IOTA zit in de hoek waar de klappen vallen. De hack van hun Trinity-wallet heeft nog een wrange nasmaak. De IOTA Foundation vraagt gebruikers om hun wachtwoorden te wijzigen. IOTA hint dat dit pas één maatregel is van vele.
Geen zin om te lezen? Axel legt het je graag uit:
Over de IOTA hack
Vorige week drukte de IOTA Foundation op de stopknop van hun netwerk de Tangle. Ze kozen voor deze centrale oplossing omdat hackers coins hadden gestolen van minimaal tien waardevolle accounts. De stichting verrichte onderzoek en vond lekken en kwetsbaarheden in de desktopversie van Trinity.
IOTA tweette hierover:
Trinity users – If you opened #Trinity between Dec 17th 2019 – Feb 18th 01.30 CET 2020, you will need to use the seed migration tool to protect your tokens. Further details about the tool and migration period soon. All updates at https://t.co/3blzUVGJTE or https://t.co/vbg93hQBiG
— IOTA (@iotatoken) February 20, 2020
Wachtwoord veranderen uit voorzorg
De stichting is ervan overtuigd dat alleen gebruikers die de desktop variant van Trinity hebben geopend tijdens die specifieke periode een risico lopen. Niettemin hebben ze ook een update voor de mobiele wallet uitgebracht en roept het die gebruikers op om hun wachtwoorden te veranderen uit voorzorg.
Ledger Nano users do not need to use the migration tool, but it is strongly recommended that you change your password.
— IOTA (@iotatoken) February 20, 2020
Het wijzigen van het wachtwoord is slechts een eerste stap om het probleem op te lossen. Gebruikers moeten ook nieuwe seeds aanmaken. Op de Tangle van IOTA bestaan deze seeds uit 81 tekens. De stichting belooft binnenkort een seedmigratietool uit te brengen om dit proces mogelijk te maken. Het netwerk wordt pas opnieuw gestart nadat het hulpprogramma beschikbaar is gesteld.
Onderzoeksrapport volgt
De IOTA Foundation belooft een volledig rapport over deze hack. Het beveiligingslek lijkt verband te houden met MoonPay, een service die onlangs in Trinity is geïntegreerd en waarmee gebruikers IOTA rechtstreeks vanuit de wallet kunnen kopen. De MoonPay-functie is na de hack namelijk uit de bijgewerkte versie gehaald.
Ongeacht de oorzaak is dit een ernstige inbreuk op het IOTA-platform. Hoewel het erop lijkt dat de hackers het kernprotocol niet hebben aangetast, hebben ze mogelijk een groot aantal seeds verkregen. Gebruikers die de migratietool niet gebruiken, blijven dus kwetsbaar.
Slachtoffers worden gecompenseerd
IOTA-houders die geld hebben verloren, worden aangemoedigd om contact op te nemen met de stichting via hun Discord-kanaal. De stichting zegt dat ze werken aan een soort verzekeringsplan voor slachtoffers. Met enig cynisme zou je dit ook een depositogarantiestelsel kunnen noemen.
Het is nog niet duidelijk hoe dit in de praktijk gaat werken. De foundation zou slachtoffers gewoon coins kunnen geven, maar ze kunnen er ook voor kiezen om een eerdere versie van voor de hack van Trinity te implementeren. Die macht heeft een centrale partij. De stichting werkt ook samen met de politie om de daders te helpen lokaliseren.