A IOTA, a principal criptomoeda com foco em Internet of Things, está há mais de 10 dias completamente inativa. Assim, após o ataque hacker à Trinity Wallet, a IOTA Foundation afirmou que não irá normalizar o “Tangle”, sua DLT, até março.
Em 12 de fevereiro, hackers conseguiram identificar e explorar uma falha de segurança através da Trinity Wallet. Embora a Trinity Wallet não seja a carteira oficial da criptomoeda, ela foi amplamente divulgada e apoiada pela organização. Segundo a IOTA Foundation, o valor total hackeado foi de 8,55 Ti, cerca de US$ 2,3 milhões.
Após pedirem para que seus clientes gerassem novas seeds, e trocassem de senhas, a fundação manteve sua rede offline. Contudo, os desenvolvedores declararam que tudo estará normalizado até 02 de março.
Melhorias à caminho
Além disso, a IOTA Foundation irá revisar seus updates futuros para que “erro humano e a pressão em lançar uma nova versão o mais rápido possível” não resultem em erros como este. Para isso, a fundação irá implementar novos procedimentos listados abaixo:
- Aumentamos o foco em nossa abordagem à segurança de software. Adicionaremos aos nossos processos de segurança atuais um novo CSO que supervisionará todas as práticas de segurança.
- A IF (IOTA Foundation) está aumentando seus compromissos existentes com empresas de auditoria de segurança externa e exigirá auditorias externas completas para os principais lançamentos de qualquer software crítico.
- A Fundação exigirá o mesmo padrão de terceiros com os quais nos integramos.
- A IF aderirá a um modelo para a arquitetura geral de segurança dos aplicativos e revisará a segurança dos aplicativos regularmente para obter os principais objetivos de segurança.
- Os requisitos para novas funcionalidades, tanto no software existente quanto no novo, serão [mais] rigorosamente avaliados por meio de uma estrutura de requisitos de segurança.
- Todos os níveis de risco do aplicativo serão revisados regularmente. Os requisitos da estrutura de segurança para aplicativos serão baseados no nível de risco.
- A metodologia de modelagem de ameaças será implementada para todos os níveis de segurança de aplicativos, a fim de identificar e gerenciar falhas no projeto de arquitetura.
- A IF analisará sua lista de materiais atual para todos os aplicativos existentes.
- Todos os projetos novos e existentes e suas integrações de rastreamento de dependências de terceiros terão uma política mais rígida para os níveis de vulnerabilidade das dependências de terceiros.
- Todos os PRs de integração de terceiros exigem uma aprovação manual do campeão de segurança da equipe, SecOps ou CSO.
- A IF também identificou a necessidade de melhores ferramentas de análise de dados no emaranhado. Embora atualmente tenhamos a capacidade de analisar o comportamento do emaranhado e os padrões de transação, estamos construindo melhores ferramentas sobre nossos permanodes para nos permitir identificar e filtrar padrões em tempo real.
- Finalmente, a IF se esforçará para tornar sua postura de segurança e resultados de auditoria mais transparentes, sempre que possível e apropriado.
