В сети появилась информация о том, что держатели криптовалюты IOTA лишились почти 4 миллионов долларов в электронной валюте из-за того, что пользовались специализированный сервисом для генерации Seed (секретных фраз). Для создания IOTA-кошелька пользователю требуется ввести в форму специальную 81-символьную фразу, но инструмент для автоматического создания Seed кошельком не предоставляется. Поэтому, чтобы облегчить себе жизнь, держатели IOTA зачастую пользуются специальным Seed-генератором фраз на основе IPFS, а также инструментом для создания ключей в Mac- и Linux-терминалах. Но для пользования терминалами, пользователи должны обладать некоторым наличием технических знаний, поэтому многие пользовались услугами бесплатных сайтов. Одним из самых распространенных в сети сайтом по предоставлению подобных услуг был iotaseed.io.

На данный момент этот сайт уже не функционирует, и на нем просто опубликовано сообщение «Закрыто. Приносим свои извинения», но всего пару дней назад его основной задачей была генерация секретных фраз для кошельков IOTA. Для создания Seed пользователям нужно было несколько раз провести курсором мышки по экрану, чтобы «сгенерировать случайную фразу», после чего сайт выдавал секретную фразу, которая удовлетворяла требования кошелька.

По словам команды разработчиков IOTA Evangelist Network Ральфа Роттманна, после кражи средств с кошельков пострадавших, хакеры специально устроили DDoS-атаку на определенные ноды IOTA, чтобы не позволить своим жертвам восстановить средства.

Он пояснил: «Хакеры получили все кодовые фразы при помощи сайта для генерации Seed, а точнее говоря, пользователи сами фактически пригласили злоумышленников в свои кошельки, предоставив им ключи доступа на блюдечке. Мы уже обсуждаем различные стратегии для защиты полных нод от подобных DDoS-атак в будущем».

Конечно же, сообщество IOTA уже не раз предупреждало своих пользователей, что если они пользуются seed-генераторами на неизвестных сайтах, менять хотя бы часть сгенерированного кода вручную для защиты своего кошелька. А также было сказано, что пострадавшие сами виноваты в потере средств со своих кошельков, и это не является уязвимостью системы.