Iotaは、オフラインで20日後にネットワークを再度有効にする計画を立てます

2週間以上、Iotaネットワークは ダウンしていた, 2月12日以降、MIOTAトークン所有者は取引を促進できなくなりました。これは、ハッカーがIotaのネイティブTrinityウォレットから200万ドル以上を稼ぐことができたため、プロジェクトが 失う ネットワークがオフになってから、その価値の約40%(約4億ドルの価値があると宣伝されています).

IotaFoundationには 軽視 ハッキングの重大度ですが、多くの指標は、IotaFoundationがこれまでに発表したよりもはるかに多くのウォレットが侵害された可能性があることを示唆しています。また、限られた数のウォレットから資金が盗まれただけかもしれませんが、問題の脆弱性は長期間存在していた可能性があります。ハッカーが、脆弱性がアクティブな間にTrinityデスクトップウォレットを使用したすべての人からウォレットシードを取得できた可能性も十分にあります。.

これに対し、IotaFoundationのコミュニケーションディレクターであるCaraHarbourは、Cointelegraphに対し、同社はこの事件を非常に深刻に受け止めており、専任チームが24時間体制で問題を特定し、できるだけ早く解決策を見つけるよう取り組んでいると語った。彼女は付け加えた:

「目前の脆弱性はTrinityDesktopウォレット内にのみ存在し、実際にMoonpayの統合によって引き起こされました。 IOTA自体またはプロトコルに脆弱性はありません。残念な出来事ですが、Iota Foundationの行動は、私たちがプロジェクトとそのユーザーに真剣に取り組んでいることを示しています。」

どうやって落ちたの??

状況をよりよく理解するために、Cointelegraphは、有向非巡回グラフプラットフォームであるObyteの開発者であるCasper Niebeと話をしました。彼は、ハッキングのタイムラインは次のようになっている可能性が高いと考えています。

まず、MoonPayプラグインが最初にTrinityのベータ版に含まれたとき、不正なプレイは検出されませんでした。その後、プラグインは非ベータ版に含まれ、ハッカーは侵害されたウォレットを使用している人からシードワードの収集を開始できるようになりました.

その後、MoonPayの人々は何かがおかしいことに気づき、APIキーをオフにしましたが、IotaFoundationに通知できませんでした。この時点で、ハッカーは、ウォレットが公開されている間に収集されたウォレットシードを使用して、大きな残高でウォレットを空にし始めました。 Iotaはコーディネーターに気づき、シャットダウンしました。これにより、それ以上のトランザクションが確認されなくなりました。.

Niebeによると、攻撃者は独自のコードをMoonPayプラグインに挿入することができました。悪意のあるコードがプラットフォームからウォレットシードを取得し、攻撃者に送信した可能性があります.

さらに、MoonPayプラグインには、サードパーティのオペレーターからのライブラリが含まれていました。Trinityウォレットの開発者が何を扱っているかを正確に知ることができるバージョンを待つ代わりに、プラグインの統合/リリース-急いでいたようです, によると Iotaのブログ投稿へ.

したがって、エクスプロイトは長期間アクティブである可能性が高いため、攻撃者は実際にトークンを盗むために使用されたものよりもはるかに多くのウォレットシードを取得することができました。また、MoonPayは、実際に問題が発生する前は、この問題に気付いていなかったようです。.

Harbourは、この件についての考えを表明し、前述のイベントにより、Iotaチームは、特にサードパーティプロバイダーに関してセキュリティを非常に真剣に受け止める必要があることを示したと述べました。彼女はさらに意見を述べた:

「私たちはこの攻撃事件を非常に深刻に受け止めており、それが私たちのコミュニティに与えた影響を最小限に抑えていません。 Iota Foundationがとった行動と透明性は、その証拠です。」

盗難は非常に洗練されたデザインのようです

前述の違反は、攻撃が本質的に些細なものではなかったため、悪意のある人がコードを書く際にある程度の技術力を持っている必要があると考えられています。この点で、Iota Foundationは調査中に挿入されたコードの反復を数回検出しました。これは基本的に、ハッカーが「試行錯誤」モードの操作を採用していることを示唆しています。.

