- A Fundação IOTA apresentou um plano de salvamento para garantir a segurança da IOTA roubada e em que período de tempo a rede IOTA será recolocada em funcionamento.
- A ferramenta de migração deve ser lançada na próxima semana, então os usuários da carteira Trinity da IOTA terão sete dias para usá-la e trocar sua carteira a uma semente segura.
Quase nove dias após o hack da carteira Trinity da IOTA se tornar conhecida pela Fundação, a Fundação publicou agora um plano de remediação. O plano de recuperação inclui um plano de ação concreto sobre como colocar a rede IOTA de volta online e como evitar que o hacker use as sementes capturadas para roubar a IOTA capturada dos usuários da carteira Trinity.
Como a Fundação IOTA descreve, em 12 de Fevereiro de 2020, por volta das 15 horas CET, tomou conhecimento de transacções não autorizadas nas suas contas previamente equilibradas, o que forçou a Fundação IOTA a tomar uma decisão rápida. Nas primeiras quatro horas após o ataque ter sido conhecido, a liderança tomou a decisão de parar o Coordinator e assim paralisar o Tangle da IOTA. O que aconteceu posteriormente já foi relatado em grande detalhe.
Agora a Fundação IOTA também comentou sobre o curso real dos eventos do hack. Ela afirma que a integração de MoonPay foi relativamente rapidamente identificada como a causa. Isto foi entregue como código agrupado, como o chamado CDN (Content Delivery Network). Consciente da vulnerabilidade da tecnologia CDN, a Fundação IOTA exigiu um chamado NPM (Node Package Manager) a MoonPay. Contudo, isto foi entregue demasiado tarde pela MoonPay depois de muito do trabalho de desenvolvimento já ter sido feito, razão pela qual a integração não teve lugar antes do lançamento da carteira Trinity (traduzida livremente):
[…] mas a pressão do lançamento e erro humano significou que a Fundação não mudou para o pacote mais seguro do NPM antes do lançamento. Esta foi a vulnerabilidade que o atacante explorou e provavelmente poderia ter sido corrigida se a Fundação tivesse tido um processo de revisão mais abrangente e transversal para lançamentos importantes.
Em relação ao resto do hack, o primeiro post do blog diz ainda que o atacante fundiu numerosos pacotes contendo 28 GIOTA, presumivelmente para evitar os procedimentos de identificação KYC das bolsas de valores. Como resultado de várias investigações, a Fundação IOTA chegou à conclusão de que o ataque já estava preparado no final de Novembro de 2019. Além disso, uma quantidade não especificada da IOTA já foi transferida para as bolsas de valores de criptomoedas:
Infelizmente, quando analisámos estes registos com os nossos conjuntos de ferramentas de análise, descobrimos que vários endereços estavam na posse de uma bolsa de valores. Pedimos novamente à bolsa para bloquear as contas imediatamente e estamos actualmente em correspondência com elas […]
A revelação seguinte veio com o lançamento dos arquivos de registro à Fundação IOTA em 15 de fevereiro pelo provedor de DNS comissionado pela MoonPay: Cloudflare. […] O atacante começou em 27 de novembro de 2019 com uma prova de conceito de interceptação do DNS que usou uma chave API Cloudflare para reescrever os endpoints api.moonpay.io e capturar todos os dados que vão para api.moonpay.io para análise ou exfiltração potencial.
Outra prova de conceito mais longa foi avaliada pelo atacante um mês depois, em 22 de dezembro de 2019. Em 25 de janeiro de 2020, começou o ataque ativo a carteira Trinity, no qual o atacante começou a enviar código ilegal através do provedor DNS da Moonpay durante o cloudflare.
Atualmente, a Fundação IOTA está ciente de 50 sementes cujos tokens foram roubados durante o ataque. Um total de 8,55 Ti (8.550.000.000.000.000 IOTA), aproximadamente 2,37 milhões de dólares americanos, foram roubadas. No entanto, devido à natureza do ataque, actualmente não é possível identificar o número exacto de utilizadores afectados, pelo que todos os utilizadores da carteira Trinity são encorajados a verificar por si próprios se foram afectados.
Ferramenta de migração da IOTA a ser lançada na próxima semana
A fim de realizar um rollback e devolver a IOTA roubada aos seus verdadeiros proprietários, a Fundação IOTA irá lançar uma ferramenta de migração na próxima semana. Todos os usuários da Trinity são então convidados a usar a ferramenta se eles tiverem usado a carteira de desktop entre 17 de dezembro e 17 de fevereiro. A Fundação IOTA escreve sobre o procedimento concreto:
Em vez de alertarmos imediatamente o Coordinator, iremos providenciar um período de migração para todos os utilizadores vulneráveis. O período de migração dará aos usuários tempo para iniciar uma migração de seus tokens de sua semente atual, potencialmente comprometida, para uma semente recém-criada.
Os usuários que possam ser afetados terão 7 dias para realizar a migração da semente. Após o período de 7 dias ter expirado, a Fundação IOTA começará a validar as contribuições submetidas. Todas as contribuições conflituosas devem ser validadas através de um processo KYC.
Opcionalmente, no 8º e 9º dia após o lançamento da ferramenta, terá lugar uma “validação conjunta”. Durante este processo, a comunidade pode verificar e validar o estado do ledger se existirem conflitos. No 10º dia após o lançamento da ferramenta, a rede IOTA estará funcionando novamente com o novo snapshot. O Coordinator será ligado novamente.
Se os utilizadores da carteira Trinity não conseguirem utilizar a ferramenta de migração a tempo, existe o risco de os tokens IOTA roubados serem transferidos pelo atacante. Também é importante para os usuários da carteira Trinity que a ferramenta esteja disponível apenas para Windows 7, Windows 10, Linux e MacOS, e não para iOS e Android. Portanto, os usuários móveis são encorajados a usar a exportação do SeedVault ou entrar com a semente diretamente na ferramenta manualmente.
Todos os usuários da carteira Trinity da IOTA e todos os outros apoiadores e investidores da IOTA são encorajados a ler os posts do blog. Nestes posts do blog a Fundação IOTA aborda especificamente como o atacante procedeu, que medidas foram tomadas e como evitar tais ataques e buracos de segurança no futuro.
