IOTA-Koordinator wieder aktiv
Der IOTA-Koodinator ist wieder aktiv! Gute Nachrichten auch für die Opfer des letzten Hackerangriffs: Rund 1,97 Millionen US-Dollar sollen die Opfer des folgenschweren Hackerangriffs bei IOTA erhalten. Mitbegründer David Sønstebø will mit der Summe die Opfer aus der eigenen Tasche entschädigen.
Fataler Diebstahl von IOTA-Token
Rund 8,5 Billionen Token aus 46 Wallets hatten Hacker über ein externes Plug-in von Moonpay über die Trinity-Wallet der Nutzer gestohlen. Mitte Februar meldeten sich immer mehr Nutzer mit Hinweisen auf gestohlene Token und leergeräumte Wallets bei der IOTA-Foundation. Diese reagierte prompt und deaktiverte den IOTA-Koorinator um so noch größeren Schäden zu verhindern.
Neben der sofortigen Abschaltung des Koordinators wurde intensiv nachgeforscht, um herauszufinden, wie die Hacker ins System gelangen konnten. Schnell war die Moonpay-Schnittstelle als Tür für die Eindringlinge identifziert und der Diebstahl weiterer Seeds über die Trinity-Wallet gestoppt.
Allerdings ist nicht klar, ob es bei der erwähnten Summe für die Entschädigung der Opfer des fatalen Angriffs von Hackern bleibt. Denn es ist durchaus möglich, dass einige Seeds noch immer in den Händen der anonymen Diebe sind.
Ob diese eventuell noch offene Summe dann auch beglichen wird, und wenn ja in welcher Form, ist derzeit nicht bekannt. Was aber seit heute bekannt ist: Der IOTA-Koordinator ist wieder aktiv. Das hat die Foundation über Discord bekannt gegeben.
Wir arbeiten weiterhin mit dem FBI sowie der britischen, deutschen und maltesischen Polizei zusammen, um den Angreifer zu identifizieren und zu verfolgen. Mit dem Neustart des Koordinators überwachen wir gemeinsam aktiv verdächtige Aktivitäten, so ein Sprecher der IOTA-Foundation, Quelle
IOTA-Koordinator zur Sicherheit deaktivert
Nachdem keine Werttransaktionen mehr möglich waren, wurde das Netzwerk mit verschiedenen Sicherheitsmechanismen aufgewertet. Diese waren durch die vorübergehende Deaktivierung des Koordinators notwendig, damit es zu keinen weiteren Diebstählen von Token aus den Wallets der gefährdeten Nutzer kommen konnte. Mit dem Migrationstool konnten diese ihre Konten in Sicherheit bringen.
Das Programm erstellt eine reguläre IOTA-Transaktion, mit der sich die Token vom alten Konto auf ein neues, sicheres Konto verschieben ließen. Dabei blieben die kritischen Kontoinfomationen stets auf dem Computer des Benutzers.
Die Migration der Token fand in der Zeit bis 07. Februar 2020 statt. Danach erfolgte durch die IOTA-Entwickler eine Verarbeitung der übermittelten Daten um sicherzustellen, das keine Konflikte auftraten. Bei einer widersprüchlichen Migration hätten zwei Personen das selbe Konto genutzt. Eine Identitätsprüfung wäre erforderlich gewesen, um den berechtigten Token-Antragsteller zu ermitteln.
Es kam während der Verarbeitung der Daten tatsächlich zu einigen widersprüchlichen Transaktionen. Hierbei hatten jedoch Benutzer versehentlich zweimal den selben Startwert migriert. Alle Migrationsübermittlungen wurden anschließend von allen Knoten des Netzwerks validiert und bestätigt.
Die Token fanden sich kurz nach dem Neustart des Koordinators erfolgreich in den neuen Benutzer-Konten. Auch zukünftig ist die Trinity-Wallet erste Wahl, wenn man IOTA-Token kaufen möchte.
Coordicide soll IOTA-Koordinator ersetzen
Der Koordinator war von Anfang an als vorübergehender Sicherheitsmechanismus für das IOTA-Netzwerk gedacht. Damit konnte das IOTA-Netzwerk früh starken und das Team im Hintergrund intensiv an der Erforschung und Entwicklung neuartiger Konsensmechanismen arbeiten.
Die Bemühungen, den Koordinator durch die Entwicklung eines neuen Konsensmechanismus aus dem Netzwerk zu entfernen, hat die Foundation später als Coordicide (Koordizid) bezeichnet und angekündigt.
Der IOTA-Koordinator steht aber weiterhin bei vielen Kritikern ganz oben auf der Liste. Doch genau dieser Mechanismus hat in diesem Fall Benutzertoken geschützt und weitere Diebstähle verhindert. Das vorrangige Ziel bleibt weiterhin die vollständige Dezentralisierung, so die IOTA-Foundation auf ihrem Blog.
Die IOTA-Foundation ist nach dem Angriff durch Hacker um Schadensregulierung bemüht. So lässt sich auch die 100%ige Entschädigung der betroffenen Nutzer erklären. Trotzdem verfolgt die Stiftung auch weiterhin das Ziel, das vertrauenswürdigste Unternehmern der Branche zu werden.
Neben strengeren Sicherheitsregeln ist auch Transparenz in allen zukünftigen Maßnahmen wichtig. Außerdem soll der IOTA-Koordinator bald ganz wegfallen.
Schutz vor zukünftigen Hacker-Angriffen
Die folgende Maßnahmen sollen IOTA vor einem weiteren Hackerangriff schützen. So will die Foundation das Vertrauen ihrer Nutzer und Befürworter zurück gewinnen. Schließlich gilt IOTA als das digitale Rückgrat der Wirtschaft und soll schon bald zum Standard für die Industrie 4.0 aufsteigen.
- Zur Verstärkung der Software-Sicherheit wird ein neuer Chief Sales Officer (CSO/Vertriebsvorstand) eingesetzt, der alle Sicherheitspraktiken überwacht.
- Die IOTA-Foundation will in Zukunft noch enger mit externen Sicherheitsprüfungsunternehmen zusammenarbeiten. Die Hauptversionen von kritischer Software sollen ausschließlich extern geprüft werden.
- Dieser Standard wird auch von jedem Partner erwartet, der mit der IOTA-Foundation zusammenarbeiten will.
- Ein Modell soll in Zukunft die gesamte Architektur in den Anwendungen der IOTA-Foundation überprüfen und ihre Sicherheit gewährleisten.
- Mithilfe einer Risikoanalyse lassen sich Architekturfehler in Anwendungen identifizieren und verwalten.
- Jede Anwendung in bestehender und neuer Software erhält ab sofort einen Risikograd zugewiesen, der die entsprechenden Sicherheitsanforderungen festlegt.
- Der IOTA-Tangle wird von besseren Sicherheits-Tools auf den Permanodes geschützt. Damit lassen sich Muster früh identifiziert und herausgefiltern.
IOTA-Tangle nicht sicher genug
Die IOTA-Foundation will auch zukünftig ihre aktuelle Sicherheitslage und Prüfungsergebnisse transparent gestalten, wo immer dies möglich und angemessen ist. Es bleibt abzuwarten, ob die Opfer tatsächlich ihr Geld erhalten. Denn bisher ist dies nur eine offizielle Ankündigung des Co-Gründers.
Hinsichtlich der Sicherheit des IOTA-Systems muss die Foundation offensichtlich deutlich nachlegen. Zumindest in Form von besserer Risikoüberwachung bei externen Anwendungen. Und gespannt wartet die Community auf die endgültige Deaktivierung des IOTA-Koordinators.