Iota nustato planą, kaip vėl įjungti tinklą po 20 dienų neprisijungus

Jau daugiau nei dvi savaites „Iota“ tinklas turi buvo nusileidęs, MIOTA žetonų turėtojai negalėjo palengvinti jokių operacijų nuo vasario 12 d. Taip yra todėl, kad įsilaužėlis sugebėjo užsidirbti iš daugiau nei 2 mln. USD iš vietinės „Iota“ piniginės „Trinity“, todėl projektas pralaimėti nuo tinklo išjungimo maždaug 40% jo vertės, kuri, kaip teigiama, verta beveik 400 milijonų dolerių.

„Iota“ fondas turi sumenkintas įsilaužimo sunkumas, tačiau daugybė rodiklių rodo, kad galėjo būti pažeista kur kas daugiau piniginių, nei iki šiol paskelbė „Iota“ fondas. Nors lėšos galėjo būti pavogtos tik iš riboto skaičiaus piniginių, aptariamas pažeidžiamumas tikriausiai egzistavo ilgesnį laiką. Taip pat visiškai įmanoma, kad įsilaužėlis sugebėjo gauti piniginės sėklų iš visų, kurie naudojo „Trinity“ darbalaukio piniginę, kol pažeidžiamumas buvo aktyvus.

Atsakydama Cara Harbour, „Iota“ fondo komunikacijos direktorė, „Cointelegraph“ teigė, kad įmonė į šį incidentą žiūri labai rimtai ir tam skirta komanda dirba visą parą, kad nustatytų problemą ir kuo greičiau rastų sprendimą. Ji pridūrė:

„Pažeidžiamumas buvo tik„ Trinity Desktop “piniginėje ir iš tikrųjų atsirado dėl„ Moonpay “integracijos. Pačioje IOTA ar protokole nėra pažeidžiamumo. Nors tai gaila, „Iota“ fondo veiksmai rodo, kad rimtai žiūrime į projektą ir jo vartotojus “.

Kaip jis nusileido?

Norėdami geriau suprasti situaciją, „Cointelegraph“ kalbėjo su „Obyte“, nukreiptos aciklinės grafikos platformos, kūrėju Casperiu Niebe, kuris mano, kad įsilaužimo laiko juosta greičiausiai atrodė taip:

Pirma, kai „MoonPay“ papildinys pirmą kartą buvo įtrauktas į „Trinity“ beta versiją, blogo žaidimo nebuvo aptikta. Tada papildinys buvo įtrauktas į ne beta versiją, leidžiančią įsilaužėliui pradėti rinkti pradinius žodžius iš tų, kurie naudojasi pažeista pinigine.

Tada „MoonPay“ žmonės pastebi, kad kažkas negerai, ir išjungė API raktą, tačiau jiems nepavyko pranešti „Iota Foundation“. Šiuo metu įsilaužėlis pradėjo ištuštinti pinigines su dideliu balansu, naudodamas piniginės sėklas, surinktas, kol piniginės buvo atidengtos. Iota pastebėjo ir uždarė koordinatorių, o tai neleido patvirtinti jokių kitų sandorių.

Anot Niebe’o, užpuolikas sugebėjo įleisti savo kodą į „MoonPay“ papildinį. Kenkėjiškas kodas greičiausiai sugriebė piniginės sėklas iš platformos ir išsiuntė jas užpuolikui.

Be to, į „MoonPay“ papildinį buvo įtraukta trečiosios šalies operatoriaus biblioteka, o vietoj to, kad lauktų versijos, kuri „Trinity“ piniginės kūrėjams būtų leidusi tiksliai žinoti, su kuo jie dirba, integruota / išleidžiama kištukas. -iš pažiūros buvo paskubėta, pagal į „Iota“ tinklaraščio įrašą.

