Facebook 
Pinterest Iota, 오프라인 20 일 후 네트워크 재 활성화 계획 발표
2 주 이상 Iota 네트워크는 아래로, MIOTA 토큰 보유자가 2 월 12 일 이후로 거래를 촉진 할 수 없었습니다. 해커가 Iota의 기본 Trinity 지갑에서 2 백만 달러 이상을 벌어 들일 수 있었기 때문입니다. 잃다 네트워크가 꺼진 이후 가치의 약 40 % (거의 4 억 달러 가치가 있다고 선전 됨).
Iota 재단은 경시 해킹의 심각성, 그러나 많은 지표에 따르면 Iota Foundation이 지금까지 발표 한 것보다 훨씬 더 많은 지갑이 손상되었을 수 있습니다. 그리고 제한된 수의 지갑에서만 자금을 도난 당했을 수 있지만 문제의 취약성은 오랜 기간 동안 존재했을 가능성이 있습니다. 또한 해커가 취약성이 활성화 된 동안 트리니티 데스크톱 지갑을 사용한 모든 사람으로부터 지갑 시드를 얻을 수 있었을 가능성이 높습니다..
이에 대한 대응으로 Iota Foundation의 커뮤니케이션 디렉터 인 Cara Harbour는 회사가이 사건을 매우 진지하게 받아들이고 있으며 전담 팀이 문제를 식별하고 가능한 한 빨리 해결책을 찾기 위해 24 시간 노력하고 있다고 코인 텔레그래프에 말했습니다. 그녀는 다음과 같이 덧붙였습니다.
“당면한 취약점은 Trinity Desktop 지갑에만 있었으며 실제로 Moonpay 통합으로 인해 발생했습니다. IOTA 자체 또는 프로토콜에는 취약성이 없습니다. 불행한 일이지만 Iota 재단의 행동은 우리가 프로젝트와 그 사용자에 대해 진지함을 보여줍니다.”
어떻게 내려 갔어?
상황을 더 잘 이해하기 위해 Cointelegraph는 방향성 비순환 그래프 플랫폼 인 Obyte의 개발자 인 Casper Niebe와 이야기를 나눴습니다. 그는 해킹의 타임 라인이 다음과 같을 가능성이 가장 높다고 생각합니다.
첫째, MoonPay 플러그인이 Trinity의 베타 버전에 처음 포함되었을 때 반칙이 감지되지 않았습니다. 플러그인은 비 베타 버전에 포함되어 해커가 손상된 지갑을 사용하는 사람들로부터 시드 단어 수집을 시작할 수 있습니다..
그런 다음 MoonPay의 사람들은 문제가 있음을 발견하고 API 키를 해제했지만 Iota Foundation에 알리지 못했습니다. 이 시점에서 해커는 지갑이 노출되는 동안 수집 한 지갑 시드를 사용하여 잔액이 많은 지갑을 비우기 시작했습니다. Iota는 코디네이터를 발견하고 종료하여 추가 거래가 확인되지 않도록했습니다..
Niebe에 따르면 공격자는 자신의 코드를 MoonPay 플러그인에 삽입 할 수있었습니다. 악성 코드는 플랫폼에서 지갑 시드를 가져와 공격자에게 보냈습니다..
또한 MoonPay 플러그인에는 타사 운영자의 라이브러리가 포함되어 있습니다. Trinity 지갑 개발자가 작업중인 내용을 정확히 알 수있는 버전을 기다리는 대신 플러그의 통합 / 출시 -in은 겉보기에 서두르는 것처럼 보였다, 따라 Iota 블로그 게시물에.
따라서 익스플로잇이 장기간 활성화되었을 가능성이 높기 때문에 공격자는 실제로 토큰을 훔치는 데 사용 된 것보다 훨씬 더 많은 지갑 시드를 얻을 수있었습니다. 또한 MoonPay가 실제로 발생하기 전에 문제를 인식하지 못한 것 같았습니다..
하버는 주제에 대한 그녀의 생각을 표현하면서 앞서 언급 한 이벤트가 Iota 팀에게 특히 제 3 자 제공 업체와 관련하여 보안을 매우 심각하게 받아 들여야한다는 것을 보여 주었다고 말했습니다. 그녀는 추가로 다음과 같이 말했습니다.
“우리는이 공격 사건을 매우 진지하게 받아들이고 어떤 식 으로든 우리 커뮤니티에 미치는 영향을 최소화하지 않았습니다. Iota 재단이 취한 조치와 투명성은 그 증거입니다.”
도난은 디자인면에서 상당히 정교한 것 같습니다.
공격은 본질적으로 사소한 것이 아니기 때문에 앞서 언급 한 위반으로 인해 악의가 코드를 작성하는 데 어느 정도의 기술적 능력을 보유해야한다고 생각됩니다. 이와 관련하여 Iota 재단은 조사 중에 삽입 된 코드의 여러 반복을 감지했으며 이는 기본적으로 해커가 “시행 및 오류”작동 모드를 사용했음을 시사했습니다..
