IOTA 因为近期不少用户的Trinity钱包被盗币攻击，为了阻止攻击继续、调查与修复具体原因，主网协调器都暂停运行了。这是一个被低估的经典攻击，官方没披露具体攻击细节，但通过我们的分析，可以做出某些重要推测，首先可以明确的几个点：1. 不是IOTA区块链协议的问题，是IOTA的Trinity桌面钱包的问题（官方说的，且先相信）；2. 这款桌面钱包基于Electron(一个使用 JavaScript 为核心构建桌面应用的框架)，意味着核心代码是JavaScript写的；3. 在做该做钱包新旧版本代码的 diff 分析时，发现去除了之前内置的一个交易所功能模块 MoonPay，这其中关键点是去掉了一段可怕的代码： const script = document.createElement('script'); script.src = 'https://cdn.moonpay.io/moonpay-sdk.js'; document.write(script.outerHTML); 如果这个第三方JavaScript链接主动或被黑作恶，那该桌面版钱包就可以认为是完全沦陷了。到这，我们很有理由相信这是个很大的定时炸弹，如果这个定时炸弹是真的炸了，那很吻合官方的一些说辞与解释，如：尽快升级新版本的Trinity桌面钱包，尽快改密码，尽快转移资产到安全种子里等等。且看官方的后续披露。