เป็นเวลากว่าสองสัปดาห์แล้วที่เครือข่าย Iota มี ถูกลง, ด้วยผู้ถือโทเค็น MIOTA ไม่สามารถอำนวยความสะดวกในการทำธุรกรรมใด ๆ ได้ตั้งแต่วันที่ 12 กุมภาพันธ์เนื่องจากแฮกเกอร์สามารถทำเงินได้มากกว่า 2 ล้านดอลลาร์จากกระเป๋าเงิน Trinity ดั้งเดิมของ Iota ทำให้โครงการ แพ้ ประมาณ 40% ของมูลค่าซึ่งได้รับการขนานนามว่ามีมูลค่าเกือบ 400 ล้านดอลลาร์นับตั้งแต่ปิดเครือข่าย.
มูลนิธิไอโอตะมี downplayed ความรุนแรงของการแฮ็ก แต่ตัวบ่งชี้หลายตัวชี้ให้เห็นว่ากระเป๋าเงินจำนวนมากอาจถูกบุกรุกมากกว่าที่ Iota Foundation ได้ประกาศไว้ และในขณะที่เงินอาจถูกขโมยไปจากกระเป๋าเงินจำนวน จำกัด แต่ช่องโหว่ที่เป็นปัญหานั้นน่าจะมีอยู่เป็นระยะเวลานาน นอกจากนี้ยังมีความเป็นไปได้ค่อนข้างมากที่แฮ็กเกอร์สามารถรับเมล็ดกระเป๋าสตางค์ได้จากทุกคนที่ใช้กระเป๋าเงินเดสก์ท็อป Trinity ในขณะที่ช่องโหว่ยังทำงาน.
ในการตอบสนอง Cara Harbor ผู้อำนวยการฝ่ายสื่อสารของมูลนิธิ Iota กล่าวกับ Cointelegraph ว่า บริษัท กำลังดำเนินการกับเหตุการณ์นี้อย่างจริงจังและทีมงานที่ทุ่มเททำงานตลอดเวลาเพื่อระบุปัญหาและหาทางแก้ไขโดยเร็วที่สุด เธอเพิ่ม:
“ ช่องโหว่ที่มีอยู่ในกระเป๋าเงิน Trinity Desktop เท่านั้นและแท้จริงแล้วเกิดจากการรวม Moonpay ไม่มีช่องโหว่ใน IOTA เองหรือโปรโตคอล แม้ว่าจะเป็นเหตุการณ์ที่โชคร้าย แต่การดำเนินการของมูลนิธิ Iota แสดงให้เห็นว่าเราจริงจังกับโครงการและผู้ใช้ของโครงการ “
มันลงไปได้อย่างไร?
เพื่อให้เข้าใจสถานการณ์ได้ดีขึ้น Cointelegraph ได้พูดคุยกับ Casper Niebe ผู้พัฒนาของ Obyte ซึ่งเป็นแพลตฟอร์มกราฟแบบ acyclic ที่กำหนดทิศทางซึ่งเชื่อว่าไทม์ไลน์สำหรับการแฮ็กมักจะมีลักษณะดังนี้:
ประการแรกเมื่อปลั๊กอิน MoonPay รวมอยู่ใน Trinity เวอร์ชันเบต้าครั้งแรกจะไม่พบการเล่นผิดกติกา จากนั้นปลั๊กอินจะรวมอยู่ในเวอร์ชันที่ไม่ใช่เบต้าทำให้แฮ็กเกอร์สามารถเริ่มรวบรวมคำเมล็ดพันธุ์จากผู้ที่ใช้กระเป๋าเงินที่ถูกบุกรุกได้.
จากนั้นผู้คนที่ MoonPay สังเกตเห็นว่ามีบางอย่างผิดปกติและปิดคีย์ API ของพวกเขา แต่พวกเขาไม่สามารถแจ้งมูลนิธิ Iota ณ จุดนี้แฮ็กเกอร์เริ่มล้างกระเป๋าสตางค์ที่มียอดคงเหลือจำนวนมากโดยใช้เมล็ดกระเป๋าสตางค์ที่เก็บรวบรวมในขณะที่กระเป๋าสตางค์ถูกเปิดเผย Iota สังเกตเห็นและปิดตัวประสานงานซึ่งทำให้ไม่สามารถยืนยันธุรกรรมใด ๆ ได้อีก.
