Хакеры похитили у пользователей IOTA токены на $4 миллиона

Владельцы кошельков IOTA сообщили о фактах кражи токенов с принадлежащих им кошельков. По предварительным данным похищены цифровые активы на сумму около $4 миллионов. 

Причиной стали вредоносные онлайн-генераторы секретных фраз для кошельков, используемые злоумышленниками, личности которых пока не установлены.

При создании нового кошелька IOTA, пользователь должен ввести seed-фразу, состоящую из 81 символа. На сайте HelloIOTA размещена информация про несколько вариантов решения этой задачи. Один из них – использование seed-генератора на основе IPFS. Другой вариант – сгенерировать ключ при помощи Mac- или Linux-терминала. Оба этих способа нельзя назвать простыми, поэтому, не обладающие необходимыми для их применения знаниями пользователи обращаются к более простым решениям – онлайн генераторам seed- фраз.

iotaseed.io, наиболее популярный для этой цели сайт, в настоящее время не работает – выводится сообщение: «Извините, мы закрыты».

Ранее, для создания секретной фразы генератор просил пользователя хаотично подвигать мышкой, при этом «генерировалась случайность» необходимой для регистрации кошелька фразы.

Представитель IOTA Evangelist Network Ральф Роттман (Ralf Rottmann) пояснил: хакерам были известны seed-фразы кошельков жертв. Чтобы не дать пострадавшим возможности восстановить похищенные средства, злоумышленники применили DDoS-атаку на полные узлы сети IOTA.

Сейчас сообщество делегатов полных узлов занято выработкой различных стратегий для повышения устойчивости и защиты публичных нод при подобных DDoS-атаках.

Пользователей неоднократно предупреждали, что при использовании простых генераторов seed-фраз необходимо менять местами части этих фраз для усложнения и снижения риска взлома. Разработчики неоднократно заявляли, что данная уязвимость не имеет отношения к технологиям платформы и связана непосредственно с генераторами секретных фраз.

Известно, что в декабре прошлого года компания получила волну критики, связанную с опровержением информации о партнерстве IOTA и Microsoft. Руководство обвинили в преднамеренном искажении информации с целью манипуляций на рынке.

Это не первый случай кражи методом хищения seed-фразы. Ранее сообщалось о подобном случае с кошельками BlackWallet. Хакерам удалось перехватить DNS-запись домена и похитить $400 тысяч в токенах сети Stellar – Lumen (XLM).

Источник

[ ОБСУДИТЬ НА ФОРУМЕ ]