Пользователи IOTA лишились $4 млн. в  результате использования онлайн-генераторов сидов

Сообщество IOTA потерпело крупную неудачу: несколько пользователей потеряли свои токены в результате широкомасштабной кражи.

Так, в минувшие выходные несколько пользователей IOTA скомпрометировали свои кошельки в результате того, что использовали сиды (секретные фразы для восстановления закрытого ключа), известные злоумышленникам. В результате этого хакерам удалось увести цифровой валюты на сумму около $4 млн., если сложить суммы потерянных средств, о которых сообщали пользователи на форуме HelloIOTA. Предупреждение не использовать онлайн-генераторы сидов также появилось в официальной ветке IOTA на Reddit.

IOTA-евангелист Ральф Ротман опубликовал на Medium пост под названием «Что случилось с IOTA прошлой ночью», в котором поясняет:

19 января 2018 года некоторые пользователи IOTA потеряли свои средства из-за действий неизвестного злоумышленника. Случай не связан с какими-либо уязвимостями технология IOTA, и она по-прежнему безопасна. Главная причина, из-за которой это произошло, заключается в том, что пользователи полагались на онлайн-генераторы для создания сидов, чего никогда не следует делать.

У криптовалютных кошельков есть пара открытых и закрытых ключей, и любой, у кого есть закрытый ключ, может контролировать средства в соответствующем кошельке. Учитывая, что секретные ключи трудно запомнить, кошельки поддерживают опцию использования мнемонических сид-фраз для их восстановления, чтобы обеспечить более удобный доступ.

Сид-фраза подобна закрытому ключу, и, если она украдена, это может привести к тому, что злоумышленник получит полный доступ к криптовалютным средствам. Это и произошло с пользователями IOTA, которые использовали сайты для генерации сидов (в частности, iotaseed.io, работа которого уже остановлена).

В то время как у большинства кошельков с криптовалютами есть встроенные сиды, у IOTA подобной функции нет: таким образом сервис побуждает пользователей создавать собственные сиды.

Вероятно, либо некоторые из онлайн-генераторов стали мишенью злоумышленников, либо стоящие за ними люди хранили сгенерированные сиды, чтобы использовать их в подходящее время. Так, в момент кражи на несколько полных узлов IOTA велись DDoS-атаки, что мешало доступу пользователей к своим кошелькам и находящимся в них средствам.

Следует отметить, что противоправные транзакции невозможно отменить в силу устройства распределённого реестра.

В своём посте на Medium Ральф Ротман ещё раз подчеркнул, что атака никак не связана с безопасностью IOTA:

С чисто технической точки зрения все транзакции, которые происходили в результате этой атаки, законны. Нападавшим эти сиды были известны. Вы сами привели их в свои кошельки, вручив ключи на блюдечке.

На момент подготовки данного материала стоимость токенов IOTA составляет $2,82: пропажа монет, кажется, не отразилась на цене. Вполне возможно, что злоумышленники подождут, пока цена подрастёт, и сбросят украденное.