จากข้อมูลของ Niebe ผู้โจมตีสามารถฉีดรหัสของตัวเองลงในปลั๊กอิน MoonPay ได้ โค้ดที่เป็นอันตรายมีแนวโน้มที่จะดึงเมล็ดกระเป๋าสตางค์จากแพลตฟอร์มและส่งไปยังผู้โจมตี.
นอกจากนี้ปลั๊กอิน MoonPay ยังรวมไลบรารีจากผู้ให้บริการบุคคลที่สาม – และแทนที่จะรอเวอร์ชันที่อนุญาตให้นักพัฒนาของกระเป๋าสตางค์ Trinity รู้ว่าพวกเขากำลังทำงานกับอะไรการรวม / การเปิดตัวของปลั๊ก – ดูเหมือนจะรีบร้อน, ตาม ไปยังบล็อกโพสต์ของ Iota.
ดังนั้นเนื่องจากการใช้ประโยชน์มีแนวโน้มที่จะใช้งานเป็นระยะเวลานานผู้โจมตีจึงสามารถรับเมล็ดกระเป๋าเงินได้มากกว่าที่ใช้ในการขโมยโทเค็นจริงๆ นอกจากนี้ยังระบุด้วยว่า MoonPay ดูเหมือนจะไม่ทราบถึงปัญหานี้ก่อนที่จะเกิดขึ้นจริง.
การแสดงความคิดของเธอเกี่ยวกับเรื่องนี้ Harbor ระบุว่าเหตุการณ์ดังกล่าวแสดงให้ทีม Iota เห็นว่าพวกเขาจำเป็นต้องให้ความสำคัญกับความปลอดภัยโดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สามเป็นเรื่องที่จริงจังมาก เธอให้ความเห็นเพิ่มเติม:
“ เราให้ความสำคัญกับเหตุการณ์การโจมตีนี้อย่างจริงจังและไม่ได้ลดผลกระทบที่มีต่อชุมชนของเรา แต่อย่างใด การดำเนินการและความโปร่งใสที่ดำเนินการโดยมูลนิธิ Iota เป็นเครื่องพิสูจน์ถึงสิ่งนั้น”
การขโมยดูเหมือนจะค่อนข้างซับซ้อนในการออกแบบ
เชื่อกันว่าการละเมิดดังกล่าวจำเป็นต้องให้ผู้ที่เข้าใจผิดต้องมีความสามารถทางเทคนิคจำนวนหนึ่งในการเขียนโค้ดเนื่องจากการโจมตีไม่ได้เป็นเรื่องเล็กน้อย ในเรื่องนี้ Iota Foundation ตรวจพบการทำซ้ำหลายครั้งของโค้ดที่แทรกเข้าไปในระหว่างการตรวจสอบซึ่งโดยพื้นฐานแล้วแนะนำว่าแฮ็กเกอร์ใช้โหมดการทำงานแบบ “ลองผิดลองถูก”.
จากมุมมองทางเทคนิคที่มากขึ้นดูเหมือนว่าหลักฐานจะบ่งชี้ว่าแฮ็กเกอร์เริ่มขโมยโทเค็นจากกระเป๋าสตางค์ที่ถูกบุกรุกด้วยตนเองหลังจากที่ MoonPay ได้รับการแก้ไขช่องโหว่ ผู้โจมตีได้ย้ายเงินจากกระเป๋าเงินจำนวน จำกัด ผ่านกระเป๋าเงินอื่น ๆ.
