Проект IOTA на грани закрытия? Удастся ли ему выбраться из неприятностей?
Неделю назад злоумышленники воспользовались багом в Trinity, официальном крипто-кошельке проекта IOTA, в результате чего с нескольких счетов было украдено крипто-активов примерно на $1,6 миллион. Тем не менее, представители IOTA оперативно отреагировали на атаку, предотвратив еще более серьезные последствия эксплуатации уязвимости. Стоит отметить, что хакерская атака на Trinity совпала по времени с публичным конфликтом руководства IOTA, которые не могут поделить между собой немаленькую сумму — $20 миллионов. Пользователи IOTA начали выражать недовольство, некоторые обвиняют проект в чрезмерной централизации, у некоторых есть подозрения, что во взломе замешано само руководство проекта.
Содержание
- 1 Проблемы с безопасностью у Trinity
- 2 Блокировка атаки
- 3 Устранение уязвимости
- 4 Недовольство пользователей
- 5 Поможет ли обновление Coordicide сделать IOTA более децентрализованным?
- 6 Руководство IOTA обвиняют в экзит-скаме
- 7 Будущее IOTA
Проблемы с безопасностью у Trinity
По сообщениям от представителей IOTA, пока что известно о взломе 10 аккаунтов. Конкретная сумма украденных средств не разглашается, однако по данным от инсайдеров, злоумышленникам удалось вывести приблизительно $1,6 миллион. Предполагается, что хакеры воспользовались уязвимостью, которая находилась в десктопной версии кошелька Trinity.
About $1.6 Million USD worth of #iota have been stolen from ~10 high-value accounts. Bug is likely in the (official) desktop wallet. Network completely stopped for nearly 24 hours now.#IOTAstrong just keeps on giving. pic.twitter.com/CMwyRRtYy0
00xou (@00xou) February 13, 2020
Взлом произошел 12-го февраля, с того дня представители крипто-проекта подробно рассказывают о том, как продвигается расследование и какие действия предпринимаются для восстановления нормальной деятельности самого проекта и обеспечения пользователей безопасностью. Тем не менее, пока что точной информации об уязвимости нет. Проект объясняет это тем, что при публичном раскрытии таких деталей кто-то может вновь попытаться совершить атаку.
Все же по одной из версий, злоумышленники могли воспользоваться багом в версии кошелька для компьютера, которая была представлена еще летом позапрошлого года. Атака была осуществлена вручную, хакеры не использовали скрипты. Взлом удался за счет того, что хакеры определенным образом получили доступ к нескольким сид-фразам и выбрали лишь те кошельки, где было больше всего средств. Известно, что практически все пострадавшие использовали версию кошелька для Windows, лишь один пострадавший использовал версию для macOS. При этом пользователи кошельков для смартфонов не пострадали. Команда блокчейн-проекта обратила внимание на то, что баг был обнаружен именно в кошельке, протокол проекта не был взломан.
Блокировка атаки
Запуск проекта IOTA состоялся в 2016 году, он занимает 24-ю позицию по показателям капитализации ($785 миллионов). Отметим, что IOTA является наиболее популярным проектом, который вместо блокчейн-технологии использует решение DAG. Оно также используется командой проекта Hedera Hasgraph. Здесь, вместо традиционного майнинга или размещения стейка подтверждение транзакций происходит как минимум двумя другими транзакциями, а также централизованной нодой, которая известна, как Coordinator. В случае с обсуждаемым сейчас проектом эта нода контролируется IOTA Foundation. Такой подход позволяет сети проекта быть замечательным местом для хранения данных, в том числе генерируемых устройствами Интернета вещей (IoT). При этом такая нода делает сеть проекта централизованной. Например, команда может полностью остановить деятельность сети, предоставить приоритет или проигнорировать те или иные транзакции. Сама же эта нода является основной точкой сбоя, так как, если она подвергнется взлому или прекратит работу, вся сеть проекта не будет функционировать.
После того, как 12-го февраля пользователи IOTA начали сообщать о пропаже активов, было принято решение отключить Coordinator. Так, осуществление транзакций в сети стало невозможным, хотя на передачу данных это не оказало влияния. Отключение ноды было необходимо, ведь сотрудники не знали, сколько кошельков было скомпрометировано. Руководство посоветовало пользователям не запускать Trinity, в том числе и версию для мобильных устройств, до завершения выяснения всех обстоятельство инцидента. Известно, что к расследованию были подключены сотрудники полиции и специалисты по кибербезопасности. В итоге выяснилось, что атака началась еще 25-го января — именно тогда злоумышленники получили доступ к некоторым сид-фразам.
