Пользователи кошельков криптовалюты IOTA сообщают о хищении средств на сумму около $4 млн. Кражи были осуществлены при помощи вирусных онлайн-генераторов seed-фраз.
При создании кошелька пользователям необходимо ввести секретную фразу из 81 символа. Многие пользователи упрощают эту задачу при помощи seed-генератора на основе IPFS или Mac- или Linux-терминалов. Но далеко не все знают об этих способах, или попросту не разбираются в этом. Им на помощь приходят онлайн-генераторы seed-фраз.
Одним из самых популярных сайтов этой категории является iotaseed.io. На момент написания статьи этот сайт приостановил свою деятельность, при открытии ссылки пользователи видят надпись «Закрыто. Извините». Этот сервис предлагал пользователям сгенерировать случайную фразу из 81 знака, для этого необходимо было двигать мышкой в случайных направлениях.
Ральф Роттман, участник IOTA Evangelist Network, заявил о том, что злоумышленники не остановились на достигнутом. Была совершена DDoS-атака на популярные полные ноды IOTA, целью которой было препятствие возврату средств пользователями. Злоумышленники знали seed-фразы своих жертв.
Сообщество операторов полных нод в данный момент занято разработкой стратегии по защите от подобных DDoS-атак в будущем.
Сообщество IOTA много раз предупреждало пользователей о необходимости менять части фразы местами при использовании онлайн-генераторов, иначе есть шанс потерять средства. Стоит также отметить тот факт, что уязвимость никак не относится к технологии IOTA, а возможна лишь при использовании сторонних генераторов seed-фраз.