ทุกครั้งที่ขโมยผ่านกระเป๋าเงิน 28 GigaIOTA (เช่น 28,000 โทเค็น MIOTA) ซึ่งมีมูลค่าประมาณ 9,000 เหรียญในเวลานั้นจะถูกทิ้งไว้ในกระเป๋าเงินแต่ละใบ เงินจำนวนนี้น่าจะถูกเลือกเนื่องจากมีขนาดเล็กพอที่จะหลบหนีมาตรการรักษาความปลอดภัยอัตโนมัติของการแลกเปลี่ยน แต่ความเร็วในการโอนเงินจากกระเป๋าเงินหนึ่งไปยังกระเป๋าเงินถัดไปอยู่ระหว่าง 10 ถึง 20 นาที หากมีการทำธุรกรรมโดยสคริปต์อัตโนมัติที่เขียนโดยผู้โจมตีกระบวนการทั้งหมดอาจเสร็จได้เร็วขึ้นมากและแน่นอนโดยมีช่วงเวลาที่แตกต่างกันระหว่างการโอนน้อยลง Niebe ชี้ให้เห็น:
“ ข้อบ่งชี้ที่สำคัญเกี่ยวกับเงินที่ถูกขโมยซึ่งถูกย้ายด้วยตนเองคือจำนวน 28 GigaIOTA ที่เหลืออยู่ในกระเป๋าเงินแต่ละใบที่จ่ายผ่าน ธุรกรรมสองรายการใน “ห่วงโซ่” ของธุรกรรมที่กระจายเงินที่ถูกขโมยไปในกระเป๋าเงินหลายใบมีความโดดเด่น หนึ่งคือ 2.8 GigaIOTA ซึ่งระบุว่าจำนวนนั้นถูกป้อนด้วยตัวเลข ‘0’ ที่ขาดหายไป ธุรกรรมอื่นมีเพียง 2 GigaIOTA ซึ่งบ่งชี้ว่าพวกเขาพลาดตัวเลข ‘8’ เมื่อป้อนจำนวนเงิน ความผิดพลาดเหล่านั้นจะไม่เกิดขึ้นหากทำการโอนโดยใช้สคริปต์”
ในขณะที่เทคนิคเหล่านี้เป็นเพียงตัวบ่งชี้ แต่ดูเหมือนว่าจะชี้ไปที่สถานการณ์ที่ผู้โจมตีค้นพบและใช้ประโยชน์จากช่องโหว่ที่แท้จริงซึ่งขายเมล็ดพันธุ์ของกระเป๋าสตางค์ที่ถือโทเค็นจำนวนมากที่สุดให้กับผู้ที่มีความรู้ทางเทคนิคน้อยกว่ามาก.
ธุรกรรมที่ผิดปกติสองรายการ – จาก 2.8 GigaIOTA และ 2 GigaIOTA – สามารถมองเห็นได้ในตัวสำรวจเครือข่าย.
โหนด“ ผู้ประสานงาน” ของ Tangle ยังคงถูกระงับหลังจากเกิดการละเมิด
ปัจจุบัน Iota ทำงานบนเครือข่ายเฉพาะของตนเอง Tangle อย่างไรก็ตามโหนด “ผู้ประสานงาน” ซึ่งออกแบบมาเพื่อป้องกันการโจมตีกำลังถูกระงับหลังจากการละเมิดล่าสุด ผู้ประสานงานยังสามารถคิดได้ว่าเป็นสวิตช์เปิด / ปิดแบบรวมศูนย์ขนาดใหญ่ซึ่งถูกปิดเพื่อช่วยเครือข่ายจากความเสียหายเพิ่มเติม ขณะนี้ได้รับการยืนยันแล้วว่าโหนดจะเปิดใช้งานอีกครั้งในวันที่ 10 มีนาคมหลังจากที่ผู้ถือ MIOTA ดำเนินการตามขั้นตอนที่จำเป็นเพื่อปกป้องกระเป๋าเงินของตนโดยการติดตั้ง ล่าสุด เครื่องมือการย้ายเมล็ดพันธุ์.
ในขณะที่มูลนิธิ Iota ถูกทุบตีทางออนไลน์เพื่อปิดเครือข่ายทั้งหมดความจริงที่ว่าโทเค็นมูลค่า 2 ล้านดอลลาร์ถูกขโมยไปแล้วหมายความว่าขั้นตอนดังกล่าวมีความจำเป็นอย่างยิ่ง Daniel Hernandez Rodriguez ผู้ร่วมก่อตั้งและซีอีโอของ HASHWallet ให้ข้อมูลเชิงลึกแก่ Cointelegraph ว่าปัญหาที่เกิดขึ้นไม่ได้เกี่ยวข้องกับกระเป๋าเงิน Iota ทั้งหมดที่เป็นปัญหา แต่ยังเกี่ยวข้องกับเครื่องกำเนิดไฟฟ้าออนไลน์ที่เกี่ยวข้องด้วยโดยเพิ่ม:
