Το Iota παρουσιάζει σχέδιο για την επανενεργοποίηση του δικτύου μετά από 20 ημέρες εκτός σύνδεσης

Για πάνω από δύο εβδομάδες τώρα, το δίκτυο Iota έχει ήταν κάτω, με τους κατόχους διακριτικών της MIOTA να μην μπορούν να διευκολύνουν τις συναλλαγές από τις 12 Φεβρουαρίου. Αυτό οφείλεται στο γεγονός ότι ένας χάκερ μπόρεσε να αποζημιώσει με περισσότερα από 2 εκατομμύρια δολάρια από το εγγενές πορτοφόλι Trinity της Iota, προκαλώντας το έργο χάνω περίπου το 40% της αξίας του – το οποίο θεωρείται ότι αξίζει σχεδόν 400 εκατομμύρια δολάρια – από τότε που το δίκτυο απενεργοποιήθηκε.

Το Ίδρυμα Iota έχει υποτιμημένος τη σοβαρότητα του hack, αλλά μια σειρά από δείκτες υποδηλώνουν ότι πολύ περισσότερα πορτοφόλια θα μπορούσαν να έχουν παραβιαστεί από ό, τι έχει ανακοινώσει μέχρι τώρα το Ίδρυμα Iota. Και ενώ τα χρήματα ενδέχεται να έχουν κλαπεί μόνο από περιορισμένο αριθμό πορτοφολιών, η εν λόγω ευπάθεια πιθανότατα υπήρχε για μεγάλο χρονικό διάστημα. Είναι επίσης πολύ πιθανό ότι ο χάκερ μπόρεσε να αποκτήσει τους σπόρους του πορτοφολιού από όλους όσους χρησιμοποίησαν το πορτοφόλι επιφάνειας εργασίας Trinity ενώ η ευπάθεια ήταν ενεργή.

Σε απάντηση, η Cara Harbour, διευθυντής επικοινωνιών του Ιδρύματος Iota, δήλωσε στο Cointelegraph ότι η εταιρεία λαμβάνει πολύ σοβαρά αυτό το περιστατικό και ότι μια ειδική ομάδα εργάζεται όλο το εικοσιτετράωρο για να εντοπίσει το ζήτημα και να βρει μια λύση το συντομότερο δυνατό. Αυτή πρόσθεσε:

«Η ευπάθεια στο χέρι ήταν μόνο μέσα στο πορτοφόλι Trinity Desktop και πράγματι προκλήθηκε από την ενσωμάτωση του Moonpay. Δεν υπάρχει ευπάθεια στο ίδιο το IOTA ή στο πρωτόκολλο. Αν και είναι ένα ατυχές γεγονός, οι ενέργειες του Ιδρύματος Iota δείχνουν ότι είμαστε σοβαροί για το έργο και τους χρήστες του. “

Πώς πήγε κάτω?

Για να κατανοήσει καλύτερα την κατάσταση, ο Cointelegraph μίλησε με τον Casper Niebe, έναν προγραμματιστή στο Obyte, μια κατευθυνόμενη πλατφόρμα ακυκλικού γραφήματος, ο οποίος πιστεύει ότι το χρονοδιάγραμμα για το hack πιθανότατα μοιάζει με αυτό:

Πρώτον, όταν η προσθήκη MoonPay συμπεριλήφθηκε για πρώτη φορά στην έκδοση beta του Trinity, δεν εντοπίστηκε φάουλ. Η προσθήκη συμπεριλήφθηκε στη συνέχεια στην έκδοση χωρίς beta, επιτρέποντας στον εισβολέα να αρχίσει να συλλέγει λέξεις από αυτούς που χρησιμοποιούν το παραβιασμένο πορτοφόλι.

Στη συνέχεια, οι άνθρωποι στο MoonPay παρατήρησαν ότι κάτι δεν πήγε καλά και απενεργοποίησαν το κλειδί API τους, αλλά απέτυχαν να ενημερώσουν το Iota Foundation. Σε αυτό το σημείο, ο χάκερ άρχισε να αδειάζει πορτοφόλια με μεγάλα υπόλοιπα χρησιμοποιώντας τους σπόρους πορτοφολιού που συλλέχθηκαν ενώ τα πορτοφόλια ήταν εκτεθειμένα. Ο Iota παρατήρησε και έκλεισε τον συντονιστή, ο οποίος εμπόδισε την επιβεβαίωση τυχόν περαιτέρω συναλλαγών.

