יוטה מתכננת להפעיל מחדש את הרשת לאחר 20 יום במצב לא מקוון

כבר למעלה משבועיים שיש לרשת יוטה כבר למטה, כאשר מחזיקי האסימונים של MIOTA לא הצליחו להקל על עסקאות מאז ה- 12 בפברואר. הסיבה לכך היא שהאקר הצליח להסתדר עם למעלה מ -2 מיליון דולר מארנק טריניטי המקורי של יוטה, מה שגרם לפרויקט לאבד כ- 40% מערכו – שהוגדר כשווי של כמעט 400 מיליון דולר – מאז כיבוי הרשת.

לקרן יוטה יש הוזל חומרת הפריצה, אך מספר אינדיקטורים מצביעים על כך שהרבה יותר ארנקים היו נפגעים מכפי שקרן יוטה הודיעה עד כה. ולמרות שייתכן שנגנבו כספים רק ממספר מצומצם של ארנקים, סביר להניח שהפגיעות המדוברת הייתה קיימת תקופה ממושכת. יתכן בהחלט שההאקר הצליח להשיג את זרעי הארנק מכל מי שהשתמש בארנק שולחן העבודה של טריניטי בזמן שהפגיעות הייתה פעילה..

בתגובה, קארה הארבור, מנהל התקשורת של קרן יוטה אמר ל- Cointelegraph כי החברה מתייחסת לאירוע זה ברצינות רבה וכי צוות ייעודי עובד מסביב לשעון על מנת לזהות את הנושא ולמצוא פיתרון בהקדם האפשרי. היא הוסיפה:

“הפגיעות בהישג יד הייתה רק בארנק Trinity Desktop ואכן נגרמה על ידי שילוב Moonpay. אין פגיעות ב- IOTA עצמה או בפרוטוקול. זה אמנם אירוע מצער, אך פעולותיה של קרן יוטה מראות כי אנו רציניים לגבי הפרויקט ומשתמשיו. “

איך זה ירד?

כדי להשיג הבנה טובה יותר של המצב, קוינטלגרף שוחח עם קספר ניבה, מפתח ב- Obyte, פלטפורמת גרפים אקסיקליים מכוונת, שמאמין שציר הזמן של הפריצה נראה ככל הנראה כך:

ראשית, כאשר הפלאגין MoonPay נכלל לראשונה בגרסת הבטא של טריניטי, לא זוהה שום משחק רע. התוסף נכלל אז בגרסת הלא בטא, מה שאפשר להאקר להתחיל לאסוף מילות זרעים מאלה המשתמשות בארנק שנפגע..

ואז, אנשים ב- MoonPay מבחינים שמשהו לא בסדר וכיבו את מפתח ה- API שלהם, אך הם לא הצליחו להודיע ​​על כך לקרן יוטה. בשלב זה החל ההאקר לרוקן ארנקים ביתרות גדולות באמצעות זרעי הארנק שנאספו בזמן שהארנקים נחשפו. יוטה הבחין וסגר את הרכז, מה שמנע אישור לכל עסקאות נוספות.

לדברי נייבה, התוקף הצליח להזרים קוד משלהם לפלאגין MoonPay. הקוד הזדוני ככל הנראה תפס זרעי ארנק מהפלטפורמה ושלח אותם לתוקף.

בנוסף, תוסף MoonPay כלל ספרייה ממפעיל צד ג ‘- ובמקום להמתין לגרסה שתאפשר למפתחי ארנק ה- Trinity לדעת בדיוק עם מה הם עובדים, שילוב / שחרור התקע לכאורה מיהרו, לפי לפוסט בבלוג של יוטה.

לפיכך, מכיוון שהניצול היה פעיל במשך תקופה ממושכת, התוקף הצליח להשיג הרבה יותר זרעי ארנק מאלה ששימשו לגניבת אסימונים. כמו כן מוזכר כי MoonPay לכאורה לא היה מודע לנושא לפני שהתגלה למעשה.

