Cremos que más de uno en la Fundación siente hervir la sangre con tan solo recordarlo. From IOTA to the Moonpay es el nombre de una lección millonaria. El hack de 2020 es una enseñanza. Todo lo que haya que hacerse en materia de seguridad debe hacerse un millón de veces.
El acto de piratería resalta que ignorar las mejores prácticas puede resultar contraproducente, como se vio en este caso. Nunca estará demás examinar cuidadosamente a nuestros socios. Estos y otros consejos son expuestos en este contenido a medida que IOTA crece.
Ser un proveedor de soluciones o un potencial socio corporativo nuevo en el mercado no es una descalificación automática. Si las empresas no dieran oportunidad a las nuevas empresas, no nos quedaría ninguna en el juego.
Puedes leer: IOTA, la 6G y porque los estados guerreros se impacientan
Más allá de toda la flexibilidad la experiencia From IOTA to the Moonpay dice que no hace daño examinar a sus socios adecuadamente. Es menester asegurarse que se adhieren a los estándares de la industria cuando se trata de prácticas básicas de seguridad.
From IOTA to the Moonpay
Al trabajar con MoonPay, la IOTA pasó por alto la realización de auditorías de seguridad de su infraestructura. Todo esto lo trae al recuerdo Ax Sharma, Security Researcher, Engineer, Tech Columnist. IOTA presionada por lanzar un producto que funcionara rápidamente no lo hizo. Una exhaustiva auditoría de seguridad y prueba de bolígrafo habrían revelado cualquier vulnerabilidad de seguridad que acechara en el CDN.
IOTA, que es «el primer DLT construido para el IoT» había estado confiando en la infraestructura de MoonPay. Dejó en manos de los nuevos proporcionar características relacionadas con su cartera de cripto-moneda llamada Trinity.
Para la época David Sønstebø, el fundador de IOTA encaró las explicaciones. Los datos salieron a través de CoinTelegraph. «El hack en sí mismo estaba en la infraestructura de MoonPay”, aseguró Sønstebø. Sin embargo debido a la forma en que se integró en la cartera de Iota, había una vulnerabilidad. Esa grieta fue explotada por el hacker. La cantidad total de iotas desviada de las cuentas fue 8.52 Ti.»
Puedes leer: ¿Qué puede implicar la inteligencia artificial para las religiones?
Antes del viaje From IOTA to the Moonpay, la plataforma se describía “el nuevo estándar para el fiat al cripto”. “Construimos herramientas de desarrollo para hacer las criptodivisas accesibles a todos.»
Y la historia es interesante en si misma. Justo ahora Moonpay anunció que proveerá «acceso directo a Apple Pay, Samsung Pay, Visa, Mastercard y otros procesadores de pago» en más de 160 países.
Con la guardia abajo
En esta historia From IOTA to the Moonpay hay que precisar que la plataforma de pago tenia la guardia abajo. Todos saben que la IOTA se hizo responsable de todo el hack y pagó a todos los afectados. Sin embargo hay que dejar algunos datos forenses a la vista de todos.
En el momento del hack de la IOTA, MoonPay tenía controles de seguridad inadecuados. Por parte de IOTA existía «la presión de la liberación que desencadenó el error humano». No se discutió con fuerza lo relativo a red de distribución de contenidos o el sistema de gestión de paquetes.
Un análisis detallado de la IOTA compartido en su blog rastreó el asunto hasta el SDK de MoonPay. Estaba alojado en una Red de Entrega de Contenido (CDN), sujeto a potenciales abusos por parte de los hackers.
Aunque MoonPay, a petición de la IOTA, proporcionó un módulo Node.js que mitigara esos riesgos de seguridad que podrían surgir de su infraestructura CDN, se hizo hacia el final del proceso de integración, lo que provocó un descuido del problema de seguridad.
«En el momento de su integración en Trinity, Moonpay sólo estaba disponible como código agrupado entregado por un CDN, por lo que la Fundación IOTA lo integró como tal. Aunque se utiliza ampliamente en las tecnologías web, la entrega de CDN tiene riesgos inherentes. Uno de esos riesgos es que el código esperado por el dispositivo podría ser sustituido sin saberlo por código no esperado», explica la entrada del blog.
Solo quedó la experiencia
Esta revisión al estilo NCIS de from IOTA to Moonpay, advierten sobre los riesgos de seguridad que constantemente se corren. «La Fundación IOTA señaló los riesgos involucrados y solicitó un módulo NPM (Node package manager) para mitigarlos. Esto fue publicado más tarde por MoonPay, después de que la mayor parte del trabajo de integración ya se había hecho, pero la presión de la liberación y el error humano se sumaron para que la Fundación no cambiara al paquete NPM más seguro antes del lanzamiento».
Puedes leer: SOCIETY2 piensa usar Colored Coins para pagar a sus usuarios
«Esta fue la debilidad aprovechada por el atacante y una que probablemente podría haberse resuelto si la Fundación hubiera tenido un proceso de revisión más extenso y cruzado de equipos para lanzamientos más grandes», explicó más adelante el post.
De todos modos, fue la IOTA la que asumió la responsabilidad de la infracción y las medidas y acciones apropiadas para compensar a las víctimas de la infracción. From IOTA to Moonpay es una historia aleccionadora que todos deben aprender.