Σύμφωνα με τον Niebe, ο εισβολέας μπόρεσε να εισάγει τον δικό του κωδικό στην προσθήκη MoonPay. Ο κακόβουλος κώδικας πιθανότατα άρπαξε σπόρους πορτοφολιού από την πλατφόρμα και τους έστειλε στον εισβολέα.

Επιπλέον, η προσθήκη MoonPay περιελάμβανε μια βιβλιοθήκη από τρίτο χειριστή – και αντί να περιμένει μια έκδοση που θα επέτρεπε στους προγραμματιστές του πορτοφολιού Trinity να γνωρίζουν ακριβώς τι συνεργάζονται, την ενσωμάτωση / απελευθέρωση του βύσματος -σε φαινομενικά βιάστηκε, σύμφωνα με σε μια ανάρτηση ιστολογίου Iota.

Έτσι, επειδή η εκμετάλλευση ήταν πιθανότατα ενεργή για μεγάλο χρονικό διάστημα, ο εισβολέας μπόρεσε να αποκτήσει πολύ περισσότερους σπόρους πορτοφολιού από εκείνους που χρησιμοποιούσαν πραγματικά για να κλέψουν μάρκες. Αξίζει επίσης να αναφέρουμε ότι το MoonPay φαινόταν να αγνοεί το ζήτημα πριν προκύψει.

Εκφράζοντας τις σκέψεις της επί του θέματος, η Harbour δήλωσε ότι η προαναφερθείσα εκδήλωση έδειξε στην ομάδα της Iota ότι πρέπει να πάρουν την ασφάλειά τους – ειδικά όσον αφορά τους τρίτους παρόχους – εξαιρετικά σοβαρά. Επιπλέον, δήλωσε:

«Λαμβάνουμε αυτό το περιστατικό επίθεσης πολύ σοβαρά και δεν έχουμε ελαχιστοποιήσει την επίδραση που είχε στην κοινότητά μας με κανέναν τρόπο. Οι ενέργειες και η διαφάνεια που ανέλαβε το Ίδρυμα Iota αποτελούν απόδειξη αυτού. “

Η κλοπή φαίνεται να ήταν αρκετά εξελιγμένη στο σχεδιασμό

Πιστεύεται ότι η προαναφερθείσα παραβίαση απαιτούσε από τον κακόβουλο να κατέχει ένα ορισμένο ποσό τεχνικής ικανότητας στο να γράψει κώδικα, καθώς η επίθεση δεν ήταν ασήμαντη. Από την άποψη αυτή, το Ίδρυμα Iota εντόπισε αρκετές επαναλήψεις του εγχυθέντος κώδικα κατά τη διάρκεια της έρευνάς του, πράγμα που υποδηλώνει ότι ο χάκερ χρησιμοποίησε έναν τρόπο λειτουργίας «δοκιμής και σφάλματος».

Από πιο τεχνική άποψη, τα στοιχεία φαίνεται να υποδηλώνουν ότι ο χάκερ άρχισε να κλέβει χειροκίνητα tokens από τα παραβιασμένα πορτοφόλια μετά την επιδιόρθωση της ευπάθειας από τη MoonPay. Ο εισβολέας μετακίνησε χρήματα από έναν πολύ περιορισμένο αριθμό πορτοφολιών μέσω πολλών άλλων πορτοφολιών.

Κάθε φορά που το κλεμμένο ποσό περνούσε από ένα πορτοφόλι, 28 GigaIOTA (δηλαδή 28.000 μάρκες MIOTA) – αξίας περίπου 9.000 $ εκείνη τη στιγμή – έμειναν πίσω σε κάθε πορτοφόλι. Αυτό το ποσό επιλέχθηκε πιθανώς επειδή ήταν αρκετά μικρό για να ξεφύγει από τα αυτόματα μέτρα ασφαλείας των ανταλλαγών. Αλλά η ταχύτητα με την οποία τα χρήματα μεταφέρθηκαν από το ένα πορτοφόλι στο επόμενο κυμαινόταν μεταξύ 10 και 20 λεπτών. Αν οι συναλλαγές έγιναν από ένα αυτοματοποιημένο σενάριο γραμμένο από τον εισβολέα, ολόκληρη η διαδικασία θα μπορούσε να είχε ολοκληρωθεί πολύ πιο γρήγορα και σίγουρα με λιγότερα διαφορετικά διαστήματα μεταξύ των μεταφορών. Ο Niebe επεσήμανε:

