Iota gestohlen! Sind deine Iota sicher?

in #crypto-news7 years ago (edited)

Was ist mit den Iota passiert?

Gestern machten viele Nutzer der Iota light Wallet eine schlimme Entdeckung, als sie sich per Seed in ihre Wallet einloggen wollten und ihre kompletten Iota verschwunden waren.
Betrüger haben sich eine kleine Unaufmerksamkeit der Wallet Besitzer zunutze gemacht um sich selbst zu bereichern.


Was könnt ihr nun tun um euro Iota zu schützen.

Setzt eine neue wallet auf und sendet euch selbst mit einem neu gnerierten transaktionscode eure Iota zu.
Generiert den neuen Seed NICHT auf einer Website sondern schreibt ihn auf die Anstrengende aber sichere Art von Hand in Caps und in Neunen.
Speichert den Seed danach nur auf einer externen Festplatte ohne Internetzugang wie einem Usb Stick und löscht ihn von allen Geräten mit Internetzugang.
Bleibt danach immer sicher und behaltet den Seed nur für euch und nur auf dem externen Speichermedium.

Editiert aufgrund der vielen Aufrufe

Hintergrund


Wer sich eine Iota wallet aufgesetzt hat, weis das die Iota Walets keinen klassischen Public und Private key besitzen, sondern durch einen bis zu 81 stelligen Code gesichert sind.
Dieser Code, auch "Seed" genannt besteht aus lateinischen Großbuchstaben und Neunen.
Per Seed kann man auf jede wallet zugreifen, doch durch die nahezu unendlichen Kombination an Buchstaben und Zahlen
ist es unmöglich eine wallet per "Zufall" zu knacken.

Da es allerdings sehr umständlich ist sich einen Seed auszudenken greifen viele Nutzer auf bewährten Online Seedgeneratoren zurück.
Doch wie sicher sind diese Generatoren, liefert man nicht möglicherweise die Zugangsdaten für seine Iota nicht direkt an die Betreiber der Webseite.
Doch genau das tut man!
Seeds von denen man vermutet, das sie auf der Seite iotaseed.io generiert wurde, wurden von Angreifern genutzt um auf fremde Wallets zuzugreifen.

Mit DDOS-Attacken wurden dabei gleichzeitig die öffentlichen IOTA Fullnodes lahmgelegt. Die Fullnodes spielen im IOTA-Netzwerk eine sehr wichtige Rolle, wenn es um das Verarbeiten von Transaktionen geht. Gerade dieser wichtige Bestandteil des Netzwerkes wurde durch Spam-DDOS-Attecken von den Dieben lahmgelegt, sodass die Geschädigten keine Möglichkeiten hatten ihre IOTA in Sicherheit zu bringen.

Lediglich private Nodes waren nicht von den Attacken betroffen. Die Öffentlichen Full-Nodes arbeiten nun daran, wie man sich im Falle einer umgreifenden DDOS-Attacke das nächste mal besser schützen kann.

Was kann man daraus lernen:

Generiert eure Seeds offline, um die Möglichkeit auszuschließen, das Dritte mitlesen.
Verratet niemals eure seeds irgendjemandem, um zu verhindern, das Dritte auf euere wallet zugreifen.

Gebt eure Seeds niemals auf irgendeiner Website oder einem Chatroom an.
Die Seed IST euer "private key" und darf niemals in die Hände eines Dritten fallen.
Im Optimalfall speichert ihr die Seeds und private keys im Allgemeinen immer auf externen Festplatten, niemals auf einem Gerät mit Internetzugang.

An dieser Stelle will ich noch einmal ganz eindeutig davor warnen seine Seeds auf den Websites von unbeteiligten zu generieren


Folge uns auf:

Twitter: https://twitter.com/to_moonde
Instagram: https://www.instagram.com/__2moon/
YouTube: https://goo.gl/W22WJ8

Dieser Beitrag basiert auf https://medium.com/@ralf/what-happened-last-night-on-iota-b6157ade1e03

Sort:  

Gibt es eigentlich mal auch was positives über IOTA zu hören? Dass mit den Seeds - geschenkt, auch wenn es traurig ist dass deren grottige Javawallet nicht in der Lage ist einen Seed zu generieren, ich mein wtf wie schwer kann das sein. Aber dass ein DDoS das Netzwerk lahmlegt, au weia ... aber gut was erwartet man schon an Sicherheit im Umfeld vom IOT. Wenn man dann noch an die Fake-News der Entwickler denkt, an die Backdoor die das MIT entdeckt hat usw, wenn der Markt rational wär wär der IOTA-Kurs schon längst auf 0.