より技術的な観点からは、MoonPayによって脆弱性にパッチが適用された後、ハッカーが侵害されたウォレットからトークンを手動で盗み始めたことを証拠が示唆しているようです。攻撃者は、非常に限られた数のウォレットから他のいくつかのウォレットを介して資金を移動しました.

盗まれた金額がウォレットを通過するたびに、28 GigaIOTA(つまり、28,000 MIOTAトークン)(当時は約9,000ドル相当)が各ウォレットに残されました。この金額は、取引所の自動セキュリティ対策を回避するのに十分小さいため、おそらく選択されました。しかし、あるウォレットから次のウォレットに資金が送金される速度は、10分から20分の範囲でした。攻撃者によって作成された自動化されたスクリプトによってトランザクションが行われた場合、転送間の変動間隔が少なく、プロセス全体がはるかに高速かつ確実に完了する可能性があります。ニエベは指摘した:

「盗まれた資金が手動で移動されたことの主な兆候は、通過した各ウォレットに残っている28GigaIOTAの量です。盗まれた資金をいくつかのウォレットに分散させるトランザクションの「チェーン」内の2つのトランザクションが際立っています。 1つは2.8GigaIOTAで、これは金額が「0」桁の欠落で入力されたことを示します。別のトランザクションはわずか2GigaIOTAであり、金額を入力するときに「8」桁を見逃したことを示しています。スクリプトを使用して転送が行われた場合、これらの間違いは発生しなかったでしょう。」

これらの技術は単なる指標ですが、実際の脆弱性が攻撃者によって発見および悪用され、攻撃者が最大数のトークンを保持するウォレットのシードを技術的な知識がはるかに少ない人に販売したシナリオを示しているようです。.

2つの異常なトランザクション—の 2.8 GigaIOTA そして 2ギガイオタ —ネットワークエクスプローラーで確認できます.

Tangleの「コーディネーター」ノードは、違反後も保留中です

Iotaは現在、専用のネットワークであるTangleで実行されています。ただし、攻撃を防ぐように設計された「コーディネーター」ノードは、最近の侵害を受けて現在保留になっています。コーディネーターは、ネットワークを追加の損傷から保護するためにオフにされた、巨大な集中型のオン/オフスイッチのように考えることもできます。 MIOTA保有者が会社を設置してウォレットを保護するために必要な措置を講じた後、3月10日にノードが再アクティブ化されることが確認されました。 最新 シード移行ツール.

Iota Foundationはネットワーク全体をオフにしたことでオンラインで攻撃されましたが、200万ドル相当のトークンがすでに盗まれていたという事実は、そのような手順が間違いなく必要だったことを意味します。 HASHWalletの共同創設者兼CEOであるDanielHernandez Rodriguezは、この問題に関する洞察を提供し、Cointelegraphに、当面の問題は問題のIotaウォレットに完全に関連しているのではなく、それらに関連するオンラインジェネレーターにも関連していると述べました。

「シードを生成するすべてのソフトウェアシステムはクラックされる可能性があります。シードは、TRNG(True Random Number Generation)システムでない限り、シードや生成システムに誰もアクセスできないように、分離されたシステムで生成および保存する必要があります。」

攻撃と被害の程度に関して、ハーバーは、Iotaチームが攻撃の重大度、つまり脆弱性によってTrinityウォレットから何個のシードが盗まれたかについて確信が持てなかったため、会社は次のような難しい決断を下したと述べました。コーディネーターを停止して、攻撃者がさらにトークンを抽出しないようにします。その後、ハーバーは次のように追加しました。

「Iotaにあまり詳しくない人は、ネットワークが分散化されていないことを示すものとして、Iotaに現在コーディネーターがいるという事実を誤解しています。現在、Iotaネットワークは分散化されており、トランザクションを発行および検証する数百のノードがあります。確認プロセスは、コーディネーターによって発行され、ネットワーク全体によって検証されるマイルストーンに依存しています。言い換えれば、トランザクションの最終性は、実際、この集中化されたコンポーネントに依存します。ただし、すべてのノードがすべてのトランザクションを検証し、コーディネーターからの「不正行為」(無効なトランザクションの承認、二重支払いなど)を受け入れません。」

最後に、ハーバーはまた、分散型台帳テクノロジーがまだかなり新しいことを理解していない人もいることを指摘しました。そのような製品と同様に、完全に成熟するまでには時間がかかります。.

