Trinity cüzdan yazılımının bazı kullanıcılarının paralarının çalınmasına neden olan bir saldırı sonrasında geçen hafta IOTA ağı ani bir kapanma kararı almıştı. Bunun sonrasında IOTA Vakfı Perşembe günü yaptığı açıklamada, IOTA ağını 2 Mart’a kadar yeniden etkinleştireceğini dile getirdi.
Saldırı Detayları
Kar amacı gütmeyen kuruluş yaptığı açıklamalarda, kullanıcıların fonlarını mevcut hesaplarından yeni hesaplara transfer etmeleri için geçiş araçları geliştirdiğini dile getirdi. Geçiş tamamlandıktan sonra Vakıf, ağı çevrimiçi hale getirecek.
Bunun yanında IOTA Vakfı kurucu ortağı Dominik Schiener’ın açıklamaları ve Vakfın web sitesine göre IOTA, Alman Siber Suçlar Merkezi ve ABD Federal Soruşturma Bürosu da dahil olmak üzere saldırı olayıyla ilgili kolluk kuvvetleriyle çalışıyor.
Yapılan açıklamalara göre saldırıdan kaynaklanan toplam kayıp yaklaşık 2 milyon dolar civarında ve Schiener, fonların bir kısmının zaten borsalara transfer edildiğini dile getirdi. Schiener, IOTA Vakfı’nın saldıran etkilenenlere iadeler yapmak için bir iyileştirme planı üzerinde çalışmasına rağmen, önümüzdeki haftaya kadar ayrıntıları paylaşamayacaklarını belirtti.
Öte yandan saldırı sonrası bir raporda Vakıf, saldırının Trinity ile entegre geleneksel-kripto onramp platformu MoonPay aracılığıyla bir güvenlik açığından kaynaklandığını ifade etti. Trinity, Vakıf tarafından IOTA ağının token’ını desteklemek için geliştirilen bir cüzdan çözümü olarak tanımlanıyor.
Yapılan açıklamalarda bilgisayar korsanının, MoonPay’in içerik dağıtım ağını devralabildiği ve entegrasyon yoluyla Trinity Cüzdanına sızdığı ifade ediliyor. Daha sonra Trinity kullanıcılarına kötü amaçlı Yazılım Geliştirme Kitleri (SDK) dağıtıldı ve cüzdanlarında depolanan fonlar bu yolla çalınabildi.
Schiener, “Yaptığımız en büyük hata NPM paketini entegre etmemek ve entegrasyonu düzgün bir şekilde denetlememekti. İnsan hatası ve ASAP’ın yeni bir versiyonunu yayınlama baskısı nihayetinde bu hataya yol açtı.” açıklamasını yaptı.
Dondurma Hamlesi
IOTA Vakfının saldırıdan sonra ağı dondurma hareketi, IOTA’nın merkezi olmayan bir ağ olarak tasarlandığı göz önüne alındığında tartışmalı bir konu olarak ortaya çıktı. Vakıf ağı kapatabildi, çünkü normal şartlar altında birbirine bağlı bireysel işlemlerin kesinliğini ve geçerliliğini sağlayan koordinatör node’unu kontrol ediyordu.
Vakıf dondurma sonrasında yaptığı açıklamalarda, “Bunu yaparak güvenli yolu izlediğimiz için mutluyuz.” ifadelerini kullandı.
