Iota制定了离线20天后重新启用网络的计划

超过两周以来，Iota网络一直处于关闭状态，自2月12日以来，MIOTA令牌持有人一直无法进行任何交易。这是因为黑客能够从Iota的本地Trinity钱包中窃取超过200万美元，从而导致自从该网络关闭以来，该项目的价值损失了大约40％（据称价值近4亿美元）。

Iota基金会对黑客攻击的严重性轻描淡写，但是许多指标表明，与Iota基金会迄今宣布的相比，更多的钱包可能受到了损害。尽管资金可能只是从数量有限的钱包中被盗，但该漏洞可能已经存在了很长一段时间。黑客很有可能在漏洞处于活动状态时从使用Trinity桌面钱包的所有人那里获得了钱包种子。

作为回应，Iota基金会传播总监Cara Harbor告诉Cointelegraph，该公司非常重视这一事件，并且有专职团队全天候工作，以找出问题并尽快找到解决方案。她补充说：

“当前的漏洞仅在Trinity Desktop钱包内，并且确实是由Moonpay集成引起的。 IOTA本身或协议中没有漏洞。虽然这是一个不幸的事件，但爱荷华州基金会的行动表明我们对项目及其用户持认真态度。”

它是如何下降的？

为了更好地了解这种情况，Cointelegraph与定向无环图平台Obyte的开发人员Casper Niebe进行了交谈，他认为黑客入侵的时间表很可能如下所示：

首先，当MoonPay插件首次包含在Trinity的Beta版中时，没有发现犯规行为。然后，该插件包含在非beta版本中，从而使黑客可以开始从那些使用被盗钱包的用户那里收集种子单词。

然后，MoonPay的人们注意到出了点问题，并关闭了其API密钥，但是他们没有通知Iota Foundation。在这一点上，黑客开始使用钱包暴露时收集的钱包种子来清空大余额的钱包。 Iota注意到并关闭了协调器，这阻止了进一步的交易被确认。

根据Niebe所说，攻击者能够将自己的代码注入MoonPay插件中。恶意代码很可能从平台上抢走了钱包种子，并将其发送给攻击者。

此外，MoonPay插件包括来自第三方运营商的库-而不是等待版本，该版本将允许Trinity钱包的开发人员确切地知道他们正在使用什么，插件的集成/发布。根据Iota博客文章，-in似乎很着急。

因此，由于该漏洞可能长时间处于活动状态，因此攻击者可以获得的钱包种子要比实际窃取令牌的钱包种子多得多。还需要提及的是，MoonPay在实际出现之前似乎没有意识到这一问题。

Harbor表示自己对此事的想法，并说上述事件已向Iota团队表明，他们需要非常认真地对待自己的安全，尤其是在第三方提供商方面。她进一步认为：

“我们非常重视这次袭击事件，没有以任何方式将其对我们社区的影响降到最低。爱欧塔基金会采取的行动和透明度证明了这一点。”

盗窃似乎在设计上相当复杂

可以相信，上述攻击需要不法之徒在编写代码时拥有一定的技术实力，因为这种攻击本质上并非微不足道。在这方面，Iota Foundation在调查期间检测到注入代码的几次迭代，这基本上表明黑客采用了“试错”操作模式。

从更技术的角度来看，证据似乎表明黑客在MoonPay修补了该漏洞后，开始从受到入侵的钱包中手动窃取令牌。攻击者将资金从数量很少的钱包转移到其他几个钱包。

每次通过钱包窃取的金额中，每个钱包中都会留下28个GigaIOTA（即28,000个MIOTA代币），当时价值约9,000美元。之所以选择此金额，是因为该金额足够小，可以避免交易所的自动安全措施。但是资金从一个钱包转移到另一个钱包的速度在10到20分钟之间。如果交易是由攻击者编写的自动脚本完成的，则整个过程可以更快地完成，而且传输之间的变化间隔肯定会更少。涅贝指出：

“被盗资金被手动转移的一个主要迹象是，通过的每个钱包里剩下28 GigaIOTA的数量。在“交易链”中，有两个交易将被盗资金分散到多个钱包中。其中一个是2.8 GigaIOTA，表示输入的金额缺少“ 0”数字。另一笔交易只有2 GigaIOTA，表明他们在输入金额时错过了“ 8”数字。如果使用脚本进行传输，则不会发生这些错误。”

尽管这些技术指标只是指标，但它们似乎指向一种实际情况，即攻击者发现并利用了实际漏洞，然后攻击者将持有最多代币的钱包种子卖给了技术水平远不高的人。

可以在网络浏览器中看到两个异常事务-2.8 GigaIOTA和2 GigaIOTA。

违规后，Tangle的“协调器”节点仍处于保留状态

Iota目前在自己的专用网络Tangle上运行。但是，其“协调器”节点（旨在防止攻击）目前在最近的违规事件发生后仍处于暂停状态。还可以将协调器视为一个巨大的集中式开/关开关，此开关已关闭以保护网络免受额外损害。现在已经确定，该节点将在3月10日重新激活，这是因为MIOTA持有者采取了必要步骤，通过安装该公司最新的种子迁移工具来保护自己的钱包。

