قبل از هر چیزی باید این نکته را ذکر کنیم که سایت کوین ایران نیز مانند خیل عظیمی از وب سایت های معتبر خارجی و آموزش هایی که توسط فعالان حوزه رمزارز ها منتشر شده است، استفاده از Seed Generator های آنلاین را پیشنهاد کرده بود.
دلیل این موضوع این است که تنها روش ساخت Seed های IOTA برای کاربران عادی که دانش برنامه نویسی زیادی ندارند، استفاده از همین وب سایت ها بود.
هشدارهای امنیتی درباره تمامی کیف پول های آنلاین برای تمامی رمزارز ها
هشدار: رمزارز هایی مانند IOTA که مدت زیادی از پیدایش آنها نگذشته، هنوز جایگاه خود را به طور کامل به دست نیاورده اند. از آن مهم تر جامعه بسیار بزرگی مانند بیت کوین و اتریوم پشت آنها نیست؛ پس بهتر است همواره درمورد رمزارزهای نوظهور با احتیاط بیشتری رفتار کرد.
نکته:
بهتر است اگر وب سایت های تولید کننده Seed ، کلید خصوصی و …. نسخه ای آفلاین از خود را ارائه می کنند، این نسخه را دانلود کرده و عملیات ساخت کلید خصوصی و Seed جدید را در کامپیوتر خود انجام دهید؛ به این دلیل که ممکن است ارتباط کامپیوتر شما با این وب سایت ها امن نبوده و توسط فرد دیگری رصد شود و کلید خصوصی تولید شده در این وب سایت ها علاوه بر شما در اختیار هکر نیز قرار گیرد. در بدبینانه ترین حالت نیز ممکن است این وب سایت ها کلید خصوصی تولید شده به صورت رندوم برای شما را در سرورهای خود ذخیره کنند. در این صورت کافی است هکرها سرورهای آنها را هک کرده و به کلیدهای خصوصی بسیاری از کاربران دسترسی پیدا کنند.
یک گفته قدیمی همیشه در دنیای کامپیوترها صادق است: امنیت و سهولت دشمن یکدیگرند. هر قدر کیف پول های یک رمزارز وابستگی بیشتری به اینترنت داشته و دسترسی به آن سهل تر باشد، امنیت کمتری خواهد داشت. ایمن ترین کیف پول های رمزارزها ، کیف پول هایی هستند که کلیدهای خصوصی و Seed شان کاملا آفلاین تولید شده و آفلاین نیز نگهداری شود (کیف پول های کاغذی و سخت افزاری).
ماجرای هک کیف پول های IOTA
چند روز پیش تعدادی از کاربران IOTA ادعا کردند که موجودی کیف پول شان توسط افرادی ناشناس خالی شده است. با بررسی هایی که انجام شد مشخص گردید که مجموعا 4 میلیون دلار IOTA از کیف پول های این کاربران سرقت شده است.
شاید بپرسید چگونه؟ دلیل این موضوع به Seed Generator های آنلاین IOTA بر می گردد. استفاده از این وب سایت ها تنها راه ساخت Seed و کیف پول جدید IOTA برای کاربران ناآشنا به برنامه نویسی بودند؛ و به دلیل اینکه راه جایگزین دیگری با کاربری آسان وجود نداشت، تقریبا تمام ویدیوهای آموزشی ساخت کیف پول IOTA، این روش را به کاربران پیشنهاد می کردند.
مقصر که بود؟
شاید مقصر اصلی این داستان سازندگان کیف پول رسمی IOTA باشند. در هنگام ساخت یک کیف پول جدید IOTA، به جای آن که خود این کیف پول، Seed جدیدی را برای کاربر تولید کند، از وی می خواهد تا Seed ای از قبل تولید شده به طول 81 کاراکتر را در آن وارد نماید تا بتواند به کیف پول خود دسترسی پیدا کند.
در راهنماهای رسمی IOTA و در راهنمای وب سایت HelloIOTA ، راه هایی چون استفاده از ترمینال های مک و لینوکس و یا استفاده از یک Seed Generator با الگوریتم IPFS نیز به عنوان روش های جایگزین استفاده از Seed Generator های آنلاین معرفی شده است. هر چند هیچ کدام از این روش ها برای کاربران متوسط و نا آشنا به دنیای برنامه نویسی روش آسانی به نظر نمی رسند. به همین دلیل اکثر کاربران جدیدی که جذب IOTA می شوند، در آخر به استفاده از Seed Generator های آنلاین روی می آورند.