Представители IOTA наблюдают за перемещением похищенных активов. Злоумышленники предприняли попытки запутать следы, для этого они разделили транзакции. Пока что средства никуда не переводились, вероятно, это связано с тем, что большинство сервисов также идентифицирует «грязные» средства и блокирует их. О том, как именно платформы блокируют средства и как быть пользователю, у которого оказались «нечистые» крипто-активы, можно почитать в этой статье.
Устранение уязвимости
Представители IOTA не только оперативно отреагировали на блокировку атаки, но уже 17-го февраля представили обновление для дескотпной версии Trinity (версия 1.4.1). Разработчики подчеркнули, что она безопасная, опасный баг устранен. Тем не менее, Coordinator все так же не работает. Клиенты лишены возможности осуществлять платежные операции, но могут проверить баланс и просмотреть историю транзакций. Новая версия Trinity для компьютеров доступна на портале GitHub. Обновлений для собильной и аппаратной версий пока что нет, в IOTA призывают воздержаться от использования старых версий до выхода обновлений. Пользователям Ledger Nano порекомендовали только сменить пароль.
Команда IOTA, по сообщениям, работает над планом по восстановлению работоспособности сети. Он окажется в публичном доступе сразу после того, как будет готов. Представленная десктопная версия — временное решение. Еще одна версия будет представлена после того, как сеть вернется к работе.
Пользователи IOTA, которые столкнутся с проблемой наличия неподтвержденных исходящий транзакций или же обнаружат пропажу активов, должны обратиться к представителям IOTA Foundation или к команде проекта через Discord. В компании предупредили о том, что на Discord клиенты могут столкнуться с мошенниками, которые выдают себя за сотрудников IOTA Foundation. Так, рекомендуется обращаться к персоналу самостоятельно, используя официальные аккаунты.
Недовольство пользователей
Некоторые пользователи IOTA обвиняют проект в ненадежности и централизации. Например, в начале 2018 года уже появлялись вопросы по поводу безопасности. Тогда злоумышленнику удалось украсть у свыше 80 пользователей крипто-средства на сумму где-то около $11,4 миллионов, афера была осуществлена за счет фишинговой атаки. В конце прошлого года пользователи столкнулись с проблемой подтверждения транзакций, которая продолжалась в течение суток на фоне сбоя функционирования основной сети. Тогда трудность была вызвана неординарной серией транзакций, которую система восприняла, как атаку. В IOTA тогда отметили, что сложности носили исключительно технический характер, на безопасность сети и пользователей это никак не повлияло бы.
Тем временем приостановление работы ноды, что фактически заморозило сеть, в очередной раз показало, насколько проект централизован. Последний инцидент наглядно продемонстрировал насколько велик контроль IOTA над сетью. Например, многие крипто-биржи подвергались атакам, но ни один проект ни прибегал к тому, чтобы отключать на долгое время сеть, так как в большинстве случаев разработчики децентрализованных проектов не имеют такой возможности.
Поможет ли обновление Coordicide сделать IOTA более децентрализованным?
Представители IOTA тем временем продолжают заниматься разработкой обновления, которое получило название Coordicide. Работы стартовали в конце 2018 года, внедрение Coordicide предполагает удаление из сети Coordinator. Как ожидается, после этого сеть IOTA станет более децентрализованной и масштабируемой. 3-го февраля в IOTA уже представили Coordicide Alphanet (версия 0.1.0). Изначально команда планировала сделать это во втором квартале 2020 года, однако разработчики приложили усилия для того, чтобы ускорить процесс. Известно, что теперь уже полноценный «перезапуск» сети состоится в ближайшие месяцы.
Можно говорить о том, что проект работает над решением проблем, исправлением ошибок и пытается дальше достаточно активно стимулировать развитие своей экосистемы, способствуя распространению инноваций среди пользователей, которые еще не знакомыми с ними. Например, в представленной версии Cоordicide Alphanet, уже работают основные функции:
Более того, разработчики IOTA планируют организовать промежуточное обновление под названием Chrysalis. Оно предполагает добавление новой схемы подписи, а также поддержку концепции UTXO.
