Мошенники похитили $4 млн у пользователей IOTA через генератор seed-фраз
Держатели IOTA сообщили, что неизвестные злоумышленники похитили с их кошельков более $4 млн в криптовалюте. Как пишет CCN, все пострадавшие пользовались услугами сайта для генерации секретных фраз, оказавшегося впоследствии вредоносным.
— Nic Carter (@nic__carter) 21 января 2018 г.
Для создания IOTA-кошелька пользователи должны ввести 81-символьную секретную фразу. Однако поскольку инструмент для генерации seed-фраз не предоставляется автоматически, некоторые обратились к стороннему сайту iotaseed.io.
Для создания секретной фразы пользователям предлагалось несколько раз провести курсором мыши по экрану, что якобы позволяло «сгенерировать случайность», после чего они получали seed-фразу, удовлетворявшую требованиям кошелька.
После этого злоумышленники осуществили DDoS-атаку на известные полные ноды IOTA, чтобы не позволить жертвам восстановить свои средства.
«Злоумышленники знали кодовые фразы. Вы сами пригласили их в свои кошельки, передав ключи на блюдечке с голубой каемочкой. Сообщество операторов полных нод обсуждает различные стратегии защиты нод сообщества от определенных схожих DDoS-атак в будущем», — пишет член IOTA Evangelist Network Ральф Роттманн.
В настоящее время портал iotaseed.io прекратил обслуживание пользователей.
По информации портала HelloIOTA, безопасными способами по созданию секретных фраз являются только seed-генератор на основе IPFS и инструмент для создания ключей через Mac- и Linux-терминалы.
Сообщество IOTA неоднократно призывало пользователей seed-генераторов к изменению отдельных элементов кодовых фраз в целях самозащиты. Оно также обратило внимание на то, что проблема заключается исключительно в злонамеренных сервисах, а не в самой технологии IOTA.
Напомним, в ноябре 2017 года команда IOTA запустила первую версию приложения Mixer для улучшения параметров анонимности и взаимозаменяемости.