Iota ağı, iki haftadan uzun bir süredir kapalı durumda ve MIOTA sahipleri, 12 Şubat'tan beri hiçbir işlem gerçekleştiremiyor. Bir siber suçlu, Iota'nın cüzdanı Trinity'den 2 milyon dolar çaldı ve projenin ağ faaliyetleri durdurulduğundan beri yüzde 40 (400 milyon dolar) değer kaybetmesine neden oldu.

Iota Vakfı, siber saldırının fazla ciddi olmadığını söyledi fakat bazı göstergeler, etkilenen cüzdan sayısının Iota Vakfı'nın açıkladığından daha fazla olabileceğine işaret ediyor. Hırsızlık belirli sayıda cüzdandan yapılmış olsa da, söz konusu güvenlik zafiyeti uzun bir süredir mevcuttu. Suçlunun zafiyetten yararlanarak Trinity masaüstü cüzdanını kullanan herkesin cüzdan şifrelerini ele geçirmiş olması da ihtimal dahilinde.

Iota Vakfı'nın iletişim başkanı Cara Harbor, Cointelegraph'a yaptığı açıklamada şirketin vakayı oldukça ciddiye aldığını ve özel bir ekibin sorunu tespit etmek ve mümkün olduğunca hızlı çözmek için çalıştığını belirtti:

“Mevzu bahis zafiyet yalnızca Trinity masaüstü cüzdanında mevcuttu. Zafiyete Moonpay entegrasyonu sebep oldu. IOTA'nın kendisinde veya protokolünde bir güvenlik açığı yok. Oldukça talihsiz bir olay olsa da Iota Vakfı'nın attığı adımlar, projeyi ve kullanıcıları oldukça ciddiye aldığımızı gösteriyor.”

Nasıl gerçekleşti?

Cointelegraph, durumu daha iyi anlamak için yönlü düz graf platformu Obyte'ın geliştiricilerinden Casper Niebe ile konuştu. Niebe, saldırının muhtemelen şöyle gerçekleştiğini söyledi:

İlk olarak MoonPay eklentisi, Trinity'ye beta sürümünde dahil edildi ve bir hata gözlenmedi. Eklenti, tam sürüme de dahil edildi ve saldırgan, mağdurların cüzdan şifrelerini toplamaya başladı.

Daha sonra MoonPay çalışanları bir şeyin yanlış olduğunu anladılar ve API anahtarını devre dışı bıraktılar fakat Iota Vakfı'nı bilgilendirmediler. Saldırgan, bu aşamada topladığı şifrelerle cüzdanları boşalttı ve yüklü miktar para çaldı. Iota da durumu fark etti ve koordinatörü durdurarak daha fazla işlemin onaylanmasını engelledi.

Niebe'ye göre saldırgan, MoonPay eklentisine kendi kodunu sızdırabildi. Kötü amaçlı kod, platformdan cüzdan şifrelerini topladı ve saldırgana gönderdi.

Konuyla ilgili düşüncelerini paylaşan Harbor, bu olaylarım Iota ekibinin güvenlik önlemlerini oldukça ciddiye alması gerektiğini gösterdiğini belirtti:

“Bu saldırıyı oldukça ciddiye alıyoruz ve topluluk üzerindeki etkisini olduğundan az gösterecek bir açıklama yapmadık. Iota Vakfı'nın attığı şeffaf adımlar bunu kanıtlıyor.”

Basit bir hırsızlık değil

Saldırganın bahsi geçen güvenlik zafiyetinden yararlanabilmesi için belirli derecede kod yazabilmesi gerekiyor. Iota Vakfı, inceleme sırasında kodda bazı yinelemeler fark etti ve saldırganın ''deneme yanılma'' yöntemini kullandığı sonucuna vardı.

MoonPay'in açığı yamamasının ardından saldırgan, ele geçirdiği cüzdanlardan manuel olarak kripto para çaldı.