多くの重要な詳細はまだ疑わしい

MoonPayエクスプロイトがアクティブなときに多数のウォレットシードが盗まれたことを示唆する明確な指標がありますが、どのシードが盗まれ、どのシードが盗まれなかったかを確認する方法はありません。.

現時点で唯一確実なことは、デスクトップバージョンのTrinityウォレットを使用したユーザーは、ウォレットのシードを盗まれるリスクがあったということです。これが、IotaFoundationが顧客に同社の最新の移行ツールを迅速に利用するように求めた理由です。.

また、Iotaエコシステムがこのようなセキュリティ侵害を受けたのはこれが初めてではありません。数年前、プラットフォーム 直面した ネイティブの暗号化プロトコルに関連するもう1つの深刻な脆弱性。 Cointelegraphとの会話の中で、オープンソースのブロックチェーンエコシステムであるWavesPlatformの開発者であるInalKardanovは、次のように指摘しました。

「3年間で2番目に深刻な脆弱性は、所有者、特に開発者にとって非常に危険に見えます。したがって、問題を軽減するためのIotaチームのあらゆる努力にもかかわらず、多くの開発者が将来Iotaで製品を構築することを避けることを個人的に期待しています。」

イオタの将来は暗いように見えますか?

前述のように、この最新のセキュリティ失効が明るみに出て以来、Iotaはその価値の40%強を失い、3月10日にネットワークが再アクティブ化された後、トークンの価格がどうなるかは不明です。.

2月11日以降のMIOTA / USD価格チャート出典:Coin360.com

2月11日以降のMIOTA / USDの価格チャート。出典: Coin360.com

さらに、Iota Foundationは、Tangleプロトコルがまだベータテスト段階にあると主張しています。しかし、これは疑問を投げかけます:それがベータネットワークである場合、そのトークンはベータトークンと見なされ、ベータマネーを使用して投資家によってベータ取引所で取引されるだけですか?また、プロジェクトがベータ版の場合、外部ソースからコードをロードするかどうかを十分に制御せずに、MoonPayプラグインを急いで導入するのはなぜですか。?

最後に、多くの専門家が、Iotaエコシステムが分散化されていた場合、ハッキングの結果としてプラットフォームが200万ドルを失った場合でも、ネットワークはオンのままであり、Trinityウォレットの問題が発生した可能性があると主張しています。おそらく非常に迅速に修正されました.

したがって、1つの観点は、分散型の構造では、IotaFoundationが 防止 現在直面している深刻な市場の暴落—ネットワークがオンラインに戻ったときにトークン所有者がMIOTAトークンを売却することを選択した場合、さらに大きな打撃を受ける可能性があります.

安全な方法を見つける

Iotaプロジェクトは、開始時に、(バイナリではなく)3値論理を使用して、エコシステムを完全に安全にし、量子コンピューターからの攻撃に耐えることを約束して開始されました。しかし、その方向に具体的な進展が何年もなかった後、概念は現在廃棄されているようです。したがって、多くの人は、プラットフォームが依然としてさまざまな外部の脅威に対して脆弱であると信じています。ニエベはこの問題について彼の考えを共有しました:

「彼らは、ほぼ3年間、コーディネーターを安全にオフにする方法を見つけることに焦点を当ててきました。当初は、十分な数のトランザクションがTangleを通過するまで実行する必要があると主張していました。それも真実ではないことが判明しました。そのため、一部のユーザーが冗談めかして言っているように、「Iotaは事実上、現存する中で最も高価な集中型スプレッドシートになっています。」

この問題に関して、ハーバーはCointelegraphに、ネットワークの成長と強化に伴う漸進的な分散化はごく当たり前のことであると語りました。同じ例としてビットコイン(BTC)を指摘し、次のように付け加えました。

「コーディネーターの解任により、Iotaは、利用可能な最初の無料の分散型でスケーラブルな分散型台帳テクノロジーとしての約束を果たします。 Iotaの無料の性質は、IoTの将来にとって重要です。」