Eine detaillierte Beschreibung von dem was passiert ist, ist jetzt online.
Ich hab mir das mal durchgelesen, und eine Nacht drüber geschlafen, weil ich zunächst ein wenig zu aufgebracht war, um dazu etwas in einem "vernünftigen" Ton zu schreiben.
Warum war ich aufgebracht?
Weil IOTA hiermit eine neue Grenze überschritten hat.
Näheres in meiner Analyse:
At the time of its integration into Trinity, Moonpay was only available as bundled code delivered by a CDN (content delivery network), so the IOTA Foundation integrated it as such. Although widely used in web technologies, CDN delivery has inherent risks. One of those risks is that the code expected by the device could be unknowingly replaced with code that is not expected. The IOTA Foundation flagged the risks involved and requested an NPM (Node package manager) to mitigate it. This was later published by Moonpay, after most of the integration work had already been done, but release pressure and human error added up to the Foundation not switching to the more secure NPM package prior to launch.
Okay, soweit ein "human fuck up", der zwar nicht passieren sollte, aber natürlich immer passieren kann.
Wenn so etwas allerdings in einer Wallet-Software passiert, mit der normale Menschen einen teilweise nicht unerheblichen Teil ihres Vermögens verwalten, und diesen unwiederbringlich verlieren können, ist das nicht mehr bloß fahrlässig, sondern in meinen Augen jedenfalls grob fahrlässig.
Insofern wäre mein laienhafter juristischer Rat für jeden, dem daraus letzten Endes ein Schaden entstanden ist, über den Gang zu einem Anwalt nachzudenken. Ich halte es nicht für ausgeschlossen, wenn auch nicht für extrem wahrscheinlich, dass man solche Schäden hier gegenüber der IOTA Foundation geltend machen könnte.
Ob es überhaupt letzten Endes Geschädigte geben wird, steht offensichtlich bisher nicht fest.
With the cooperation of Moonpay, we were able to get the logs of the past 18 months of their Cloudflare account.
Dass Moonpay/Cloudflare offensichtlich Logfiles über 18 Monate aufbewahrt, finde ich datenschutzrechtlich äußerst fragwürdig, aber das nur am Rande.
On January 25th, 2020, the active attack on Trinity began, where the attacker started shipping illicit code via Moonpay’s DNS provider at Cloudflare.
Over the next two weeks, the attacker refined the malicious code and exfiltration techniques using code obfuscation and modification of the Moonpay API endpoints. Within this window of time, the IOTA seeds were stolen. The process of code iteration and seed theft continued until the 10th of February (although there are indications that malicious SDKs were served even until the 14th of February), at which point Moonpay became aware of illicit routes and took action to delete the API key, change login credentials and remove inactive users. Unfortunately, the IOTA Foundation was not informed of the unsanctioned API access until observing it for ourselves in the Cloudfare logs received from Moonpay on February 15th.
Als hilfreicher Hinweis an alle Nutzer:
Wer seine Trinity Wallet zwischen dem 25.01. und 10.02. (oder sicherheitshalber 14.02.) nicht geöffnet hat, sollte
vermutlich sicher sein.
Steps Taken to Address the Incident
[...]
Built a new Tangle analytics toolset (utilizing our permanode) that tracks tokens in real-time. This tool will help support the ongoing criminal investigation
[...]
Brought on multiple security experts and firms to assist with the analysis and cyberforensic investigation, as well as develop the remediation plan.
[...]
Contacted the UK, German, and Maltese police and the FBI to report the incident and provided documentation and updates as they became available.
[...]
Contacted all relevant exchanges to gather insight into where the tokens had been transferred and to lock any unsold tokens.
Die IOTA-Foundation betreibt also nun ganz offiziell, chainalysis, arbeitet mit dem FBI zusammen (und der maltesischen Polizei?), und sieht es als ihre Aufgabe an, sich auch noch in die Angelegenheiten von Exchanges einzumischen, die ihren "Coin" nutzen.
