Iota (MIOTA), tahminen 10 Mart tarihinde ağı yeniden kullanıma açılmak üzere, seed adreslerini taşıma sürecini 29 Şubat itibarıyla başlattı. Ekosistem tarafından Coordinator’un kapatılma kararı eleştirmiş olsa da, birçok kullanıcının paralarının çalınması bu şekilde engellemiş olabilir.
Saldırganın Moonpay ile yakın temas içinde olduğu düşünülüyor
Iota ağı, kullanıcı cüzdanlarından para çalındığının anlaşılması üzerine 12 Şubat tarihinde kapatılmıştı. Bu durum, ağı çalıştırmak için gerekli olan merkezi bir işlem doğrulayıcı olan Coordinator nedeniyle gerçekleşti.
Coordinator’u kapatmak, saldırganın daha fazla kullanıcıdan para çalmasını engelledi ve geliştirici ekibe araştırma yapmak için zaman tanıdı. Ancak sorunun çözülmesi kolay olmadı, zira birçok kullanıcının private (özel) seed hesap bilgisi saldırgan tarafından ele geçirildiği fark edildi.
Iota Foundation (IF) fiat-kripto ağ geçidi hizmeti olan Moonpay ile kurulan üçüncü parti entegrasyonunu, sorunun muhtemel kaynağı olarak belirledi.
Yapılan araştırmada, cüzdan hesabına ait Moonpay kodu, ortak ve güvenli olmayan bir İçerik Dağıtım Ağı (CDN) çağrısı üzerinden yüklendiği ortaya çıktı. Tarayıcı sayfası üzerinden basit bir HTTPS isteği ile hesaba erişildi. Moonpay’ın Domain İsim Sistemi (DNS) sağlayıcısı CloudFlare’nin analizinde, saldırganın CDN adresinin arkasındaki IP'yi manuel olarak değiştirdiği ortaya çıktı.
İşlemin gerekli yetkilendirmeyi sağlayan bir CloudFlare API anahtarı aracılığıyla yapıldığı iddia ediliyor. Saldırganın bunu nasıl elde ettiği belli değil, ancak Moonpay ekibi ile yakın temas halinde olması muhtemel. Hatta fiziksel bir erişimin olduğu düşünülüyor. Zira, CloudFlare anahtarlarının çalınması, başlı başına ciddi bir güvenlik açığı ortaya çıkardı.
Değiştirilen DNS, bilgisayar korsanının her kullanıcının cüzdanına kendi kötü amaçlı kodunu aktarmasına izin verdi. Enjekte edilen yazılım, daha sonra cüzdanın hem şifresini hem de seed hesap bilgisini kaydetti ve saldırgana gönderdi.
Saldırı ilk olarak 27 Kasım tarihinde fark edildi ve 25 Ocak tarihinde tamamen ortaya çıktı. 10 Şubat’ta Moonpay, Iota ekibine neler olduğu hakkında bilgi vermeden güvenlik açığını düzeltti.
Bu zaman dilimi içinde bilgisayar korsanı, haber yayına hazırlanırken 1,87 milyon dolar değerinde en az 8,55 milyon MIOTA çalmıştı.
Ağ tatilde
Ağın kapanması artık daha fazla tokenin çalınmasını önlerken, yeniden başlatılması hacker’ın saldırılarına devam etmesini sağlayacaktı. Bu nedenle Iota ekibi, etkilenen tokenleri cüzdanlardan aktaracak bir seed adresi taşıma aracı geliştirmek durumunda kaldı.
29 Şubat tarihinde ekip, kullanıcılara aktarım prosedürünü gerçekleştirmeleri için yedi gün verdi. Coordinator, 7 ila 10 Mart tarihleri arasında yeniden etkinleştirilecek.
Birçok yorumcu, ağın “ölü” olduğunu iddia ederek Iota'yı merkezileşmek nedeniyle eleştirdi. Zira çok az sayıda ağ, bu kadar kolay biçimde işleme kapatılabilirdi, ancak bazı Iota destekçileri bunun çok daha büyük bir hırsızlığı önlediği için olumlu bir durum olduğunu iddia ediyor.
Iota’nın kurucu ortağı Dominik Schiener, Cointelegraph’a şunları söyledi:
“Bu çok talihsiz bir olay olsa da, IOTA Foundation’da IOTA kullanıcılarının fonlarını koruma konusunda çok kararlı olduğumuzu gösteriyor ve böyle büyük bir saldırı olayına profesyonel biçimde karşılık verebildiğimizi ortaya çıkarıyor. Kripto para ekosistemindeki kimi insanlara karşı güvenimiz kırılmış olsa da, ortaklarımız hala arkamızda ve IOTA’nın geleceğine inanıyorlar.”
Schiener, yaklaşan Chrysalis güncellemesine ve Iota'nın bir sonraki adımı olan Coordicide alpha ağına da değindi. “Kaldığımız yere geri döneceğimizden ve ekosistem içindeki herkesi IOTA’nın doğru yolda olduğuna inandıracağımızdan eminiz” diye ekledi.