Taigi, kadangi išnaudojimas greičiausiai buvo aktyvus ilgą laiką, užpuolikas sugebėjo gauti kur kas daugiau piniginės sėklų nei tos, kurios buvo naudojamos iš tikrųjų pavogiant žetonus. Jame taip pat paminėta, kad „MoonPay“, atrodo, nežinojo apie problemą, kol ji iš tikrųjų kilo.

Išsakydama savo mintis šia tema, Harbour pareiškė, kad minėtas įvykis „Iota“ komandai parodė, kad jiems reikia ypač rimtai atsižvelgti į savo saugumą, ypač trečiųjų šalių teikėjų atžvilgiu. Ji taip pat manė:

„Mes labai rimtai žiūrime į šį atakos atvejį ir niekaip nesumažinome poveikio, kurį jis padarė mūsų bendruomenei. Tai liudija veiksmai ir skaidrumas, kurių ėmėsi „Iota“ fondas “.

Atrodo, kad vagystė buvo gana įmantri

Manoma, kad dėl minėto pažeidimo piktadariams reikėjo turėti tam tikrą techninį meistriškumą rašant kodą, nes ataka nebuvo nereikšminga. Šiuo atžvilgiu „Iota“ fondas, atlikdamas tyrimą, nustatė keletą pakartoto kodo pakartojimų, kurie iš esmės parodė, kad įsilaužėlis naudojo „bandymų ir klaidų“ režimą..

Žiūrint iš techninės pusės, įrodymai rodo, kad įsilaužėlis pradėjo rankiniu būdu pavogti žetonus iš pažeistų piniginių po to, kai pažeidžiamumą užtaisė „MoonPay“. Užpuolikas pervedė lėšas iš labai riboto skaičiaus piniginių per kelias kitas pinigines.

Kiekvieną kartą, kai pavogta suma perėjo per piniginę, kiekvienoje piniginėje liko po 28 „GigaIOTA“ (t. Y. 28 000 „MIOTA“ žetonų) – kurių vertė tuo metu buvo maždaug 9 000 USD. Ši suma greičiausiai buvo pasirinkta, nes ji buvo pakankamai maža, kad būtų išvengta automatinių mainų saugumo priemonių. Tačiau lėšų pervedimo iš vienos piniginės į kitą greitis svyravo nuo 10 iki 20 minučių. Jei operacijos būtų atliktos užpuoliko parašytu automatizuotu scenarijumi, visas procesas galėjo būti užbaigtas daug greičiau ir tikrai su mažiau skirtingais intervalais tarp perkėlimų. Niebe atkreipė dėmesį:

„Pagrindinis pavogtų lėšų pervedimo rankiniu būdu požymis yra 28 GigaIOTA kiekis, likęs kiekvienoje piniginėje, kurią jis perėjo. Išskiriami du sandorių „grandinės“ sandoriai, kurie pavogtas lėšas paskirsto keliose piniginėse. Vienas yra 2,8 GigaIOTA, o tai rodo, kad suma buvo įvesta trūkstant „0“ skaitmens. Kitas sandoris buvo tik 2 „GigaIOTA“, nurodant, kad įvesdami sumą jie praleido „8“ skaitmenį. Tos klaidos nebūtų buvę, jei perkėlimai būtų atliekami naudojant scenarijų “.

Nors šie techniniai aspektai yra tik rodikliai, atrodo, kad jie rodo scenarijų, kai tikrąjį pažeidžiamumą atrado ir panaudojo užpuolikas, kuris tada pardavė daugiausiai žetonų turinčių piniginių sėklas daug mažiau techniškai išmanantiems..

Du nenormalūs sandoriai – 2,8 „GigaIOTA“ ir 2 „GigaIOTA“ – galima pamatyti tinklo naršyklėje.