좀 더 기술적 인 관점에서 보면 해커가 MoonPay에서 취약점을 패치 한 후 손상된 지갑에서 수동으로 토큰을 훔치기 시작했음을 보여주는 증거로 보입니다. 공격자는 매우 제한된 수의 지갑에서 여러 다른 지갑을 통해 자금을 이동했습니다..
훔친 금액이 지갑을 통과 할 때마다 28 GigaIOTA (즉, 28,000 MIOTA 토큰) (당시 약 $ 9,000 상당)가 각 지갑에 남았습니다. 이 금액은 거래소의 자동 보안 조치를 벗어날만큼 충분히 적었 기 때문에 선택되었을 가능성이 높습니다. 그러나 자금이 한 지갑에서 다음 지갑으로 이체되는 속도는 10 분에서 20 분 사이였습니다. 공격자가 작성한 자동화 된 스크립트에 의해 트랜잭션이 이루어 졌다면 전체 프로세스가 훨씬 더 빠르고 확실하게 완료 될 수 있으며 전송 사이의 간격이 줄어들 수 있습니다. Niebe는 다음과 같이 지적했습니다.
“훔친 자금이 수동으로 이동되었다는 주요 징후는 통과 한 각 지갑에 28 GigaIOTA가 남아 있다는 것입니다. 훔친 자금을 여러 지갑에 분산시키는 ‘체인’거래 중 두 가지가 두드러집니다. 하나는 2.8 GigaIOTA로, ‘0’숫자가 누락 된 금액이 입력되었음을 나타냅니다. 또 다른 거래는 2 GigaIOTA로, 금액을 입력 할 때 ‘8’숫자를 놓 쳤음을 나타냅니다. 스크립트를 사용하여 전송을 수행했다면 이러한 실수는 발생하지 않았을 것입니다.”
이러한 기술은 지표 일 뿐이지 만 공격자가 실제 취약점을 발견하고 악용 한 시나리오를 가리키는 것처럼 보입니다. 공격자가 가장 많은 수의 토큰을 보유한 지갑의 씨앗을 기술 지식이 훨씬 적은 사람에게 판매했습니다..
두 가지 비정상적인 거래 — 2.8 GigaIOTA 과 2 GigaIOTA — 네트워크 탐색기에서 볼 수 있습니다..
Tangle의 “코디네이터”노드는 위반 후에도 여전히 보류 상태입니다.
Iota는 현재 자체 전용 네트워크 인 Tangle에서 실행됩니다. 그러나 공격을 방지하도록 설계된 “코디네이터”노드는 최근 침해 이후 현재 보류 중입니다. 코디네이터는 추가 손상으로부터 네트워크를 보호하기 위해 꺼진 거대한 중앙 집중식 켜기 / 끄기 스위치로 생각할 수도 있습니다. 이제 MIOTA 보유자가 회사의 지갑을 설치하여 지갑을 보호하기 위해 필요한 조치를 취한 후 3 월 10 일에 노드가 다시 활성화 될 것으로 확인되었습니다. 최근 시드 마이그레이션 도구.
Iota 재단이 전체 네트워크를 차단 한 이유로 온라인에서 공격 당했지만 이미 2 백만 달러 상당의 토큰이 도난 당했다는 사실은 그러한 조치가 필요하다는 것을 의미합니다. HASHWallet의 공동 창립자이자 CEO 인 Daniel Hernandez Rodriguez는이 문제에 대한 통찰력을 제공하면서 Cointelegraph에 당면한 문제가 문제의 Iota 지갑과 전적으로 관련이있는 것이 아니라 관련 온라인 생성기와 관련이 있다고 말했습니다.
“씨앗을 생성하는 모든 소프트웨어 시스템은 깨질 수 있습니다. 시드는 분리 된 시스템에 생성 및 저장 되어야만 TRNG (True Random Number Generation) 시스템이 아니라면 아무도이 시드 나 생성 시스템에 액세스 할 수 없습니다.”
Harbour는 공격과 가해진 피해의 정도와 관련하여 Iota 팀이 공격의 심각성 (즉, 취약성을 통해 트리니티 지갑에서 도난당한 시드 수)을 확신 할 수 없었기 때문에 회사는 어려운 결정을 내 렸습니다. 공격자가 더 많은 토큰을 추출하지 못하도록 코디네이터를 중지하십시오. 하버는 다음을 추가했습니다.
“Iota에 익숙하지 않은 사람들은 Iota가 현재 코디네이터를 보유하고 있다는 사실을 네트워크가 분산되지 않았다는 표시로 잘못 해석했습니다. 현재 Iota 네트워크는 수백 개의 노드가 거래를 발행하고 검증하는 분산화되어 있습니다. 확인 프로세스는 코디네이터가 발행하고 전체 네트워크에서 검증 한 마일스톤에 의존합니다. 즉, 트랜잭션의 최종성은 실제로이 중앙 집중식 구성 요소에 달려 있습니다. 그러나 모든 노드는 모든 거래를 확인하고 코디네이터의 ‘잘못된 거래 승인, 이중 지출 등’을 허용하지 않습니다.”