«Μια σημαντική ένδειξη ότι τα κλεμμένα κεφάλαια έχουν μετακινηθεί με το χέρι είναι το ποσό των 28 GigaIOTA που απομένουν σε κάθε πορτοφόλι που πέρασε. Ξεχωρίζουν δύο από τις συναλλαγές στην «αλυσίδα» συναλλαγών που διαδίδουν τα κλεμμένα χρήματα σε διάφορα πορτοφόλια. Το ένα είναι 2,8 GigaIOTA, το οποίο δείχνει ότι το ποσό καταχωρίστηκε με ένα ψηφίο «0» που λείπει. Μια άλλη συναλλαγή ήταν μόνο 2 GigaIOTA, υποδεικνύοντας ότι έχασε το ψηφίο «8» κατά την εισαγωγή του ποσού. Αυτά τα λάθη δεν θα είχαν συμβεί αν οι μεταφορές έγιναν χρησιμοποιώντας ένα σενάριο. “

Ενώ αυτές οι τεχνικές είναι μόνο δείκτες, φαίνεται να δείχνουν ένα σενάριο όπου η πραγματική ευπάθεια ανακαλύφθηκε και εκμεταλλευόταν από έναν εισβολέα, ο οποίος στη συνέχεια πούλησε τους σπόρους των πορτοφολιών που κατέχουν τον μεγαλύτερο αριθμό μαρκών σε κάποιον πολύ λιγότερο τεχνικά γνώστης.

Οι δύο ανώμαλες συναλλαγές – από 2.8 GigaIOTA και 2 GigaIOTA – μπορείτε να το δείτε στον εξερευνητή δικτύου.

Ο κόμβος «συντονιστής» του Tangle παραμένει σε αναμονή μετά την παραβίαση

Η Iota τρέχει επί του παρόντος στο δικό της ειδικό δίκτυο, Tangle. Ωστόσο, ο κόμβος «συντονιστής» του – ο οποίος έχει σχεδιαστεί για την αποτροπή επιθέσεων – βρίσκεται σε αναμονή μετά την πρόσφατη παραβίαση. Ο συντονιστής μπορεί επίσης να θεωρηθεί σαν ένας τεράστιος, κεντρικός διακόπτης on / off, ο οποίος απενεργοποιήθηκε για να σώσει το δίκτυο από πρόσθετες ζημιές. Τώρα επιβεβαιώνεται ότι ο κόμβος θα επανενεργοποιηθεί στις 10 Μαρτίου, αφού οι κάτοχοι MIOTA λάβουν τα απαραίτητα μέτρα για να προστατεύσουν τα πορτοφόλια τους εγκαθιστώντας το αργότερο εργαλείο μετανάστευσης σπόρων.

Παρόλο που το Ίδρυμα Iota έχει διαγραφεί στο Διαδίκτυο για απενεργοποίηση ολόκληρου του δικτύου, το γεγονός ότι τα διακριτικά αξίας 2 εκατομμυρίων δολαρίων είχαν ήδη κλαπεί σημαίνει ότι ένα τέτοιο βήμα ήταν αναμφισβήτητα απαραίτητο. Παρέχοντας τις γνώσεις του σχετικά με το θέμα, ο Daniel Hernandez Rodriguez, συνιδρυτής και διευθύνων σύμβουλος της HASHWallet, δήλωσε στο Cointelegraph ότι το ζήτημα δεν σχετίζεται εξ ολοκλήρου με τα εν λόγω πορτοφόλια Iota, αλλά σχετίζεται επίσης με τις διαδικτυακές γεννήτριες που σχετίζονται με αυτά, προσθέτοντας:

«Κάθε σύστημα λογισμικού που δημιουργεί σπόρους μπορεί να σπάσει. Οι σπόροι πρέπει να δημιουργούνται και να αποθηκεύονται σε ένα απομονωμένο σύστημα, ώστε κανένας να μην έχει πρόσβαση σε αυτούς ούτε στο σύστημα παραγωγής, εάν όχι σε σύστημα TRNG (True Random Number Generation). “

