solidot | 黑客利用java 0day漏洞窃取比特币

正如此前文章所说的，比特币的匿名性质既是特性也是bug，如果比特币失窃，矿工们只能自认倒霉，要将失窃的财产追回来几乎是不可能的任务。当比特币的价值达到了令人难以置信的高度，它不可避免会成为某类黑客的目标。美国东部时间4月10日晚上，一位 mt.gox用户被人利用java漏洞盗走了34比特币，虽然数量不多，但它的价值也相当于5千美元（根据目前的比特币美元兑换率）。他在比特币论坛上描述了整个过程，这种入侵方法非常典型：有人首先在聊天窗口发布了链接，声称 mt.gox将宣布交易litecoins（另一种受欢迎的数字货币），这个链接当然是恶意链接，它先载入java applet，利用java 0day漏洞进行跨站脚本注入攻击，它会下载恶意程序（adobeupdate-setup1.84.exe）然后自动执行，整个攻击专为mt.gox（最大的比特币交易平台）用户定制，它记录了所有的密码，登录进比特币钱包，窃取比特币。