IOTA hack – milliókat loptak el online seed generátorok segítségével
Jópár felhasználó kellemetlen meglepetéssel találta szemben magát a napokban, mivel arra ébredhettek, hogy IOTA tárcáikat ismeretlen személyek kifosztották. Nagyjából 4 millió dollár tűnt így el.
A gond nem az IOTA kódjában van, hanem ott volt a bibi, hogy sokan az egyszerűbb utat választottak és online seed generátorokat használtak. Az IOTA tárcák készítésénél megkérik a felhasználókat, hogy generáljanak egy 81 karakteres seed-et, azonban az általánosan megszokottaktól eltérően ez a funkció nem túlságosan kényelmes. Két főbb működőképes metódust írnak le a Hello Iota weboldalon: az IPFS generátor használatát, amely egy a Knartz-féle böngészőben futó megoldás IOTA-ra szabott változata. Itt megnyitunk egy weboldalt, adunk egy csöppet a rendszer entrópiájának az egér összevissza mozgatásával, majd meg kell változtatnunk pár karaktert a seedben csak úgy találomra, és elmenteni a karakterláncot. Linuxon és Mac-en a beépített véletlenszám-generátort alkalmazzák és csak ki kell másolni a megadott parancssort. Natív Windows módszert nem említenek, de valami készül KeePass-re.
In the end, at least $3.94m worth of IOTA was stolen. This was facilitated by a DDoS attack against all public nodes.
— Nic Carter (@nic__carter) January 21, 2018
Ezek helyett többen ismeretlen személyek által készített weboldalakon szerezték be a seed-et, a legfontosabb pedig az volt, hogy nem hajtottak végre semmilyen változtatást a karakterláncon. Ezzel megszerezték a kulcsokat a házhoz és már csak be kellett sétálniuk.
Eközben DDoS támadásokat hajtottak végre népszerűbb IOTA csomópontok ellen. Így az áldozatok nem voltak képesek kimenteni a kriptojukat később sem.
Ki a felelős a IOTA hackért?
A csomópontok DDoS-os megtámadása gyakori technika, amely évtizedek óta ismert, és minden rendszeradminisztrátor hallott róla. Manapság már védekezni is könnyebb, de ez úgy tűnik nem volt erőssége a csomópontok működtetőinek.
Jelenleg az egymásra mutogatás fázisa az aktuális, a működtetők szerint a gond a kulcsok elvesztése volt, a felhasználók pedig fájlalják, hogy amikor már tudtak a gondról, akkor sem tehettek semmit.
Érdemes megjegyezni, hogy a támadást már azzal sokkal nehezebbé tehették volna, ha pár karaktert megváltoztatnak egy mezei szövegszerkesztőben.
Nem ez volt az egyetlen vihar az IOTA háza táján: Bejelentették hogy több nagyvállalat stratégiai „résztvevője” lesz a fejlesztéseknek és nagyban tesztelik a Tangle technológiát. Ez egy későbbi nyilatkozat szerint nem jelent közvetlen partnerséget. A hírek nyomán az ár növekedésnek indult majd gyorsan korrigált és azóta se talált magára.
Az alapkód hibájának a legújabb botránynál semmi köze sem volt a hackhez, az is elképzelhető, hogy a nagyvállalatok komolyabban támogatják majd az IOTA megoldásait.
Annyi azonban látszik, hogy van még min dolgozni a fejlesztés során, főleg, ha szélesebb körben is terjeszteni szeretnék a technológiát.