事件发生后，IOTA 钱包种子生成网站已经关闭，只在主页上留下了一条简单的信息：“网站下线，抱歉”。 

一个名叫“guselbindel”的Reddit用户甚至声称，这类黑客在几个月前发生在他身上，导致他损失了3万美元。

实际上，这个漏洞还不止于此。事实上，安全公司Lekkertech的研究员Willem Pinckaers发现，即使不使用公钥，他们也可以被利用。

区块链顾问彼得·托德在推特上说:“尽管如此，你不能安全地重复使用公钥的事实仍然是疯狂的。”

目前，这些研究人员对IOTA的批评似乎集中在项目的远大抱负上，此前团队的承诺上没有得到理想地执行。

在链科技（chainology）看来，任何技术都是在不断试错，修正中成熟，在发展途中一定会有这样或者那样的问题出现，只是当真正开始大规模应用时，开发团队也应该承担更多的责任，而不是一句“抱歉”。