IOTA、悪意のあるシードジェネレーターを提供したハッカーに数百万ドルを盗まれる

Translate this article into English

2018年5月最新! ▼当サイトで申込みが多い取引所

【1位】「GMOコイン」【10ヶ月連続1位!レバレッジ取引で人気!】

【2位】「bitflyer」【日本最大級取引所・人気No.1】

【3位】「ビットバンク」【セキュリティ対応No.1】

シェアする

IOTAコミュニティは最近、ある話題で持ちきりだった。それは、悪意のあるWebサイトがユーザーに新しいウォレットのシード(後述)提供したために、一部の個人がウォレットの中味がまるごと盗まれてしまったということだ。

ちょうど2日前、多くのユーザーが、IOTAウォレットに保有されていた資金(推定4百万ドル)が未知の情報源によって盗まれたと報告された。原因は何か?それは、オンラインシードジェネレータだった。

IOTAのオンラインシードジェネレータは、IOTAウォレット用の新しいシードを生成するための迅速なソリューションをユーザーに提供するWebサイトだ。

新しいIOTAウォレットを作成する場合、ユーザーは、81文字のシードを作成する必要がある。シードは、AからZと数字の9、計27種の文字をランダムに81文字並べて生成される。このシードは自身のウォレットの認識番号となる。シード作成について、 IPFSシードジェネレータを使用する方法やMacまたはLinux端末を使用してキーを作成する方法など、HelloIOTAのWebサイトで説明されている回避策がある。しかし、どちらも、他のウォレットほどユーザーフレンドリーではなく、新しいユーザーがこれらのオンラインジェネレーターに向かう可能性がある。

IOTAウォレットのオンラインシードジェネレーターのサイトのトップにアクセスすると、この事件が判明して以来、「削除」というメッセージを単に残して、そのウェブサイトを取り下げた。世の中は視聴者がマウスを動かして「乱雑さを生む」ことを要求し、IOTAウォレットの要件に合ったシードを提供する必要がある。また、ニーモニックフレーズ(シードに人間に分かりやすい文字列など付与したもの)としてエンコードされた種のバージョンも提供した。

IOTAエバンジェリスト・ネットワークのメンバーであるラルフ・ロットマン氏のブログ記事によると、攻撃者は一般的なIOTAフルノードに対してDDoS攻撃を展開し、強盗の被害者は資金を救うことができなかった。

攻撃者はシードを知っていた。被害者は銀の皿にのせて鍵を渡し、自身のウォレットに招待した。全ノードオペレータのコミュニティは、今後この特定された類似のDDoS攻撃からパブリックコミュニティノードをよりよく保護するためのさまざまな戦略について議論している。
IOTAコミュニティは、オンラインシードジェネレータについてはっきりしており、脆弱性を防ぐためにシードの要素を変更するようユーザーに促している。コミュティーのメンバーはまた、脆弱性がIOTAの技術とは無関係であり、サービスを生成するだけのシードであることを繰り返し指摘している。

IOTAは最近、Microsoftのパートナーシップを明確にしたプレスサイクルを経て劇的な変化を遂げ、秋に発見された脆弱性を修正した。 10月にIOTAチームは、スナップショットの使用による別の脆弱性のために、資産を保管することのリスクが増大することになった。

かなり意欲的ではあるが、IOTAに関するセキュリティ脆弱性のもつれは常に論争の中でさらにもつれてしまっているようだ。

Emptied IOTA Wallets: Hackers Steal Millions Using Malicious Seed Generators