Çaldığı parayı cüzdandan cüzdana aktaran saldırgan, her cüzdanda geride 28 bin MIOTA (9 bin dolar) bıraktı. Saldırgan, bu miktarı muhtemelen borsanın otomatik güvenlik önlemlerini atlatacak kadar küçük olduğu için seçti. Paranın cüzdanlar arasında aktarılma süresi ise 10 ile 20 dakika arasında değişti. İşlemler, saldırgan tarafından yazılan bir otomatik kod tarafından gerçekleştirilseydi, tüm süreç çok daha hızlı tamamlanırdı. Niebe, şöyle belirtti:

“Çalınan paranın manuel olarak aktarıldığını gösteren işaretlerden biri de cüzdanlarda kalan 28 GigaIOTA. İşlem zincirinde çalınan parayı çeşitli cüzdanlara dağıtan iki işlem dikkat çekiyor. Birinde miktar 2,8 GigaIOTA olarak, yani bir 0 eksik girilmiş. 2 GigaIOTA'lık diğer işlemde ise 8 rakamı unutulmuştu. Bu hatalar, işlemler kod ile yapılsaydı olmayacaktı.”

Bunlar yalnızca bir gösterge olsa da, ortaya şöyle bir senaryo çıkıyor: Asıl güvenlik zafiyeti bir saldırgan tarafından fark edildi ve kullanıldı. Saldırgan, ele geçirdiği şifreleri daha sonra teknik olarak daha bilgisiz birine sattı.

2,8 GigaIOTA ve 2 GigaIOTA'lık anormal iki işlem ağ keşfedicisinde görülebiliyor.

''Koordinatör'' düğümü bekletiliyor

Iota, şu anda ayrı bir ağı olan Tangle'da faaliyet gösteriyor. Saldırıları önlemek için tasarlanan ''koordinatör'' düğümü ise şu anlık faaliyet göstermiyor. Düğüm, MIOTA sahipleri şirketin kripto para aktarım aracını indirerek cüzdanlarını koruduktan sonra 10 Mart'ta tekrar aktive edilecek.

Iota Vakfı, ağı tamamen kapatmadığı için eleştiri alıyor. Şimdiden 2 milyon dolar değerinde kripto paranın çalınmış olması ise, eleştirilerde haklılık payı olduğunu ortaya koyuyor.

Harbor, Iota ekibinin saldırının şiddeti hakkında emin olmadığını, Trinity cüzdanlarından ne kadar şifre çalındığının bilinmediğini söyledi.

İlk vaka değil

Çalınan şifre sayısının, MoonPay açığına müdahale edilmeden önce daha yüksek olduğuna dair net göstergeler olsa da, hangilerinin çalındığını söylemenin kesin bir yolu yok.

Şimdilik kesin olak tek şey şu: Trinity cüzdanının masaüstü versiyonunu kullananlar hırsızlık riskiyle karşı karşıya. Iota Vakfı, bu nedenle kullanıcılarından şirketin kripto para aktarım aracını kullanmalarını talep etti.

Iota ekosistemi, daha önce de bir güvenlik zafiyetiyle karşılaşmıştı. Platformda, birkaç yıl önce şifreleme protokollerine ilişkin ciddi bir açık da tespit edilmişti.

Iota'yı zor günler mi bekliyor?

Iota, son siber saldırıdan beri değerinin yüzde 40'ını kaybetti. Ağ 10 Mart'ta tekrar faaliyete başlatıldığında fiyata ne olacağı ise bilinmiyor.

MIOTA/USD price chart since Feb. 11. Source: Coin360.com

MIOTA/USD 11 Şubat'tan itibaren fiyat tablosu. Kaynak: Coin360.com

Iota Vakfı, Tangle protokolünün hala beta testi aşamasında olduğunu söyledi. Bu durum, akla şu soruyu getiriyor: Ağ beta aşamasında çalışıyorsa, token'lar da beta token mı sayılacak? Yalnızda beta para kullanan yatırımcılar tarafından beta borsalarda mı işlem görecekler? Ve proje hala beta aşamasındaysa, dış kaynaktan kod ekleyince ne olacağını görmek için yeterli kontroller yapılmadan neden MoonPay eklentisi entegre edildi?

Birçok uzman, Iota ekosistemi merkeziyetsiz olsaydı, platform saldırıda 2 milyon dolar kaybetse bile ağın faaliyetine devam edebileceğini ve Trinity'nin oldukça hızlı düzeltilebileceğini düşünüyor.

Iota Vakfı, merkeziyetsiz bir yapıyla piyasalarda yaşadığı ve MIOTA sahiplerinin ağ faaliyete başlayınca kripto paralarını satmayı tercih ederse daha da büyüyecek olan değer kaybını da  önleyebilirdi.