„Tangle“ „koordinatoriaus“ mazgas vis dar sulaikytas po pažeidimo

Šiuo metu „Iota“ veikia atskirame tinkle „Tangle“. Tačiau jo „koordinatoriaus“ mazgas, skirtas užkirsti kelią atakoms, šiuo metu yra sustabdytas po neseniai įvykusio pažeidimo. Koordinatorius taip pat gali būti laikomas didžiuliu, centralizuotu įjungimo / išjungimo jungikliu, kuris buvo išjungtas, kad išgelbėtų tinklą nuo papildomų pažeidimų. Dabar patvirtinta, kad mazgas bus vėl suaktyvintas kovo 10 d., Kai MIOTA turėtojai imsis būtinų veiksmų savo piniginėms apsaugoti, įrengdami firmos vėliausiai sėklų migracijos įrankis.

Nors „Iota“ fondas buvo priverstas internetu išjungti visą tinklą, tai, kad jau buvo pavogta 2 milijonų dolerių vertės žetonų, reiškia, kad toks žingsnis neabejotinai buvo būtinas. Pateikdamas savo įžvalgas šiuo klausimu, „HASHWallet“ įkūrėjas ir generalinis direktorius Danielis Hernandezas Rodriguezas sakė „Cointelegraph“, kad nagrinėjamas klausimas nėra visiškai susijęs su aptariamomis „Iota“ piniginėmis, bet taip pat susijęs su su jais susijusiais internetiniais generatoriais ir pridūrė:

„Kiekviena programinė įranga, generuojanti sėklas, gali būti nulaužta. Sėklos turi būti generuojamos ir saugomos izoliuotoje sistemoje, kad niekas neturėtų prieigos nei prie jų, nei prie generavimo sistemos, jei ne TRNG („True Random Number Generation“) sistema “.

Kalbėdamas apie išpuolį ir padarytos žalos mastą, Harbouras teigė, kad kadangi Iota komanda nebuvo tikra dėl išpuolio sunkumo – ty, kiek sėklų buvo pavogta iš „Trinity“ piniginių per pažeidžiamumą, įmonė priėmė sunkų sprendimą sustabdyti koordinatorių, kad užpuolikas neišgautų daugiau žetonų. Tada Harbour pridūrė:

„Žmonės, mažiau susipažinę su„ Iota “, klaidingai aiškino faktą, kad šiuo metu„ Iota “turi koordinatorių, ir tai rodo, kad tinklas nėra decentralizuotas. Šiuo metu „Iota“ tinklas yra decentralizuotas su keliais šimtais mazgų, išduodančių ir patvirtinančių operacijas. Patvirtinimo procesas remiasi gairėmis, kurias išduoda koordinatorius ir patvirtina visas tinklas; kitaip tariant, operacijų baigtinumas iš tikrųjų priklauso nuo šio centralizuoto komponento. Tačiau visi mazgai patikrina visas operacijas ir nepriims jokių „neteisėtų veiksmų“ (pvz., Neteisingų operacijų patvirtinimo, dvigubų išlaidų ir pan.) Iš koordinatoriaus “.

Galiausiai Harbour taip pat atkreipė dėmesį į tai, kad kai kurie nesuprato, jog paskirstytosios knygos technologija vis dar yra gana nauja ir, kaip ir kiekvienam tokiam pasiūlymui, užtrunka šiek tiek laiko, kol ji pasieks pilną brandą.

Daugelis svarbių detalių vis dar kelia abejonių

Nors egzistuoja aiškūs rodikliai, rodantys, kad daugybė piniginės sėklų buvo pavogta, kai „MoonPay“ eksploatacija buvo aktyvi, jokiu būdu negalima įsitikinti, kurios sėklos buvo pavogtos, o kurios – ne..

Vienintelis dalykas šiuo metu yra tai, kad vartotojams, kurie naudojosi „Trinity“ piniginės darbalaukio versija, grėsė pavogti piniginės sėklas. Tai yra priežastis, kodėl „Iota“ fondas paprašė savo klientų nedelsiant pasinaudoti naujausiu įmonės migracijos įrankiu.

