- Die IOTA Stiftung hat einen Rettungsplan vorgelegt, wie die gestohlenen IOTA gesichert und in welchen Zeitrahmen das IOTA Netzwerk wieder in Betrieb genommen wird.
- Das Migrationstool soll nächste Woche veröffentlicht werden. Dann haben Nutzer des IOTA Trinity Wallets sieben Tage Zeit, um dieses zu nutzen und ihr Wallet auf einen sicheren Seed umzustellen.
Fast neun Tage nachdem der Hack des IOTA Trinity Wallets der Stiftung bekannt wurde, hat eben jene nun einen Sanierungsplan veröffentlicht. Der Rettungsplan umfasst einen konkreten Maßnahmenplan, wie das IOTA Netzwerk wieder in Betrieb genommen und wie verhindert werden soll, dass der Hacker die erbeuteten Seeds nutzen kann, um die erbeuteten IOTA der Trinity Wallet Nutzer zu stehlen.
Wie die IOTA Stiftung beschreibt, wurden ihr am 12. Februar 2020, gegen 15 Uhr MEZ nicht autorisierte ausgehende Transaktionen auf ihren zuvor positiv bilanzierten Konten bekannt, welche die IOTA Stiftung zu einer schnellen Entscheidung zwangen. Innerhalb der ersten vier Stundennach der Kenntnis des Angriffs traf die Führung die Entscheidung den Koordinator anzuhalten und damit das IOTA Tangle für Werttransaktionen zum Stillstand zu bringen. Was in der Folge geschah, wurde bereits sehr ausführlich berichtet.
Nun hat die IOTA Stiftung aber auch zur konkreten Ursache des Hacks Stellung genommen. Sie konstatiert, dass die Integration von MoonPay relativ schnell als Ursache ausgemacht war. Diese wurde als gebündelter Code, als sogenannter CDN (Content Delivery Network) geliefert. Sich der Angreifbarkeit der CDN-Technologie bewusst, forderte die IOTA Stiftung von MoonPay einen sogenannten NPM (Node Package Manager). Dieser wurde von MoonPay jedoch zu spät geliefert, nachdem ein Großteil der Entwicklungsarbeit bereits geleistet war, weshalb die Integration nicht vor dem Launch des Trinity Wallets erfolgte (frei übersetzt):
[…] aber der Druck der Freigabe und menschliches Versagen führten dazu, dass die Foundation vor dem Start nicht auf das sicherere NPM-Paket umstieg. Dies war die Schwachstelle, die der Angreifer ausnutzte und die wahrscheinlich hätte behoben werden können, wenn die Foundation einen umfassenderen, teamübergreifenden Überprüfungsprozess für größere Versionen gehabt hätte.
Zum weiteren Ablauf des Hacks heißt es in dem ersten Blogbeitrag weiter, dass der Angreifer zahlreiche Pakete mit 28 GIOTA zusammenfasste, vermutlich um die KYC-Identifikationsverfahren der Börsen zu vermeiden. Infolge diverser Untersuchungen ist die IOTA Stiftung zu der Kenntnis gelangt, dass der Angriff bereits Ende November 2019 vorbereitet wurde. Zudem ist eine unbezifferte Menge an IOTA bereits auf Krypto-Börsen transferiert worden:
Als wir diese Protokolle mit unseren Tangle-Analyse-Toolsets analysierten, stellten wir leider fest, dass sich mehrere Adressen im Besitz einer Börse befanden. Wir baten den Austausch erneut, die Konten sofort zu sperren, und befinden uns derzeit in weiterer Korrespondenz mit ihnen […]
Die nächste Enthüllung kam mit der Freigabe der Protokolldateien an die IOTA-Stiftung am 15. Februar von dem von MoonPay beauftragten DNS-Provider: Cloudflare. […] Der Angreifer startete am 27. November 2019 mit einem DNS-Abfang-Proof-of-Concept, der einen Cloudflare-API-Schlüssel verwendete, um die api.moonpay.io-Endpunkte neu zu schreiben und alle Daten zu erfassen, die an api.moonpay.io für eine potenzielle Analyse oder Exfiltration gehen.
Ein weiterer länger laufender Proof of Concept wurde einen Monat später, am 22. Dezember 2019, vom Angreifer ausgewertet. Am 25. Januar 2020 begann der aktive Angriff auf Trinity, bei dem der Angreifer begann, illegalen Code über den DNS-Provider von Moonpay bei Cloudflare zu versenden.
Derzeit sind der IOTA Stiftung 50 Seeds bekannt, deren Token während des Angriffs gestohlen wurden. Insgesamt wurden insgesamt 8,55 Ti (8.550.000.000.000 IOTA), rund 2,37 Millionen US-Dollar gestohlenen. Aufgrund der Art des Angriffs sei es jedoch derzeit nicht möglich, die genaue Anzahl der betroffenen Benutzer zu identifizieren, weshalb alle Trinity Wallet Nutzer aufgefordert sind, selbst zu prüfen, ob sie betroffen sind.
IOTA Migrationstool wird nächste Woche veröffentlicht
Um ein Rollback zu realisieren und die gestohlenen IOTA den wahren Besitzern zurückzugeben, wird die IOTA Stiftung nächste Woche ein Migrationstool veröffentlichen. Aufgefordert sind dann alle Trinity Nutzer, das Tool zu verwenden, falls sie das Desktop Wallet im Zeitraum vom 17. Dezember bis 17. Februar genutzt haben. Zum konkreten Ablauf schreibt die IOTA Foundation:
Anstatt den Coordinator sofort einzuschalten, werden wir einen Migrationszeitraum für alle gefährdeten Benutzer bereitstellen. Der Migrationszeitraum gibt den Benutzern Zeit, eine Migration ihrer Token von ihrem derzeitigen, möglicherweise gefährdeten Seed auf einen neu geschaffene Seed einzuleiten.
Benutzer, die betroffen sein könnten, haben 7 Tage Zeit, um die Seed-Migration durchzuführen. Nach Ablauf der 7-Tage-Frist beginnt die IOTA Stiftung mit der Validierung der eingereichten Beiträge. Alle widersprüchlichen Einreichungen müssen durch einen KYC-Prozess geprüft werden.
Fakultativ wird es am 8. und 9. Tag nach der Freigabe des Tools zu einer „Gemeinschaftsvalidierung“ kommen. Im Rahmen dessen kann die Gemeinschaft den Ledger Status prüfen und validieren, fall es Konflikte gibt. Am 10. Tag nach der Freigabe des Tools wird das IOTA Netzwerk mit dem neuen Snapshot wieder in Betrieb genommen. Der Coordinator wird wieder eingeschaltet.
Sollten Nutzer des Trinity Wallets nicht rechtzeitig in der Lage sein das Migrationstool zu nutzen, besteht das Risiko, dass die gestohlenen IOTA Token durch den Angreifer übertragen werden. Wichtig für Trinity Wallet Nutzer ist außerdem, dass das Tool nur für Windows 7, Windows 10, Linux und MacOS verfügbar sein wird, nicht für iOS und Android. Mobile Benutzer sind deshalb aufgefordert den SeedVault-Export zu verwenden oder den Seed direkt manuell in das Tool einzugeben.
Allen IOTA Trinity Wallet Nutzer sowie allen anderen IOTA Anhängern und Investoren empfehlen wir die Lektüre der Blogbeiträge. In diesen geht die IOTA Stiftung konkret darauf ein, wie der Angreifer vorgegangen ist, welche Maßnahmen ergriffen wurden und wie zukünftig derartige Angriffe und Sicherheitslücken vermieden werden sollen.