כשהביעה את מחשבותיה בנושא, הצהירה הארבור כי האירוע הנ”ל הראה לצוות יוטה כי הם צריכים לקחת את ביטחונם – במיוחד בכל הקשור לספקי צד שלישי – ברצינות רבה. עוד דעה:

“אנו לוקחים את תקרית התקיפה הזו ברצינות רבה ולא צמצמנו את ההשפעה שהייתה לה על הקהילה שלנו בשום צורה שהיא. הפעולות והשקיפות שננקטה על ידי קרן יוטה הן עדות לכך. “

נראה כי הגניבה הייתה די מתוחכמת בעיצוב

ההערכה היא כי ההפרה האמורה חייבה את העוולים להחזיק במיומנות טכנית מסוימת בכתיבת קוד, מכיוון שההתקפה לא הייתה של מה בכך. בהקשר זה, קרן יוטה זיהתה כמה חזרות של הקוד שהוזרק במהלך חקירתה, מה שבעצם הציע שההאקר ישתמש במצב פעולה של “ניסוי וטעייה”.

מנקודת מבט טכנית יותר נראה כי הראיות מצביעות על כך שההאקר התחיל לגנוב ידנית אסימונים מהארנקים שנפגעו לאחר שתוקנת הפגיעות על ידי MoonPay. התוקף העביר כספים ממספר מצומצם מאוד של ארנקים דרך כמה ארנקים אחרים.

בכל פעם שהסכום הגנוב עבר בארנק, 28 GigaIOTA (כלומר 28,000 אסימונים של MIOTA) – בשווי של כ- 9,000 $ באותה תקופה – הושארו מאחור בכל ארנק. סכום זה נבחר ככל הנראה מכיוון שהיה קטן מספיק בכדי להימלט מאמצעי האבטחה האוטומטיים של מרכזיות. אך המהירות בה הועברו כספים מארנק אחד למשנהו נע בין 10 ל -20 דקות. אילו העסקאות היו מתבצעות על ידי סקריפט אוטומטי שנכתב על ידי התוקף, התהליך כולו יכול היה להסתיים הרבה יותר מהר ובהחלט עם פחות מרווחים משתנים בין העברות. ניבה ציין:

“אינדיקציה עיקרית לכך שהכספים הגנובים הועברו ידנית היא הסכום של 28 GigaIOTA שנותרו בכל ארנק שעבר. שתיים מהעסקאות ב”שרשרת “העסקאות שמפזרות את הכספים הגנובים בכמה ארנקים בולטות. האחת היא של 2.8 GigaIOTA, מה שמעיד שהסכום הוזן עם ספרת ‘0’ חסרה. עסקה אחרת הייתה של 2 GigaIOTA בלבד, מה שמעיד על החמצת הספרה ‘8’ בעת הזנת הסכום. הטעויות האלה לא היו מתרחשות אם ההעברות היו נעשות באמצעות סקריפט. “

אמנם הטכניקות הללו אינן רק אינדיקטורים, אך נראה כי הן מצביעות על תרחיש שבו הפגיעות בפועל התגלתה וניצלה על ידי תוקף, שמכר אז את זרעי הארנקים המחזיקים את המספר הגדול ביותר של אסימונים למישהו הרבה פחות בעל ידע טכני..

שתי העסקאות החריגות – של 2.8 GigaIOTA ו 2 GigaIOTA – ניתן לראות בחוקר הרשת.

צומת “הרכז” של Tangle עדיין בהמתנה בעקבות ההפרה

יוטה מפעילה כיום רשת ייעודית משלה, Tangle. עם זאת, צומת ה”מתאם “שלו – שנועד למנוע התקפות – נמצא כעת בהמתנה בעקבות ההפרה האחרונה. ניתן לחשוב על הרכז כמו מתג הפעלה / כיבוי ענק ומרוכז, שכובה כדי להציל את הרשת מנזקים נוספים. כעת אושר כי הצומת יופעל מחדש ב -10 במרץ, לאחר שמחזיקי MIOTA ינקטו את הצעדים הנדרשים כדי להגן על ארנקם באמצעות התקנת ארגון המשרד. הכי מאוחר כלי נדידת זרעים.