Be to, tai ne pirmas kartas, kai „Iota“ ekosistema gauna tokį saugumo pažeidimą. Prieš kelerius metus platforma susiduria dar vienas rimtas pažeidžiamumas, susijęs su jos vietiniais kriptografijos protokolais. Pokalbyje su „Cointelegraph“ Inalas Kardanovas – „Waves Platform“ – atvirojo kodo „blockchain“ ekosistemos kūrėjas – pabrėžė:

„Antras rimtas pažeidžiamumas per trejus metus atrodo labai pavojingas turėtojams ir ypač kūrėjams. Taigi, aš asmeniškai tikiuosi, kad daugelis kūrėjų ateityje vengs kurti „Iota“ produktus, nepaisant visų „Iota“ komandos pastangų sušvelninti problemą “.

Ar ateitis Iotai atrodo niūri??

Kaip minėta anksčiau, po to, kai paaiškėjo šis paskutinis saugumo galiojimo laikas, „Iota“ prarado šiek tiek daugiau nei 40% savo vertės ir lieka neaišku, kas atsitiks su prieigos rakto kaina, kai tinklas vėl suaktyvės kovo 10 d..

MIOTA / USD kainų diagrama nuo vasario 11 d. Šaltinis: Coin360.com

MIOTA / USD kainų diagrama nuo vasario 11 d. Šaltinis: Coin360.com

Be to, „Iota“ fondas teigia, kad jo „Tangle“ protokolas vis dar yra beta testavimo etape. Tačiau dėl to kyla klausimas: ar tai yra beta tinklas, ar jo žetonai bus laikomi beta žetonais ir ar jais tiesiog prekiaus beta biržose investuotojai, naudojantys beta pinigus? Ir jei projektas yra beta versijoje, kodėl verta skubėti pristatyti „MoonPay“ papildinį, nepakankamai kontroliuojant, ar jis įkels kodą iš išorinio šaltinio?

Galiausiai, visa eilė ekspertų teigė, kad jei „Iota“ ekosistema būtų decentralizuota – net jei platforma prarastų 2 milijonus dolerių dėl įsilaužimo – tinklas galėjo likti įjungtas ir „Trinity“ piniginės problema galėjo būti tikriausiai gana greitai buvo išspręsta.

Taigi, vienas požiūris yra tas, kad esant decentralizuotai struktūrai „Iota“ fondas gali turėti užkirsti kelią gili rinkos katastrofa, su kuria dabar susiduria – kuri gali būti dar didesnė, jei žetonų turėtojai nuspręs išparduoti savo MIOTA žetonus, kai tinklas vėl prisijungs.

Rasti saugų būdą

Pradėjus įgyvendinti projektą „Iota“, buvo pažadėta naudoti trijų komponentų logiką (o ne dvejetainę), kad jos ekosistema būtų visiškai saugi ir atspari kvantinių kompiuterių atakoms. Tačiau po to, kai daugelį metų nebuvo padaryta apčiuopiamos pažangos šia linkme, ši koncepcija, atrodo, buvo atsisakyta – todėl daugelis manė, kad platforma vis dar yra pažeidžiama įvairių išorinių grėsmių. Niebe pasidalijo mintimis šiuo klausimu:

„Jie sutelkė dėmesį į būdą, kaip beveik trejus metus saugiai išjungti koordinatorių, iš pradžių tvirtindami, kad jis turėjo vykti tik tol, kol per„ Tangle “praeis pakankamai didelis sandorių skaičius. Tai taip pat pasirodė netiesa. Taigi, kaip juokavo kai kurie vartotojai: „Iota iš tikrųjų tapo brangiausia egzistuojančia centralizuota skaičiuokle.“

Šiuo klausimu Harbour sakė „Cointelegraph“, kad laipsniška decentralizacija, kai tinklas auga ir stiprėja, yra gana įprasta – to paties pavyzdžiu nurodydamas „Bitcoin“ (BTC) ir pridurdamas:

„Pašalinus koordinatorių,„ Iota “įvykdys savo pažadą kaip pati pirmoji prieinama„ decentess “ir„ scalable “paskirstytosios knygos technologija. „Iota“ prigimtis yra svarbi daiktų interneto ateičiai “.