虽然Iota基金会因关闭整个网络而遭到网上抨击，但价值200万美元的代币已经被盗这一事实意味着，这一步无疑是必要的。 HASHWallet的联合创始人兼首席执行官Daniel Hernandez Rodriguez提供了对此事的见解，他对Cointelegraph表示，眼下的问题并不完全与所讨论的Iota钱包有关，还与与其相关的在线生成器有关，并补充说：

每个产生种子的软件系统都可以被破解。种子必须生成并存储在隔离的系统中，这样就没有人可以访问它们，如果不是TRNG（真实随机数生成）系统，也无权访问生成系统。”

关于攻击及其造成的损害程度，Harbor表示，由于Iota团队不确定攻击的严重性-即通过该漏洞从Trinity钱包中偷走了多少种子-该公司做出了艰难的决定停止协调器，以防止攻击者提取更多令牌。 Harbor然后继续添加：

“对Iota不太熟悉的人们误解了Iota当前拥有协调员这一事实，这表明该网络尚未分散。当前，Iota网络分散了数百个发布和验证交易的节点。确认过程依赖于由协调员发布并由整个网络验证的里程碑；换句话说，交易的确定性实际上取决于此集中化组件。但是，所有节点都将验证所有交易，并且不会接受协调人的任何“不当行为”（例如批准无效交易，重复支出等）。

最后，Harbor还指出，有些人未能理解分布式账本技术仍然是相当新的，并且与任何此类产品一样，要完全成熟还需要一些时间。

许多重要细节仍然值得商question

即使有明确的指标表明在MoonPay攻击活动时大量钱包种子被盗，也无法确定哪些种子被盗，哪些不是。

目前唯一可以确定的是，使用桌面版Trinity钱包的用户有被盗钱包种子的危险。这就是Iota Foundation要求其客户立即使用该公司最新的迁移工具的原因。

而且，这并不是Iota生态系统首次出现这种安全漏洞。几年前，该平台还面临与其本地加密协议有关的另一个严重漏洞。在与Cointelegraph的对话中，Inal Kardanov（开源区块链生态系统Waves Platform的开发者）指出：

“三年来第二个严重漏洞对于持有者，特别是开发人员来说非常危险。因此，我个人希望，尽管Iota团队为缓解该问题做出了所有努力，但许多开发人员将来仍会避免在Iota上构建产品。

Iota的未来前景黯淡吗？

如前所述，自从最新安全漏洞曝光以来，Iota损失了其价值的40％以上，并且尚不清楚一旦3月10日网络重新激活，令牌的价格将如何变化。

2月11日以来的MIOTA / USD价格走势图。资料来源：Coin360.com

此外，Iota Foundation声称其Tangle协议仍处于beta测试阶段。但是，这引出了一个问题：如果它是一个beta网络，其代币是否会被视为beta代币，投资者是否会使用beta货币在Beta交易所进行交易？而且，如果该项目处于测试阶段，那么为什么要急于引入MoonPay插件，而又不能充分控制它是否会从外部源加载代码？

最后，一大批专家认为，如果Iota生态系统已经分散化，即使平台因黑客入侵而损失了200万美元，网络也可能一直处于打开状态，Trinity钱包问题可能很快就解决了。

因此，一种观点是，由于采用了分散式结构，Iota Foundation可能避免了它目前面临的深度市场崩盘-如果令牌持有者选择在网络进入后出售其MIOTA令牌，可能会遭受更大的打击回到网上。

寻找一种安全的方法

自成立之初，Iota项目就开始承诺使用三元逻辑（而不是二进制）来使其生态系统完全安全，并抵御来自量子计算机的攻击。但是，在该方向上多年未取得实质性进展之后，该概念现在似乎已经被废弃了，因此使许多人认为该平台仍然容易受到各种外部威胁的攻击。涅比分享了他对此事的看法：

“他们专注于寻找一种方法来安全关闭协调器，将近三年，最初声称它只需要运行直到足够多的交易通过Tangle才能通过。事实也并非如此。因此，正如一些用户开玩笑说的那样：“ Iota实际上已经成为现有最昂贵的集中式电子表格。”

关于此事，Harbor告诉Cointelegraph，随着网络的发展和加强，渐进式去中心化非常普遍-以比特币（BTC）为例，并补充说：

“通过取消协调员，Iota将履行其承诺，成为第一个可用的免费，分散和可扩展的分布式分类帐技术。 Iota的无价性质对于物联网的未来至关重要。”

—-

原文链接：https://cointelegraph.com/news/iota-lays-out-plan-to-re-enable-network-after-20-days-offline

原文作者：Cointelegraph By Shiraz Jagati

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。