בעוד שקרן יוטה התבצעה באופן מקוון על כיבוי הרשת כולה, העובדה שכבר נגנבו אסימונים בשווי של 2 מיליון דולר פירושה שניתן לטעון כי צעד כזה היה הכרחי. דניאל הרננדס רודריגס, מייסד ומנכ”ל HASHWallet, מסר את תובנותיו בנושא, ואמר לקוינטלגרף כי הנושא הנדון אינו קשור לחלוטין לארנקי יוטה המדוברים, אלא קשור גם לגנרטורים המקוונים הקשורים אליהם והוסיף:

“כל מערכת תוכנה שמייצרת זרעים ניתנת לפיצוח. יש לייצר את הזרעים ולאחסן אותם במערכת מבודדת, כך שלאף אחד אין גישה אליהם וגם לא למערכת הייצור אם לא מערכת TRNG (True Random Number Generation). “

בכל הנוגע לתקיפה ולהיקף הנזק שנגרם, הארבור הצהיר כי מכיוון שצוות יוטה אינו בטוח בחומרת ההתקפה – כלומר, כמה זרעים נגנבו מארנקי טריניטי דרך הפגיעות – החברה קיבלה את ההחלטה הקשה לעצור את הרכז כדי למנוע מהתוקף לחלץ אסימונים נוספים. הארבור המשיך ואז הוסיף:

“אנשים שפחות מכירים את יוטה פירשו לא נכון את העובדה שביוטה יש כיום את הרכז, כאינדיקציה לכך שהרשת אינה מבוזרת. נכון לעכשיו, רשת יוטה מבוזרת עם כמה מאות צמתים המנפיקים ומאמתים עסקאות. תהליך האישור נשען על אבני דרך שמונפקות על ידי הרכז ומאושרות על ידי הרשת כולה; במילים אחרות, סופיות העסקאות תלויה במרכיב מרכזי זה. עם זאת, כל הצמתים מאמתים את כל העסקאות ולא יקבלו על עצמם שום “עוולה” (כמו אישור עסקאות לא חוקיות, הוצאות כפולות וכו ‘) מהרכז. “

לבסוף, הארבור גם ציין כי חלקם לא הצליחו להבין שטכנולוגיית Ledger Distributed עדיין חדשה למדי, וכמו בכל הצעה כזו, לוקח לה זמן להגיע לבשלות מלאה..

פרטים חשובים רבים עדיין מוטלים בספק

למרות שיש אינדיקטורים ברורים המצביעים על מספר רב של זרעי ארנק שנגנבו כאשר ניצול MoonPay היה פעיל, אין שום דרך לוודא אילו זרעים נגנבו ואילו לא..

הדבר הוודאי היחיד ברגע זה הוא שמשתמשים שהשתמשו בגרסת שולחן העבודה של ארנק טריניטי היו בסיכון שנגנבו זרעי הארנק שלהם. זו הסיבה שבגללה קרן יוטה ביקשה מלקוחותיה להשתמש במהירות בכלי ההגירה האחרון של המשרד.

כמו כן, זו אינה הפעם הראשונה שהמערכת האקולוגית של יוטה נמצאת בקצה המקביל של הפרת אבטחה שכזו. לפני כמה שנים, הפלטפורמה מתמודד פגיעות חמורה נוספת הקשורה לפרוטוקולים הצפוניים המקוריים שלה. בשיחה עם Cointelegraph, אינל קרדנוב – תומכת יזמים של Waves Platform, מערכת אקולוגית קוד פתוח של בלוקצ’יין – הצביעה על הדברים הבאים:

“פגיעות רצינית שנייה בתוך שלוש שנים נראית מסוכנת מאוד עבור מחזיקים ובעיקר מפתחים. לכן, אני באופן אישי מצפה שמפתחים רבים יימנעו מלבנות מוצרים ב- Iota בעתיד למרות כל המאמצים של צוות Iota להקל על הבעיה. “

האם העתיד נראה עגום עבור יוטה?

