IOTA, un proyecto de blockchain destinado a resolver la integración con Internet de las cosas (IOT), ha sido atacado o se ha explotado una vulnerabilidad en la aplicación de billetera Trinity. La fundación ha recomendado que los usuarios no abran Trinity, hasta que hayan encontrado la causa del exploit.
About $1.6 Million USD worth of #iota have been stolen from ~10 high-value accounts. Bug is likely in the (official) desktop wallet. Network completely stopped for nearly 24 hours now.#IOTAstrong just keeps on giving. pic.twitter.com/CMwyRRtYy0
— 00xou (@00xou) February 13, 2020
Trinity es una billetera que está disponible para dispositivos móviles, Windows y MacOS, por lo que una gran variedad de usuarios podrían verse afectados, sin embargo, los primeros informes solo han contabilizado a 10 víctimas. La mitad de las víctimas denunciadas están en comunicación con el equipo de IOTA.
Los detalles sobre el incidente son escasos en este momento, pero sabemos que la evidencia apunta hacia el robo de semillas de recuperación. Actualmente se desconoce cómo podrían haberse robado las semillas. Hasta ahora, ningún usuario móvil se ha visto afectado, solo un usuario de Mac se ha visto afectado y el resto de las víctimas eran usuarios de Windows Trinity.
La fundación IOTA aún está investigando los informes y publicará un resumen completo una vez que concluyan la investigación. No pueden descartar otras causas en este momento.
Si ha sido afectado, el equipo lo insta a comunicarse a través de su canal Discord #help. También tienen una página oficial con actualizaciones de la investigación actual, aquí.
Está no es la primera vez que IOTA tiene problemas de seguridad
Las billeteras de IOTA han tenido vulnerabilidades de seguridad en el pasado. Se informó que las primeras implementaciones de la billetera de IOTA eran inestables y causaban la pérdida o el envío de tokens a direcciones incorrectas. Muchos de los primeros usuarios tuvieron quejas, y el equipo respondió haciendo una serie de mejoras en la billetera.
En otro incidente con una vulnerabilidad de seguridad importante, IOTA empleó una función hash auto-enrollada que fue criticada por un equipo de investigadores del MIT. El equipo de IOTA negó las vulnerabilidades encontradas por el equipo del MIT, y se produjo una guerra en llamas en las redes sociales.
IOTA corrigió la vulnerabilidad criptográfica poco después, pero fue comentada por investigadores criptográficos independientes. IOTA insistió en que MIT tergiversó los riesgos, así como sus hallazgos.
En otro incidente con un actor malicioso, un hacker británico robó más de $11 millones en tokens IOTA y fue detenido por la policía. La fundación IOTA pudo recuperar casi todos los fondos robados, pero aún sufrió un golpe reputacional en las vulnerabilidades de seguridad.