Ja, das ist jetzt in diesem fall allerdings nicht die Schuld vom Iota Netzwerk. Klar, wenn die Seeds in der Wallet generiert worden wären, wäre das ganze sicherer aber die Nutzer waren teilweise auch unachtsam.
Man muss jetzt eben auf die neue iota Wallet warten-

Bin jetzt nicht so richtig drin, aber ich denke man kann ein Netzwerk schon so designen dass es nicht von so einfach ein paar Scriptkiddies geddost werden kann

Das problem ist dass die meisten Public-Full-Nodes bei irgendwelchen Privatpersonen auf dem RaspberryPi laufen ..

Das sind keine DDos gesicherten Großserver - dezentral eben mit allen Vor- und Nachteilen :/

Wie mein Vorgänger schon richtig sagte, ist es nicht "die Aufgabe von IOTA" ein sicheres Netzwerk bereitzustellen. Das Netzwerk und die Kryptographische Technik hinter IOTA (und jeder anderen K.Währung) sind unterschiedliche Dinge.

IOTA wurde nicht ohne Grund "Open Source" entwickelt. Es soll nunmal jeder versuchen eine Node auf dem PI zu installieren, einfach damit sich jemand mit IOTA und Tangle auseinander setzt. Die Gründer von IOTA haben nur das Grundgerüst gegeben, die anderen müssen den Rest machen.

Nur weil du Mehl und Eier hast , hast du noch keinen Kuchen, hihi :)

Gegen eine DDos Attacke ist noch nicht mal die CIA sicher. Denen ist das auch schon passiert. Meinst du den die anderen Kryptowährungen wären sicher? Bei Bitcoin und einigen anderen sind auch schon deutliche Pannen passiert wo es teils um mehrere Milliarden ging.

Iota braucht wirklich ein neues Wallet, dass den Seed automatisch erstellt. Dann kann so etwas nicht mehr passieren. Ich bin auf Ende Januar / Anfang Februar gespannt, wenn die Beta Versionen der mobilen & Desktop Wallet erscheinen.

Ja, ich bin auch gespannt aber als ich das mit dem online Seedgenerator das erste mal gesehen habe war ich sofort skeptisch.
Ein integrierter Seedgenerator wäre schon sicherer.

Ich bin mir nicht sicher, was ich davon halten soll. Schließlich war dies ein Fehler des Nutzers (außer die DDoS Geschichte). Ich meine, wenn ich im Supermarkt mit Karte bezahle, dann decke ich doch mit meiner Hand die Tastenfläche ab.

IOTA bleibt eine spannende Geschichte und der einzige Fehler sind die hohen Erwartungen und die gier der Menschen damit Geld zu verdienen.
IOTA bietet nicht umsonst die ganzen APIs an etc. aber trotzdem sieht man nur wie die Community Arbeiten am Repository etc. sinken

Stiimme dir da voll und ganz zu!

Ich habe den Scam-Generator heruntergeladen und offline genutzt. Hatte allerdings während des Diebstahls keine IOTA in meinem Wallet.

Würdet Ihr vermuten dass die Seeds kompromitiert sind obwohl die Seite heruntergeladen war und ohne Internetverbindung die Seeds generiert wurden? (Wifi-Off)

Vielleicht über eine mitgelieferte Seed-Liste oder einen masterkey?
Die Scam Seite lies sich auf jeden Fall herunterladen und offline verwenden.

(Die Seeds habe ich slebstverständlich aus dem Verkehr gezogen.)

Da hast du auf jeden Fall nochmal Glück gehabt.

Das auf jeden Fall!

Die Frage ist jetzt: Schadet es IOTA nachhaltig?

Die Technik hat nicht versagt, allerdings werden die Devs angegriffen warum das Wallet keine Seeds generieren kann und die Publicity ist gerade "IOTA wurden gestohlen und sind nicht mehr sicher!"

Wie schätzt ihr die Lage ein?

It's notbad

wir brauchen mehr solcher Beiträge, die der Community weiterhelfen. Vielen Dank:)