마지막으로 Harbour는 분산 원장 기술이 여전히 상당히 새로운 기술이라는 사실을 일부 사람들이 이해하지 못했다고 지적했으며, 그러한 제안과 마찬가지로 완전한 성숙에 도달하는 데 시간이 걸립니다..
많은 중요한 세부 사항이 여전히 의문입니다
MoonPay 익스플로잇이 활성화되었을 때 많은 수의 지갑 시드가 도난 당했다는 명확한 지표가 있지만 어떤 시드가 도난 당했는지, 어떤 시드가 도난되지 않았는지 확인할 수있는 방법은 없습니다..
이 순간 유일한 확실한 점은 데스크톱 버전의 트리니티 지갑을 사용한 사용자가 지갑 시드를 도난 당할 위험이 있다는 것입니다. 이것이 Iota Foundation이 고객에게 회사의 최신 마이그레이션 도구를 즉시 사용하도록 요청한 이유입니다..
또한 Iota 생태계가 이러한 보안 침해를받은 것은 이번이 처음이 아닙니다. 몇 년 전, 플랫폼 직면 기본 암호화 프로토콜과 관련된 또 다른 심각한 취약점. Cointelegraph와의 대화에서 오픈 소스 블록 체인 생태계 인 Waves Platform의 개발자 옹호자 인 Inal Kardanov는 다음과 같이 지적했습니다.
“3 년 후 두 번째로 심각한 취약점은 보유자와 특히 개발자에게 매우 위험 해 보입니다. 따라서 저는 개인적으로 Iota 팀이 문제를 완화하기위한 모든 노력에도 불구하고 앞으로 많은 개발자가 Iota에서 제품을 구축하지 않을 것으로 기대합니다.”
Iota에게 미래가 어둡게 보입니까??
앞서 언급했듯이이 최신 보안 오류가 밝혀진 이후 Iota는 가치의 40 %를 조금 넘게 잃었고 네트워크가 3 월 10 일에 다시 활성화되면 토큰 가격에 어떤 일이 일어날 지 불분명합니다..
2 월 11 일 이후 MIOTA / USD 가격 차트 출처 : Coin360.com
또한 Iota Foundation은 Tangle 프로토콜이 아직 베타 테스트 단계에 있다고 주장합니다. 그러나 이것은 질문을 제기합니다. 만약 그것이 베타 네트워크라면, 그 토큰은 베타 토큰으로 간주 될 것이며, 베타 머니를 사용하여 투자자들이 베타 거래소에서 거래 될까요? 프로젝트가 베타 버전 인 경우 외부 소스에서 코드를로드할지 여부를 충분히 제어하지 않고 MoonPay 플러그인을 서두르는 이유?
마지막으로, 전체 전문가 호스트가 Iota 생태계가 탈 중앙화 되었다면-해킹으로 인해 플랫폼이 2 백만 달러를 잃는 경우에도-네트워크는 계속 켜져있을 수 있으며 트리니티 지갑 문제가 발생할 수 있다고 주장했습니다. 아마 아주 빨리 고쳐 졌을 겁니다.
따라서 한 가지 관점은 분산 된 구조를 통해 Iota 재단이 예방 현재 직면하고있는 심각한 시장 붕괴 — 네트워크가 다시 온라인 상태가되면 토큰 보유자가 MIOTA 토큰을 판매하기로 선택하면 더 큰 타격을 입을 수 있습니다..
안전한 길 찾기
처음부터 Iota 프로젝트는 생태계를 완전히 안전하고 양자 컴퓨터의 공격에 저항하기 위해 삼항 논리 (바이너리 대신)를 사용하겠다는 약속으로 시작되었습니다. 그러나 그 방향으로 수년 동안 가시적 인 진전이 이루어지지 않은 후, 개념은 이제 폐기 된 것으로 보이며 많은 사람들이 플랫폼이 여전히 다양한 외부 위협에 취약하다고 믿게되었습니다. Niebe는이 문제에 대한 자신의 생각을 공유했습니다.
“그들은 거의 3 년 동안 코디네이터를 안전하게 끌 수있는 방법을 찾는 데 집중 해 왔으며, 처음에는 충분히 많은 수의 트랜잭션이 Tangle을 통과 할 때까지만 실행해야한다고 주장했습니다. 그것은 또한 사실이 아닌 것으로 밝혀졌습니다. 따라서 일부 사용자가 농담으로 말했듯이 ‘Iota는 현존하는 가장 비싼 중앙 집중식 스프레드 시트가되었습니다.’”
이 문제와 관련하여 Harbor는 Cointelegraph에 네트워크가 성장하고 강화됨에 따라 점진적인 탈 중앙 화가 매우 흔한 일이라고 말했습니다. 동일한 예로 비트 코인 (BTC)을 가리키며 다음과 같이 덧붙였습니다.
“코디네이터가 제거됨에 따라 Iota는 사용 가능한 최초의 수수료없는 분산 형 및 확장 가능한 분산 원장 기술로서의 약속을 이행 할 것입니다. Iota의 수수료없는 특성은 IoT의 미래에 중요합니다. “