Власники гаманців IOTA повідомили про факти крадіжки токенів з належних їм гаманців. За попередніми даними, викрадено цифрові активи на суму близько $4 мільйонів.
Причиною стали шкідливі онлайн-генератори секретних фраз для гаманців, які використовуються зловмисниками, особи яких поки не встановлено.
При створенні нового гаманця IOTA, користувач повинен ввести seed-фразу, що складається з 81 символу. На сайті HelloIOTA розміщена інформація про декілька варіантів розв’язання цієї задачі. Один з них – використання seed-генератора на основі IPFS. Інший варіант – згенерувати ключ за допомогою Mac або Linux-терміналу. Обидва ці способи не можна назвати простими, тому, що не володіють необхідними для їх застосування знаннями користувачі звертаються до більш простих рішень – онлайн генераторам seed – фраз.
iotaseed.io, найбільш популярний для цієї мети сайті, в даний час не працює – виводиться повідомлення: «Вибачте, ми закриті».
Раніше, для створення секретної фрази генератор просив користувача хаотично рухати мишкою, при цьому «генерувалася випадковість» необхідної для реєстрації гаманця фрази.
Представник IOTA Evangelist Network Ральф Роттман (Ralf Rottmann) пояснив: хакерам були відомі seed-фрази гаманців жертв. Щоб не дати потерпілим можливості відновити викрадені кошти, зловмисники застосували DDoS-атаку на повні вузли мережі IOTA.
Зараз співтовариство делегатів повних вузлів зайнятий виробленням різних стратегій для підвищення стійкості та захисту публічних нсд при подібних DDoS-атаках.
Користувачів неодноразово попереджали, що при використанні простих генераторів seed-фраз необхідно міняти місцями частини цих фраз для ускладнення і зниження ризику злому. Розробники неодноразово заявляли, що дана уразливість не має відношення до технологій платформи і пов’язана безпосередньо з генераторами секретних фраз.
Відомо, що в грудні минулого року компанія отримала хвилю критики, пов’язану із спростуванням інформації про партнерство IOTA і Microsoft. Керівництво звинуватили в навмисному спотворенні інформації з метою маніпуляцій на ринку.
Це не перший випадок крадіжки методом розкрадання seed-фрази. Раніше повідомлялося про подібному випадку з гаманцями BlackWallet. Хакерам вдалося перехопити DNS запис домену і викрасти $400 тисяч токенах мережі Stellar – Lumen (XLM).
Thanks!
Our editors are notified.