“ ทุกระบบซอฟต์แวร์ที่สร้างเมล็ดพันธุ์สามารถแตกได้ เมล็ดพันธุ์จะต้องถูกสร้างและเก็บไว้ในระบบที่แยกได้ดังนั้นจึงไม่มีใครสามารถเข้าถึงเมล็ดพันธุ์เหล่านี้หรือเข้าสู่ระบบการสร้างได้หากไม่ใช่ระบบ TRNG (True Random Number Generation)”
เกี่ยวกับการโจมตีและขอบเขตของความเสียหายที่เกิดขึ้น Harbor ระบุว่าเนื่องจากทีมงาน Iota ไม่แน่ใจในความรุนแรงของการโจมตีนั่นคือจำนวนเมล็ดที่ถูกขโมยจาก Trinity wallets ผ่านช่องโหว่ – บริษัท ตัดสินใจยากที่จะ หยุดผู้ประสานงานเพื่อป้องกันไม่ให้ผู้โจมตีดึงโทเค็นเพิ่มเติม จากนั้นฮาร์เบอร์ก็เพิ่ม:
“ ผู้คนที่ไม่ค่อยคุ้นเคยกับ Iota ได้ตีความผิดว่า Iota มีผู้ประสานงานอยู่ในขณะนี้ซึ่งบ่งชี้ว่าเครือข่ายไม่ได้กระจายอำนาจ ปัจจุบันเครือข่าย Iota ได้รับการกระจายอำนาจโดยมีโหนดหลายร้อยโหนดที่ออกและตรวจสอบธุรกรรม กระบวนการยืนยันขึ้นอยู่กับเหตุการณ์สำคัญที่ออกโดยผู้ประสานงานและตรวจสอบความถูกต้องโดยเครือข่ายทั้งหมด กล่าวอีกนัยหนึ่งความสำเร็จของธุรกรรมขึ้นอยู่กับองค์ประกอบที่รวมศูนย์นี้ อย่างไรก็ตามทุกโหนดจะตรวจสอบธุรกรรมทั้งหมดและจะไม่ยอมรับ “การกระทำผิด” ใด ๆ (เช่นการอนุมัติธุรกรรมที่ไม่ถูกต้องการใช้จ่ายสองครั้ง ฯลฯ ) จากผู้ประสานงาน “
สุดท้ายนี้ Harbour ยังชี้ให้เห็นว่าบางคนไม่เข้าใจว่าเทคโนโลยีบัญชีแยกประเภทแบบกระจายยังค่อนข้างใหม่และเช่นเดียวกับข้อเสนอดังกล่าวต้องใช้เวลาพอสมควรกว่าจะครบกำหนด.
รายละเอียดสำคัญหลายอย่างยังคงเป็นที่สงสัย
แม้ว่าจะมีตัวบ่งชี้ที่ชัดเจนที่บ่งชี้ว่ามีการขโมยเมล็ดกระเป๋าเงินจำนวนมากเมื่อการใช้ประโยชน์จาก MoonPay ทำงานอยู่ แต่ก็ไม่มีทางที่จะตรวจสอบได้ว่าเมล็ดพันธุ์ใดถูกขโมยไปและเมล็ดพันธุ์ใดไม่ได้.
สิ่งเดียวที่แน่นอนในขณะนี้คือผู้ใช้ที่ใช้ Trinity wallet เวอร์ชันเดสก์ท็อปมีความเสี่ยงที่จะถูกขโมยกระเป๋าสตางค์ นี่คือเหตุผลที่ Iota Foundation ขอให้ลูกค้าใช้ประโยชน์จากเครื่องมือการย้ายข้อมูลล่าสุดของ บริษัท โดยทันที.
นอกจากนี้นี่ไม่ใช่ครั้งแรกที่ระบบนิเวศของ Iota ได้รับการยุติการละเมิดความปลอดภัยดังกล่าว ไม่กี่ปีที่ผ่านมาแพลตฟอร์ม ต้องเผชิญ ช่องโหว่ที่ร้ายแรงอีกประการหนึ่งที่เกี่ยวข้องกับโปรโตคอลการเข้ารหัสดั้งเดิม ในการสนทนากับ Cointelegraph Inal Kardanov ผู้สนับสนุนนักพัฒนาซอฟต์แวร์ Waves Platform ซึ่งเป็นระบบนิเวศบล็อคเชนแบบโอเพนซอร์สได้ชี้ให้เห็นสิ่งต่อไปนี้:
“ ช่องโหว่ที่ร้ายแรงครั้งที่สองในรอบสามปีดูอันตรายมากสำหรับผู้ถือครองและโดยเฉพาะนักพัฒนา ดังนั้นโดยส่วนตัวแล้วฉันคาดหวังว่านักพัฒนาซอฟต์แวร์จำนวนมากจะหลีกเลี่ยงการสร้างผลิตภัณฑ์บน Iota ในอนาคตแม้ว่าทีมงาน Iota จะพยายามอย่างเต็มที่เพื่อบรรเทาปัญหาก็ตาม”
อนาคตดูเยือกเย็นสำหรับ Iota หรือไม่?
