IOTA está inativa há mais de 11 dias e desenvolvedores prometem normalizar tudo só em março

A IOTA, que chegou a ser uma das cinco principais criptomoedas do mercado e teria firmado parcerias com Volkswagem, Microsoft, Fujitisu e outras grandes companhias globais com foco em internet das coisas, está há mais de 11 dias completamente inativa. A IOTA Foundation declarou que não vai normalizar o “Tangle”, como é chamado o DLT (tecnologia de contabilidade distribuída) da IOTA, até março.

Tudo começou em 12 de fevereiro quando usuários começaram a identificar que o status do Tangle estava baixo e, pouco tempo depois, tudo parou. Naquele dia, hackers, aproveitando uma vulnerabilidade, teriam conseguido hackear a Trinity Wallet, carteira que, embora não oficial, vinha sendo difundida e apoiada pela IOTA Foundation. Para preservar os fundos dos usuários e encerrar o ataque, o coordenador teria sido desligado e a rede ‘pausada’.

Após o desligamento, os desenvolvedores da IOTA declararam que o valor total hackeado na Trinity Wallet foi  “8,55 Ti” ou US$2,3 milhões em IOTA.

“Nas primeiras quatro horas de investigação, a Fundação [IOTA] tomou a decisão de interromper o coordenador, que foi posto em prática como um mecanismo de segurança temporário durante a fase de maturação da rede”, explicou a IOTA Foundation.

Para mitigar os problemas, a IOTA anunciou também um plano de migração de chaves privadas (seeds) de todos os usuários que tinham qualquer recurso alocado na Trinity Wallet. Contudo, a migração será 100% centralizada na IOTA e envolve uma série de procedimentos que devem ser realizados em conjunto com orientação de um membro da equipe.

Desde então, a Fundação trabalha com agências policiais – incluindo o Centro Alemão de Cibercrime e o Federal Bureau of Investigation dos EUA – para identificar a causa, de acordo com o co-fundador da IOTA Foundation, Dominik Schiener, e o site da Fundação. Em um relatório post-mortem, a IOTA disse que o hack resultou de uma vulnerabilidade via MoonPay, uma plataforma onramp de fiat-para-criptomoedas integrada a Trinity.

O hacker conseguiu assumir a rede de distribuição de conteúdo do MoonPay e se infiltrou na Trinity Wallet por meio da integração. Eles foram capazes de distribuir SDKs (maliciosos) para usuários do Trinity e roubar fundos armazenados em suas carteiras.

“A maior falha que cometemos foi não integrar o pacote NPM e auditar adequadamente a segurança. O erro humano e a pressão para lançar uma nova versão o mais rápido possível levam a esse erro ” , disse Schiener, referindo-se ao pacote de software que pode aceitar o SDK como um arquivo estático, impedindo assim a recepção de um SDK malicioso.

No entanto, apesar da migração, a rede ainda está ‘offline’ e os desenvolvedores, recentemente, declararam que tudo estará operacional até 02 de março. A IOTA Foundation também declarou que vai revisar suas ‘práticas’ e implementar novos procedimentos.

• Aumentamos o foco em nossa abordagem à segurança de software. Adicionaremos aos nossos processos de segurança atuais um novo CSO que supervisionará todas as práticas de segurança.
• A IF (IOTA Foundation) está aumentando seus compromissos existentes com empresas de auditoria de segurança externa e exigirá auditorias externas completas para os principais lançamentos de qualquer software crítico.
• O FI exigirá o mesmo padrão de terceiros com os quais nos integramos.
• O FI aderirá a um modelo para a arquitetura geral de segurança dos aplicativos e revisará a segurança dos aplicativos regularmente para obter os principais objetivos de segurança.
• Os requisitos para novas funcionalidades, tanto no software existente quanto no novo, serão [mais] rigorosamente avaliados por meio de uma estrutura de requisitos de segurança.
• Todos os níveis de risco do aplicativo serão revisados ​​e revisados ​​regularmente. Os requisitos da estrutura de segurança para aplicativos serão baseados no nível de risco.
• A metodologia de modelagem de ameaças será implementada para todos os níveis de segurança de aplicativos, a fim de identificar e gerenciar falhas no projeto de arquitetura.
• O FI analisará sua lista de materiais atual para todos os aplicativos existentes.
• Todos os projetos novos e existentes e suas integrações de rastreamento de dependências de terceiros terão uma política mais rígida para os níveis de vulnerabilidade das dependências de terceiros.
• Todos os PRs de integração de terceiros exigem uma aprovação manual do campeão de segurança da equipe, SecOps ou CSO.
• O FI também identificou a necessidade de melhores ferramentas de análise de dados no emaranhado. Embora atualmente tenhamos a capacidade de analisar o comportamento do emaranhado e os padrões de transação, estamos construindo melhores ferramentas sobre nossos permanodes para nos permitir identificar e filtrar padrões em tempo real.
• Finalmente, o FI se esforçará para tornar sua postura de segurança e resultados de auditoria mais transparentes, sempre que possível e apropriado.

“Saindo desse incidente, a IOTA Foundation continuará investindo em recursos mais significativos em nossos procedimentos de segurança interna para todos os softwares e envolvendo especialistas em segurança externa quando necessário. Esperamos que, por meio de nossa transparência contínua e validação externa de nosso software de código aberto, continuemos a aumentar a confiança em nossa comunidade e a garantir que a IOTA seja adotada com sucesso como um livro distribuído pronto para empresas”, finaliza a IOTA Foundation.

Leia também: Integração com MoonPay é responsável pelo hack da carteira Trinity da IOTA