Separately from this plan, the Foundation continues to be in contact with the involved exchanges and law enforcement to hopefully find the perpetrator and recover as many of the stolen tokens as possible.
Hier bin ich ein wenig ratlos.
Sollten die Coins nicht mit einem Rollback zurückgeholt werden?
Through an attack analysis, performed by the IOTA Foundation, it became clear that the pattern of the attacker was consolidating multiple packs of 28 Gi. We suspect this value was chosen to keep the USD value of one pack under 10,000 USD and avoid triggering exchanges’ KYC identification procedures. We immediately contacted all exchanges with the results of the pattern analysis and asked them to lock associated exchange accounts. The first reply from nearly all exchanges was that they had not received any of the stolen token bundles. Due to the processing structure of the bundles, it was hard to shake the suspicion that the bundles had been sent to an exchange address. After escalating multiple times, we received sets of exchange deposit transaction logs. When we analyzed these logs with our Tangle analytics toolsets we, unfortunately, found that several addresses were owned by an exchange. We requested the exchange again to immediately lock the accounts, and are currently in further correspondence with them to assess the full picture of the amount of tokens the attacker was able to convert and transfer out of the exchange.
Das ist der Punkt, der mich so aufgebracht hat.
Auf den ersten Blick klingt es vielleicht harmlos, dass man sich darum bemüht, den Weg der gestohlenen Coins nachzuverfolgen, und die Börsen darauf hinweist, betreffende Accounts zu sperren.
Warum sehe ich hier aber eine Grenze überschritten?
Nun, ich habe Ethereum in der Vergangenheit dafür kritisiert, dass sie im Falle des TheDAO-Desasters einen Hardfork durchgesetzt haben, der dieses quasi ungeschehen macht.
Natürlich hatte ich stets auch Verständnis dafür, dass sich Ethereum zu diesem Schritt gezwungen sah, insbesondere in Anbetracht der damaligen Dimensionen.
Im Falle des aktuellen IOTA-Fuckups sind die Dimensionen jedoch deutlich überschaubarer, der Schaden hält sich, zumindest, soweit ich das erkennen kann, in sehr engen Grenzen.
Hiermit einen Rollback zu rechtfertigen, ist schon recht gewagt.
Die Grenze aber zu überschreiten, nicht lediglich die Blockchain (bzw. den Tangle) unter eigener Kontrolle zu ändern, sondern gar soweit zu gehen, gegenüber Dritten Forderungen aufzustellen, dass sie bestimmte Accounts sperren, geht einen unglückseligen Schritt weiter.
Die IOTA Foundation sieht es also offensichtlich nicht bloss als ihr Recht/ihre Pflicht an, den eigenen Tangle zu kontrollieren, sondern auch die Benutzung der eigenen Tokens durch Dritte!
Wohlgemerkt, ich habe Verständnis für jeden Geschädigten, der bereit ist, zugunsten des Schutzes seines eigenen Vermögens auch billigend in Kauf zu nehmen, dass im Zweifel auch Machtmissbrauch zu seinen Gunsten betrieben wird.
Nur kann sich die IOTA Foundation ab dem heutigen Tage nicht länger darauf berufen, für irgendetwas anderes zu stehen als für die vollständige Kontrolle, Zensur, Allmacht über den Tangle und die darin enthaltenen Tokens.
Ich würde soweit gehen,
den 21.02.2020 als Tag der Machtergreifung der IOTA Foundation zu schmähen
(wohlwissend, dass mich ein solcher Vergleich nicht sonderlich populär machen wird).
Wenn man in diesen 7 Tagen keine Zeit hat, dann soll man sich eine vertrauenswürdige Person suchen, die die Migration für einen macht. Und wenn man diese Person nicht hat oder, noch besser, vielleicht jetzt gerade im Urlaub oder Krankenhaus ist, dann bekommt man von dieser Migrationsphase gar nichts mit und findet dann vielleicht sein Trinity-Wallet leer vor. 