Un importante nรบmero de usuarios de IOTA perdieron sus fondos luego de que sitios web especializados en la generaciรณn de semillas les proporcionaran nuevas palabras para acceder a sus billeteras. Esto dejรณ los fondos depositados en cada una de ellas a merced de los atacantes. El total de lo sustraรญdo equivale a unos 4 millones de dรณlares.
Desde hace un par de dรญas se corriรณ la voz de este robo luego de que usuarios de esta criptomoneda vieran sus monederos vacรญos o con pรฉrdidas relacionadas a transacciones desconocidas. Las vรญctimas compartรญan una caracterรญstica en comรบn: habรญan obtenido la semilla de su monedero IOTA mediante algรบn sitio web no oficial.
Este tipo de portales brindan a los usuarios una soluciรณn rรกpida para generar una nueva semilla para su billetera IOTA, ya que la plataforma no cuenta con un proceso automatizado para ello (una carencia importante en el funcionamiento del protocolo de esta criptomoneda).ย Con estas herramientas los usuarios pueden crear una semilla de 81 caracteres, aunque el equipo de IOTA ha insistido en la necesidad de evitar este tipo de operaciones.
Los perpetradores se aprovecharon de esta caracterรญstica, y en medio de un ataque DDoS, drenaron los recursos depositados en las carteras que habรญan hecho este procedimiento.
In the end, at least $3.94m worth of IOTA was stolen. This was facilitated by a DDoS attack against all public nodes.
— Nic Carter (@nic__carter) 21 de enero de 2018
Segรบn explicรณ el miembro de la red de evangelistas de IOTA, Ralf Rottman,ย los ladrones no solo robaron las semillas, sino que ademรกs llevaron a cabo un ataque distribuido de denegaciรณn de servicio (DDoS) contra muchos de los nodos de IOTA. Al hacerlo, impidieron que las vรญctimas rescataran sus fondos, pues no pudieron encontrar algรบn nodo pรบblico para iniciar sesiรณn con รฉxito y mover sus fondos antes que los atacantes lo hicieran.
Rottman tambiรฉn mencionรณ que todos sus nodos fueron atacados en lo que parece ser un esfuerzo coordinado entre varios participantes, aunque no hay pruebas que seรฑalen exactamente quiรฉn o quienes estuvieron detrรกs de este suceso.
Por lo que he escuchado, muchos usuarios que perdieron sus fondos crearon sus semillas en iotaseed.io (no insertado aquรญ [el enlace] por razones obvias). Lo mรกs probable es que la gente que estรก detrรกs de esto y potencialmente de otros generadores de semillas se hayan sentado por un rato a recolectar montones de semillas, aunque no conozco la cantidad real de usuarios afectados. El hecho de que iotaseed.io aรบn estรฉ en lรญnea mientras esto es escrito pudiera sugerir que el sitio quedรณ comprometido y no son las personas encargadas de su servicio quienes ejecutaron el ataque.
Ralf Rottmann
Miembro
Es difรญcil poder dar con los responsables del ataque, pues originalmente este tipo de sitio web de generaciรณn de semillas puede ser bien intencionado pero suele tener muchas carencias de seguridad que pueden ser aprovechadas por los atacantes para robar fondos, de manera que no es posible asegurar que el autor es tambiรฉn el ladrรณn.
A travรฉs de Reddit se leen denuncias sobre la pรฉrdida total de los fondos depositados en carteras cuyas semillas fueron generadas en lรญnea. Algunos usuarios ofrecieron ayuda en aquellos casos en los que la transferencia de los fondos no habรญa sido confirmada, pero cuando este paso ya se ha cumplido, no hay nada mรกs que hacer.
La recuperaciรณn de los fondos es prรกcticamente imposible, especialmente por la naturaleza de IOTA. Segรบn explicรณ Rottman, โlas vรญctimas literalmente compartieron las llaves de sus billeteras con los atacantesโ al emplear estos sitios maliciosos. Asรญ, desde una perspectiva eminentemente tรฉcnica y de seguridad โtodas las transferencias que ocurrieron bajo este ataque son transacciones legรญtimasโ.
Para generar semillas existen otras soluciones provisionales como mediante un IPFS o la creaciรณn de una clave utilizando el terminal Mac o Linux. Sin embargo, la complejidad en la aplicaciรณn de estas soluciones obliga a los nuevos usuarios a recurrir a estos generadores en lรญnea, lo que a su vez hace vulnerable sus cuentas.
No es primera vez que IOTA estรก en el ojo del huracรกn en el tema de seguridad. Recordemos que a finales de noviembre del aรฑo pasado IOTAย sufriรณ un ataque DDoSย que no pudo ser manejado por los nodos pรบblicos de la red. Este hecho generรณ una importante congestiรณn y su tiempo de procesamiento tuvo importantes retrasos.
En septiembre del 2017, uno de los desarrolladores del equipo de Ethereum, Nick Johnson, publicรณ un artรญculo llamado โPor quรฉ encuentro profundamente alarmante a IOTAโ. Dicho artรญculo causรณ bastante revuelo en las redes sociales e incluso el propio creador de esta blockchain, Vitalik Buterin, emitiรณ sus propias opiniones sobre el caso.