Руководство IOTA обвиняют в экзит-скаме
Неоднократные взломы, недостаток данных о краже активов и уязвимостях, а также отключение Coordinator у некоторых пользователей вызвали тревогу. В крипто-сообществе появились предположения о том, что на самом деле у проекта имеются серьезные проблемы, а хакерская атака может быть использована руководством для экзит-скама.
Централизация, а также проблемы с безопасностью начали усиливать конфликт, который завязался у руководителей проекта, речь идет о ссоре Дэвида Сонстебо с Сергеем Иванчелго. Публично все началось с того, что Иванчегло разместил в своем Twitter-блоге публикацию, в которой заявил о прекращении сотрудничества с Сонстебо, с которым они развивали проект Jinn Labs, предшествующего IOTA. Также он заявил о готовности подать иск с требованием выплатить ему 25 миллионов монет, что эквивалентно $8,5 миллионам. Иванчелго подчеркнул, что партнер отказывается с ним делиться и заставляет его действовать в своих интересах.
I notify the #IOTA community that I no longer work with David Sønstebø and am contacting my lawyers to get my 25 Ti from him. He refuses to transfer the iotas to make me act for his own benefit and against mine.
Come-from-Beyond (@c___f___b) February 2, 2020
Сонстебо отреагировал на пост Сергея публикацией к сообществу IOTA. В ней Дэвид не упоминал о средствах, но раскрыл некоторые детали своего спора с Сергеем относительно Coordinator и вариантов продвижения проекта. Дэвид заявил, что именно Сергей настоял на том, чтобы Coordinator оставался в сети, он даже привлек к работе над форком отдельную команду разработчиков, однако им в итоге так и не удалось добиться создания жизнеспособной концепции. Осенью 2019 года Сергей покинул IOTA Foundation — оставаясь в совете директоров, он начал заниматься проектом Paracosm. Дэвид считает, что этим решением он лишил себя доли полагающихся монет.
Сонстебо, однако, готов предоставить бывшему партнеру интеллектуальные права Jinn Labs и поделить с ним монеты Jinn Labs. По словам Сонстебо, Ивнчелго отказался от сети IOTA и буквально начал войну против проекта, поэтому он не достоин токенов этого проекта. Более того, Сонстебо обвиняет Иванчегло в том, что он препятствует деятельности команды и даже использует угрозы. Примечательно, что после твита Сергея IOTA Foundation разместила объявление о его выходе из совета директоров, поэтому в настоящее время Сергей никак не связан с проектом. Согласно его сообщениям, он покинул организацию для того, чтобы работать над личной версией IOTA.
Full meltdown in #iota. David, via IOTA AS — NOT the Foundation — just kept all the unclaimed IOTA tokens. 65 Ti. #iotastrong just keeps on giving pic.twitter.com/FUlcABcP1E
00xou (@00xou) February 4, 2020
Позднее прояснилось, что сооснователи спорят о 65 миллионах токенов MIOTA, они являются невыкупленными монетами инвесторов краудсейла IOTA. Сумма оценивается в $19 миллионов. Пока что конфликт продолжается, исход непонятен. Тем не менее, в крипто-сообществе данный конфликт не только воспринимают в качестве еще одного доказательства того, что руководители злоупотребляют централизацией, но и связывают с последней хакерской атакой.
Будущее IOTA
На этот год у IOTA грандиозные планы, так как проект готовится провести ряд обновлений, в частности то, которое, возможно, поможет избавить пользователей от беспокойств по поводу централизации, безопасности, а также производительности. На данный момент основной точкой сбоя деятельности проекта является Coordinator, благодаря которому команда может заморозить сеть и игнорировать определенные транзакции. Trinity пока что также можно считать потенциально уязвимым кошельком, по крайней мере до тех пор, пока проект не предоставит полноценно обновленные версии для смартфонов и ПК.
Доказательств того, что IOTA на грани закрытия или же того, что руководство намерено исчезнуть с пользовательскими средствами, нет. Ущерб в случае хакерской атаки представителям проекта удалось минимизировать, так как реакция оказалась быстрой. Украденные у пользователей средства под наблюдением, а к расследованию привлечены сотрудники правоохранительных органов. Работа над обновлением, которое устранит Coordinator, ведется уже давно и не только на словах, так как совсем недавно проект предоставил первые наработки. Стоит также отметить, что война между соучредителями продолжается уже в течение нескольких лет, однако на работоспособность сети он никак не влиял, вряд ли это произойдет и в будущем.