Όσον αφορά την επίθεση και την έκταση της ζημιάς, ο Harbour δήλωσε ότι επειδή η ομάδα της Iota δεν ήταν σίγουρη για τη σοβαρότητα της επίθεσης – δηλ. Πόσους σπόρους είχαν κλαπεί από τα πορτοφόλια της Trinity λόγω της ευπάθειας – η εταιρεία έλαβε τη δύσκολη απόφαση να σταματήστε τον συντονιστή για να αποτρέψετε τον εισβολέα να εξαγάγει περισσότερα κουπόνια. Ο Harbour στη συνέχεια πρόσθεσε:

«Άνθρωποι λιγότερο εξοικειωμένοι με την Iota έχουν παρερμηνεύσει το γεγονός ότι η Iota έχει επί του παρόντος τον συντονιστή, ως ένδειξη ότι το δίκτυο δεν είναι αποκεντρωμένο. Επί του παρόντος, το δίκτυο Iota είναι αποκεντρωμένο με αρκετές εκατοντάδες κόμβους που εκδίδουν και επικυρώνουν συναλλαγές. Η διαδικασία επιβεβαίωσης βασίζεται σε ορόσημα που εκδίδονται από τον συντονιστή και επικυρώνονται από ολόκληρο το δίκτυο. Με άλλα λόγια, το τελικό αποτέλεσμα των συναλλαγών εξαρτάται από αυτό το κεντρικό στοιχείο. Ωστόσο, όλοι οι κόμβοι επαληθεύουν όλες τις συναλλαγές και δεν θα αποδεχθούν «παραβάσεις» (όπως έγκριση μη έγκυρων συναλλαγών, διπλών δαπανών κ.λπ.) από τον συντονιστή. “

Τέλος, ο Harbour επεσήμανε επίσης ότι ορισμένοι δεν κατάφεραν να καταλάβουν ότι η Τεχνολογία Κατανεμημένων Καθολικών είναι ακόμα αρκετά νέα, και όπως με οποιαδήποτε τέτοια προσφορά, χρειάζεται αρκετός χρόνος για να φτάσει σε πλήρη ωριμότητα.

Πολλές σημαντικές λεπτομέρειες είναι ακόμη αμφισβητήσιμες

Παρόλο που υπάρχουν σαφείς δείκτες που υποδηλώνουν ότι ένας μεγάλος αριθμός σπόρων πορτοφολιών είχαν κλαπεί όταν ήταν ενεργή η εκμετάλλευση MoonPay, δεν υπάρχει τρόπος να εξακριβωθεί ποιοι σπόροι έχουν κλαπεί και ποιοι δεν ήταν.

Το μόνο σίγουρο πράγμα αυτή τη στιγμή είναι ότι οι χρήστες που χρησιμοποίησαν την έκδοση επιτραπέζιου πορτοφολιού Trinity κινδύνευαν να κλέψουν τους σπόρους του πορτοφολιού τους. Αυτός είναι ο λόγος για τον οποίο το Ίδρυμα Iota ζήτησε από τους πελάτες του να κάνουν χρήση του τελευταίου εργαλείου μετεγκατάστασης της εταιρείας.

Επίσης, δεν είναι η πρώτη φορά που το οικοσύστημα Iota βρίσκεται στο τέλος της παραβίασης αυτής της ασφάλειας. Πριν από λίγα χρόνια, η πλατφόρμα αντιμέτωπος μια άλλη σοβαρή ευπάθεια που σχετίζεται με τα εγγενή κρυπτογραφικά πρωτόκολλά της. Σε μια συνομιλία με την Cointelegraph, ο Inal Kardanov – συνήγορος προγραμματιστών για το Waves Platform, ένα οικοσύστημα blockchain ανοιχτού κώδικα – επεσήμανε τα εξής:

«Μια δεύτερη σοβαρή ευπάθεια σε τρία χρόνια φαίνεται πολύ επικίνδυνη για τους κατόχους και ειδικά για προγραμματιστές. Έτσι, προσωπικά αναμένω ότι πολλοί προγραμματιστές θα αποφύγουν να κατασκευάσουν προϊόντα στο Iota στο μέλλον παρά τις προσπάθειες της ομάδας της Iota να μετριάσει το πρόβλημα. “

Το μέλλον μοιάζει ζοφερό για την Iota?

Όπως αναφέρθηκε προηγουμένως, από τότε που ήρθε στο φως αυτό το τελευταίο σφάλμα ασφαλείας, η Iota έχει χάσει λίγο περισσότερο από το 40% της αξίας της και παραμένει ασαφές τι θα συμβεί στην τιμή του διακριτικού μόλις το δίκτυο επανενεργοποιηθεί στις 10 Μαρτίου.