ดังที่ได้กล่าวไว้ก่อนหน้านี้เนื่องจากการรักษาความปลอดภัยล่าสุดสิ้นสุดลง Iota ได้สูญเสียมูลค่าไปเล็กน้อยกว่า 40% และยังไม่ชัดเจนว่าจะเกิดอะไรขึ้นกับราคาของโทเค็นเมื่อเครือข่ายเปิดใช้งานอีกครั้งในวันที่ 10 มีนาคม.
กราฟราคา MIOTA / USD ตั้งแต่ 11 ก.พ. ที่มา: Coin360.com
นอกจากนี้ Iota Foundation ยังอ้างว่าโปรโตคอล Tangle ยังอยู่ในขั้นตอนการทดสอบเบต้า อย่างไรก็ตามสิ่งนี้ทำให้เกิดคำถาม: หากเป็นเครือข่ายเบต้าโทเค็นของมันจะถือว่าเป็นโทเค็นเบต้าหรือไม่และจะมีการซื้อขายในการแลกเปลี่ยนเบต้าโดยนักลงทุนโดยใช้เงินเบต้าหรือไม่ และถ้าโครงการอยู่ในช่วงเบต้าทำไมต้องรีบแนะนำปลั๊กอิน MoonPay โดยไม่มีการควบคุมที่เพียงพอว่าจะโหลดโค้ดจากแหล่งภายนอกหรือไม่?
สุดท้ายผู้เชี่ยวชาญหลายคนแย้งว่าหากระบบนิเวศของ Iota ได้รับการกระจายอำนาจ – แม้ในกรณีที่แพลตฟอร์มสูญเสียเงิน 2 ล้านดอลลาร์อันเป็นผลมาจากการแฮ็กเครือข่ายอาจเปิดอยู่และปัญหากระเป๋าเงิน Trinity อาจมี อาจได้รับการแก้ไขอย่างรวดเร็ว.
ดังนั้นมุมมองหนึ่งก็คือด้วยโครงสร้างการกระจายอำนาจมูลนิธิ Iota อาจมี ป้องกัน ความผิดพลาดของตลาดในระดับลึกที่กำลังเผชิญอยู่ในขณะนี้ซึ่งอาจได้รับผลกระทบที่ยิ่งใหญ่กว่านี้หากผู้ถือโทเค็นเลือกที่จะขายโทเค็น MIOTA ของตนเมื่อเครือข่ายกลับมาออนไลน์.
หาวิธีที่ปลอดภัย
เมื่อเริ่มต้นโครงการ Iota เริ่มต้นด้วยคำมั่นสัญญาในการใช้ตรรกะสามมิติ (แทนไบนารี) เพื่อทำให้ระบบนิเวศปลอดภัยอย่างสมบูรณ์และทนทานต่อการโจมตีจากคอมพิวเตอร์ควอนตัม อย่างไรก็ตามหลังจากหลายปีที่ไม่มีความคืบหน้าอย่างเป็นรูปธรรมในทิศทางนั้นแนวคิดในตอนนี้ดูเหมือนจะถูกทิ้งไป – ทำให้หลายคนเชื่อว่าแพลตฟอร์มยังคงเสี่ยงต่อภัยคุกคามจากภายนอกต่างๆ Niebe แบ่งปันความคิดของเขาเกี่ยวกับเรื่องนี้:
“ พวกเขามุ่งเน้นไปที่การหาวิธีปิดตัวประสานงานอย่างปลอดภัยมาเกือบสามปีแล้วโดยในตอนแรกอ้างว่าต้องดำเนินการจนกว่าธุรกรรมจำนวนมากพอที่จะผ่าน Tangle ได้ นั่นก็กลายเป็นว่าไม่เป็นความจริง ดังที่ผู้ใช้บางคนพูดแบบติดตลกว่า: “Iota ได้กลายเป็นสเปรดชีตส่วนกลางที่มีราคาแพงที่สุด ”
ในเรื่องนี้ฮาร์เบอร์บอกกับ Cointelegraph ว่าการกระจายอำนาจแบบก้าวหน้าเมื่อเครือข่ายเติบโตและแข็งแกร่งเป็นเรื่องธรรมดาโดยชี้ไปที่ Bitcoin (BTC) เป็นตัวอย่างเดียวกันโดยเพิ่ม:
“ ด้วยการลบผู้ประสานงานออกไป Iota จะปฏิบัติตามสัญญาในฐานะเทคโนโลยีบัญชีแยกประเภทแบบกระจายศูนย์แบบกระจายอำนาจและปรับขนาดได้เป็นครั้งแรก ลักษณะที่ไม่เสียค่าใช้จ่ายของ Iota มีความสำคัญต่ออนาคตของ IoT”