آقای Richard Heart، یکی از افراد تاثیرگذار در فضای مجازی، با انتشار توییت هایی شدیدا از عملکرد IOTA انتقاد کرد و نوشت: “اگر تا به این لحظه دنبال نمونه ای از یک فاجعه در دنیای رمزارزها بودید، IOTA مثال بسیار خوبی است. نه تنها مکانیزم پشت این رمز ارز همچنان در هاله ای از ابهام است و مشخص نیست که آیا واقعا می تواند به وعده های خود عمل کند، بلکه کیف پول رسمی این رمزارز حتی یک Seed برای کاربران خود تولید نمی کند. به همین دلیل بسیاری از کاربرانی که به Seed Generator های آنلاین اعتماد کرده بودند، هک شده و سرمایه موجود در کیف پول خود را از دست داده اند.”
وب سایت https://iotaseed.io که محبوب ترین وب سایت تولید Seed های IOTA بود، به دلیل این هک و اعتراض کاربران، سرویس های خود را به طور کامل قطع و تنها با نوشتن پیغامی از کاربران خود عذرخواهی کرده است.
روش کار وب سایت Seed
روش کار در این وب سایت به گونه ای بود که ابتدا از کاربران درخواست می شد تا موس خود را در الگوی تصادفی حرکت دهند. این حرکت تصادفی تحت تاثیر تعدادی توابع تصادفی مشخص دیگری قرار می گرفت و در آخر Seed ای به منظور استفاده در کیف پول IOTA، به کاربر تحویل داده می شد. همچنین یک کیف پول کاغذی نیز برای چاپ تولید می شد ( از همان Seed).
علاوه بر این برای راحتی بیشتر کاربران، این Seed در قالب یک عبارت 12 کلمه ای (mnemonic phrase) نیز در اختیار کاربر قرار داده میشد.
حملات DDoS به گره های کامل IOTA
بنابر پستی در وبلاگ آقای Ralf Rottmann، از اعضای شبکه IOTA Evangelist، هکرها حملات DDos متعددی را بر روی گره های کامل (Full Nodes) شبکه IOTA انجام دادند و به این صورت پس از خالی کردن حساب ها، با مسدود کردن شبکه مانع از هر گونه اقدام جهت پیگیری و بازگرداندن موجودی آنها شدند.
هکرها کلیدهای خصوصی کیف پول کاربران را از سایت های آنلاین Seed Generator به دست آورده بودند و پس از دسترسی به کیف پول آنها، شبکه IOTA را نیز با انجام حملات متعدد به گره های عمومی آن، به نفع خود مسدود کردند. تمهیداتی برای افزایش امنیت گره های IOTA در آینده، در حال بررسی است.
واکنش جامعه توسعه دهندگان IOTA
جامعه توسعه دهندگان IOTA، تقصیر را نپذیرفته اند. آنها ادعا می کنند که همیشه به کاربران هشدار می دادند که خود، Seed خود را تولید کنند و یا در صورت استفاده از Seed Generator های آنلاین، کمی آن را تغییر دهند. به گفته آنها ضعف امنیتی یک وب سایت به معنی ضعف امنیتی شبکه IOTA و Tangle نیست.
IOTA اخیرا حواشی رسانه ای زیادی داشت. چه خبر همکاری آن با Microsoft، که باعث افزایش قیمت شدید آن شد ( ولی بعدا در کنفرانس های خبری مشخص شد که این یک همکاری مستقیم نبوده و به همین دلیل دوباره قیمت آن افت شدیدی پیدا کرد)؛ چه مشکلات امنیتی ای که در پاییز امسال در کد های آن پیدا شد و به سرعت رفع گردید؛ و چه خبر هک بزرگ اخیر.
همان قدر که IOTA و تکنولوژی Tangle آن، به دلیل قابلیت های منحصر به فردش خبرساز شده بود، حواشی امنیتی آن نیز همیشه بحث برانگیز و رسانه ای بوده است.