כפי שצוין קודם לכן, מאז התברר תקופת האבטחה האחרונה, איוטה איבדה קצת יותר מ -40% מערכה, ועדיין לא ברור מה יקרה למחיר האסימון ברגע שהרשת תפעיל מחדש ב -10 במרץ..

תרשים מחירים של MIOTA / USD מאז 11. פברואר. מקור: Coin360.com

טבלת מחירים של MIOTA / USD מאז 11. פברואר. מקור: Coin360.com

בנוסף, קרן יוטה טוענת כי פרוטוקול Tangle שלו עדיין נמצא בשלב בדיקות הבטא. עם זאת, זו נשאלת השאלה: אם מדובר ברשת בטא, האם האסימונים שלה ייחשבו לאסימונים של בטא, והאם הם נסחרים רק בבורסות בטא על ידי משקיעים המשתמשים בכסף בטא? ואם הפרויקט נמצא בגרסת בטא, אז למה למהר להציג את תוסף MoonPay ללא שליטה מספקת האם הוא יטען את הקוד ממקור חיצוני?

לבסוף, שורה שלמה של מומחים טענו כי אם המערכת האקולוגית של יוטה הייתה מבוזרת – גם במקרה שהפלטפורמה תאבד 2 מיליון דולר כתוצאה מהפריצה – הרשת הייתה יכולה להישאר מופעלת, ונושא ארנק טריניטי יכול היה להיות כנראה תוקן די מהר.

אם כן, נקודת מבט אחת היא שעם מבנה מבוזר, עשויה להיות לקרן יוטה מנע התרסקות השוק העמוקה שהיא מתמודדת איתה כרגע – מה שעלול לספוג מכה גדולה עוד יותר אם מחזיקי אסימונים יבחרו למכור את אסימוני ה- MIOTA שלהם לאחר שהרשת תחזור לרשת.

למצוא דרך בטוחה

עם הקמתו החל פרויקט יוטה בהבטחה להשתמש בהיגיון טרני (במקום בינארי) כדי להפוך את המערכת האקולוגית שלו לבטוחה ועמידה לחלוטין בפני התקפות ממחשבים קוונטיים. עם זאת, לאחר שנים של התקדמות מוחשית שלא נעשתה בכיוון זה, נראה כי הרעיון נגדע כעת – ובכך גרם לרבים להאמין שהפלטפורמה עדיין חשופה לאיומים חיצוניים שונים. ניבה שיתף את מחשבותיו בעניין:

“הם התמקדו במציאת דרך לכבות את הרכז בבטחה כמעט שלוש שנים, וטענו בתחילה שהוא צריך רק לרוץ עד שיעברו מספר גדול מספיק של עסקאות בסבך. זה גם התברר שלא נכון. לכן, כפי שאמרו כמה משתמשים בבדיחות: ‘יוטה הפכה למעשה לגיליון האלקטרוני המרכזי היקר ביותר שקיים.’ “

בעניין זה, הארבור אמר לקוינטלגרף כי ביזור מתקדם ככל שהרשת צומחת ומתחזק הוא די מקובל – והצביע על ביטקוין (BTC) כדוגמה לאותו דבר, והוסיף:

“עם סילוקו של המתאם, יוטה תמלא את הבטחתה כטכנולוגיית ספר החשבונות המבוזרת הראשונה, המבוזרת והניתנת להרחבה. האופי הרגשי של יוטה חשוב לעתיד ה- IoT. “

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map