Διάγραμμα τιμών MIOTA / USD από τις 11 Φεβρουαρίου. Πηγή: Coin360.com

Διάγραμμα τιμών MIOTA / USD από τις 11 Φεβρουαρίου. Πηγή: Coin360.com

Επιπλέον, το Iota Foundation ισχυρίζεται ότι το πρωτόκολλο Tangle βρίσκεται ακόμη στη φάση δοκιμών beta. Ωστόσο, αυτό θέτει το ερώτημα: Εάν πρόκειται για δίκτυο beta, θα θεωρηθούν τα διακριτικά beta ως διακριτικά και θα ανταλλάσσονται μόνο σε ανταλλαγές beta από επενδυτές που χρησιμοποιούν χρήματα beta; Και αν το έργο είναι σε έκδοση beta, τότε γιατί βιαστικά να εισαγάγετε το πρόσθετο MoonPay χωρίς επαρκή έλεγχο εάν θα φορτώσει τον κώδικα από μια εξωτερική πηγή?

Τέλος, ένα πλήθος εμπειρογνωμόνων ισχυρίστηκε ότι εάν το οικοσύστημα Iota είχε αποκεντρωθεί – ακόμη και σε περίπτωση απώλειας της πλατφόρμας 2 εκατομμυρίων $ ως αποτέλεσμα του hack – το δίκτυο θα μπορούσε να παραμείνει ενεργοποιημένο και το ζήτημα του πορτοφολιού Trinity θα μπορούσε να έχει μάλλον διορθώθηκε αρκετά γρήγορα.

Έτσι, μια άποψη είναι ότι με μια αποκεντρωμένη δομή, το Ίota Ίδρυμα μπορεί να έχει προλαμβάνεται τη βαθιά συντριβή της αγοράς που αντιμετωπίζει αυτήν τη στιγμή – κάτι που θα μπορούσε να πάρει ακόμη μεγαλύτερο χτύπημα εάν οι κάτοχοι διακριτικών επιλέξουν να πουλήσουν τα μάρκες MIOTA τους μόλις το δίκτυο επανέλθει στο διαδίκτυο.

Εύρεση ασφαλούς τρόπου

Με την έναρξή του, το έργο Iota ξεκίνησε με την υπόσχεση της χρήσης τριαδικής λογικής (αντί του δυαδικού) για να κάνει το οικοσύστημά του εντελώς ασφαλές και ανθεκτικό σε επιθέσεις από κβαντικούς υπολογιστές. Ωστόσο, μετά από χρόνια που δεν σημειώθηκε απτή πρόοδος προς αυτή την κατεύθυνση, η ιδέα φαίνεται τώρα να έχει καταργηθεί – οδηγώντας έτσι πολλούς να πιστεύουν ότι η πλατφόρμα εξακολουθεί να είναι ευάλωτη σε διάφορες εξωτερικές απειλές. Ο Niebe μοιράστηκε τις σκέψεις του για το θέμα:

«Έχουν επικεντρωθεί στο να βρουν έναν τρόπο να κλείσουν με ασφάλεια τον συντονιστή για σχεδόν τρία χρόνια, αρχικά ισχυριζόμενοι ότι έπρεπε να εκτελεστεί μόνο μέχρι να περάσει αρκετός αριθμός συναλλαγών μέσω του Tangle. Αυτό αποδείχθηκε επίσης ότι δεν είναι αλήθεια. Έτσι, όπως ανέφεραν ορισμένοι χρήστες: «Η Iota έχει γίνει αποτελεσματικά το πιο ακριβό συγκεντρωτικό υπολογιστικό φύλλο που υπάρχει».

Όσον αφορά το θέμα, ο Harbour δήλωσε στον Cointelegraph ότι η προοδευτική αποκέντρωση καθώς το δίκτυο μεγαλώνει και ενισχύεται είναι πολύ συνηθισμένο – επισημαίνοντας το Bitcoin (BTC) ως παράδειγμα του ίδιου, προσθέτοντας:

«Με την απομάκρυνση του Συντονιστή, η Iota θα εκπληρώσει την υπόσχεσή της ως η πρώτη διαθέσιμη τεχνολογία, αποκεντρωμένη και επεκτάσιμη κατανεμημένη καθολική. Η αίσθηση του Iota είναι σημαντική για το μέλλον του IoT. “