Два дня назад члены IOTA-сообщества сообщили о кражах на общую сумму «минимум $3.94 миллиона». Все они воспользовались услугами сайтов для генерации seed-фраз, с которых, возможно, мошенники и получили информацию для доступа к кошелькам.

При открытии нового IOTA-кошелька пользователи создают 81-значную seed-фразу, причем эта функция не встроена в кошелек. Сайт HelloIOTA описывает несколько вспомогательных способов, включающих IPFS-генератор или создание ключа с помощью Mac- и Linux-терминалов. Однако все эти сервисы не вполне user-friendly, то есть затруднительны для новичков, поэтому они вынуждены обращаться к онлайн-генераторам.

Многие пользователи, которые потеряли свои средства, создали свои seed-фразы на сайте iotaseed.io. Сайт просит пользователей двигать мышью для «рандомного генерирования» и затем предоставляет seed-фразу, которая отвечает требованиям IOTA-кошелька. После новости об атаке этот сайт прекратил свою деятельность.

В посте на Medium под заголовком «Что случилось прошлой ночью на IOTA» рассказывается, что хакеры осуществили DDoS-атаку на известные полные ноды IOTA, таким образом не давая пользователям возможность спасти свои средства. Причем злоумышленники знали все seed-фразы.

В настоящий момент сообщество операторов полных нод обсуждает различные стратегии для защиты публичных нод от подобных DDoS-атак в будущем, а IOTA-сообщество призвало пользователей сменить seed-данные. Также в сообществе отметили, что уязвимость никак не связана с технологией IOTA, а спровоцирована именно сервисами seed-генераторов.

«Если отправить свой приватный ключ от биткоин-кошелька на выбранный рандомно сайт, потом тоже нужно винить биткоин?»

Однако мнения в сети разделились, и многие возлагают ответственность за случившееся на кошелек, говоря, что генератор действительно необходим и должен быть встроен. По информации одного из пользователей, seed-генератор входит в запланированные улучшения платформы:

«Кошельку определенно нужны усовершенствования, и работа над ними уже идет, включая seed-генератор».