Um importante número de usuários de IOTA perderam seus fundos logo de que websites especializados na geração de sementes lhes proporcionaram novas palavras para aceder a suas carteiras. Isto deixou os fundos depositados em cada uma delas á mercê dos atacantes. O total do subtraído equivale a uns 4 milhões de dólares.
Há alguns dias se divulgou este roubo logo de que usuários desta criptomoeda viram seus moedeiros vazios ou com perdas relacionadas a transações desconhecidas. As vítimas compartilhavam uma caraterística em comum: tinham obtido a semente de seu moedeiro IOTA através alguma website não oficial.
Este tipo de portais oferecem aos usuários uma solução rápida para gerar uma nova semente para sua carteira IOTA, já que a plataforma não conta com um processo automatizado para isso (uma carência importante no funcionamento do protocolo desta criptomoeda). Com essas ferramentas os usuários podem criar uma semente de 81 caráteres, ainda que a equipa de IOTA tem insistido na necessidade de evitar este tipo de operações.
Os perpetradores se aproveitaram desta caraterística, e no meio de um ataque DDoS, drenaram os recursos depositados nas carteiras que tinham feito este procedimento.
In the end, at least $3.94m worth of IOTA was stolen. This was facilitated by a DDoS attack against all public nodes.
— Nic Carter (@nic__carter) 21 de enero de 2018
Conforme explicou o membro da rede de evangelistas de IOTA, Ralf Rottman, os ladrões não só roubaram as sementes, senão que ademais realizaram um ataque distribuído de denegação de serviço (DDoS) contra muitos dos nodos de IOTA. Ao fazê-lo, impediram que as vítimas resgatassem seus fundos, pois não puderam encontrar algum nó público para iniciar sessão com sucesso e mover seus fundos antes que os atacantes o fizeram.
Rottman também mencionou que todos os seus nodos foram atacados no que parece ser um esforço coordenado entre vários participantes, ainda que não há provas que assinalem exatamente quem estiveram por trás deste acontecimento.
Pelo que tenho escutado, muitos usuários que perderam seus fundos criaram suas sementes em iotaseed.io (não inserido aqui [o enlace] por razões óbvias). O mais provável é que a gente que está por trás disto e potencialmente de outros geradores de sementes se tenham posto em prática por pouco tempo a coletar montões de sementes, ainda que não conheço a quantidade real de usuários afetados. O facto de que iotaseed.io ainda esteja em linha enquanto isto é escrito pudesse sugerir que o site ficou comprometido e não são as pessoas encarregadas de seu serviço quem executaram o ataque.
É difícil poder dar com os responsáveis do ataque, pois originalmente este tipo de website de geração de sementes pode ser bem intencionado más costuma ter muitas carências de segurança que podem ser aproveitadas pelos atacantes para roubar fundos, de maneira que não é possível assegurar que o autor é também o ladrão.
Através de Reddit se lêem denúncias sobre a perda total dos fundos depositados em carteiras cujas sementes foram geradas em linha. Alguns usuários ofereceram ajuda naqueles casos nos que a transferência dos fundos não tinha sido confirmada, mas quando este passo já se tem cumprido, não há nada mais que se possa fazer.
A recuperação dos fundos é praticamente impossível, especialmente pela natureza de IOTA. Conforme explicou Rottman, “as vítimas literalmente compartilharam as chaves de suas carteiras com os atacantes” ao empregar esses sites maliciosos. Assim, desde uma perspectiva eminentemente técnica e de segurança “todas as transferências que ocorreram sob este ataque são transações legítimas”.
Para gerar sementes existem outras soluções provisórias como através de um IPFS ou a criação de uma chave utilizando o terminal Mac ou Linux. No entanto, a complexidade na aplicação destas soluções obriga aos novos usuários a recorrer a estes geradores em linha, o que a sua vez faz vulnerável suas contas.
Métodos de geração das sementes para IOTA. Fonte: Twitter, via @nic__carter
Não é primeira vez que IOTA está no olho do furacão no tema de segurança. Lembremos que no final de novembro do ano passado IOTA sofreu um ataque DDoS que não pôde ser manejado pelos nodos públicos da rede. Este facto gerou um importante congestionamento e seu tempo de processamento teve importantes atrasos.
Em setembro do 2017, um dos desenvolvedores da equipa de Ethereum, Nick Johnson, publicou um artigo chamado “Por que encontro profundamente alarmante a IOTA”. Dito artigo causou bastante agitação nas redes sociais e inclusive o próprio criador desta blockchain, Vitalik Buterin, emitiu suas próprias opiniões sobre o caso.
Traduzido de: CriptoNoticias
