Un importante número de usuarios de IOTA perdieron sus fondos luego de que sitios web especializados en la generación de semillas les proporcionaran nuevas palabras para acceder a sus billeteras. Esto dejó los fondos depositados en cada una de ellas a merced de los atacantes. El total de lo sustraído equivale a unos 4 millones de dólares.
Desde hace un par de días se corrió la voz de este robo luego de que usuarios de esta criptomoneda vieran sus monederos vacíos o con pérdidas relacionadas a transacciones desconocidas. Las víctimas compartían una característica en común: habían obtenido la semilla de su monedero IOTA mediante algún sitio web no oficial.
Este tipo de portales brindan a los usuarios una solución rápida para generar una nueva semilla para su billetera IOTA, ya que la plataforma no cuenta con un proceso automatizado para ello (una carencia importante en el funcionamiento del protocolo de esta criptomoneda). Con estas herramientas los usuarios pueden crear una semilla de 81 caracteres, aunque el equipo de IOTA ha insistido en la necesidad de evitar este tipo de operaciones.
Los perpetradores se aprovecharon de esta característica, y en medio de un ataque DDoS, drenaron los recursos depositados en las carteras que habían hecho este procedimiento.
In the end, at least $3.94m worth of IOTA was stolen. This was facilitated by a DDoS attack against all public nodes.
— Nic Carter (@nic__carter) 21 de enero de 2018
Según explicó el miembro de la red de evangelistas de IOTA, Ralf Rottman, los ladrones no solo robaron las semillas, sino que además llevaron a cabo un ataque distribuido de denegación de servicio (DDoS) contra muchos de los nodos de IOTA. Al hacerlo, impidieron que las víctimas rescataran sus fondos, pues no pudieron encontrar algún nodo público para iniciar sesión con éxito y mover sus fondos antes que los atacantes lo hicieran.
Rottman también mencionó que todos sus nodos fueron atacados en lo que parece ser un esfuerzo coordinado entre varios participantes, aunque no hay pruebas que señalen exactamente quién o quienes estuvieron detrás de este suceso.
Por lo que he escuchado, muchos usuarios que perdieron sus fondos crearon sus semillas en iotaseed.io (no insertado aquí [el enlace] por razones obvias). Lo más probable es que la gente que está detrás de esto y potencialmente de otros generadores de semillas se hayan sentado por un rato a recolectar montones de semillas, aunque no conozco la cantidad real de usuarios afectados. El hecho de que iotaseed.io aún esté en línea mientras esto es escrito pudiera sugerir que el sitio quedó comprometido y no son las personas encargadas de su servicio quienes ejecutaron el ataque.
Ralf Rottmann
Miembro
Es difícil poder dar con los responsables del ataque, pues originalmente este tipo de sitio web de generación de semillas puede ser bien intencionado pero suele tener muchas carencias de seguridad que pueden ser aprovechadas por los atacantes para robar fondos, de manera que no es posible asegurar que el autor es también el ladrón.
A través de Reddit se leen denuncias sobre la pérdida total de los fondos depositados en carteras cuyas semillas fueron generadas en línea. Algunos usuarios ofrecieron ayuda en aquellos casos en los que la transferencia de los fondos no había sido confirmada, pero cuando este paso ya se ha cumplido, no hay nada más que hacer.
La recuperación de los fondos es prácticamente imposible, especialmente por la naturaleza de IOTA. Según explicó Rottman, “las víctimas literalmente compartieron las llaves de sus billeteras con los atacantes” al emplear estos sitios maliciosos. Así, desde una perspectiva eminentemente técnica y de seguridad “todas las transferencias que ocurrieron bajo este ataque son transacciones legítimas”.
Para generar semillas existen otras soluciones provisionales como mediante un IPFS o la creación de una clave utilizando el terminal Mac o Linux. Sin embargo, la complejidad en la aplicación de estas soluciones obliga a los nuevos usuarios a recurrir a estos generadores en línea, lo que a su vez hace vulnerable sus cuentas.
No es primera vez que IOTA está en el ojo del huracán en el tema de seguridad. Recordemos que a finales de noviembre del año pasado IOTA sufrió un ataque DDoS que no pudo ser manejado por los nodos públicos de la red. Este hecho generó una importante congestión y su tiempo de procesamiento tuvo importantes retrasos.
En septiembre del 2017, uno de los desarrolladores del equipo de Ethereum, Nick Johnson, publicó un artículo llamado “Por qué encuentro profundamente alarmante a IOTA”. Dicho artículo causó bastante revuelo en las redes sociales e incluso el propio creador de esta blockchain, Vitalik Buterin, emitió sus propias opiniones sobre el caso.
