При создании IOTA-кошелька пользователям предлагаюь создать 81-символьную секретную фразу. Генерации по умолчанию нет, поэтому часть пользователей обращалась к услугам сторонних сервисов, чтобы выполнить требование. По данным HelloIOTA, есть несколько путей, в том числе seed-генератор на базе IPFS и инструмент для создания ключей через терминалы Mac и Linux. Однако эти решения не входят в число простых, так как требуют некоторых знаний. Альтернативой для менее продвинутых пользователей стал сайт iotaseed.io.
Сервис предоставлял быстрые варианты для генерации пароля IOTA- кошелька. Всё что требовалось – поводить мышкой по экрану, после чего создавался якобы «случайный» код, секретная фраза, которую, кроме владельцев кошельков, знать никто не должен.
Таким образом, люди сами открывали доступы к кошелькам перед злоумышленниками. Фишинговый сайт после разоблачения работать перестал. На данный момент, при посещении пользователя встречает надпись «Извините, закрыто».
Член IOTA Evangelist Network Ральф Роттманн сообщает, что мошенники организовали DDoS-атаку на известные полные ноды IOTA, чтобы жертвы не смогли восстановить свои средства:
«Злоумышленники знали кодовые фразы. Вы сами пригласили их в свои кошельки, передав ключи на блюдечке с голубой каёмочкой. Сообщество операторов полных нод обсуждает различные стратегии защиты нод сообщества от определённых схожих DDoS-атак в будущем».
Стоит отметить, что обнаруженная уязвимость никак не связана с технологией IOTA, а целиком на совести сайта по генерации пароля и доверчивых пользователей. Сообщество IOTA неоднократно призывало пользователей seed-генераторов менять части кодовых фраз в целях защиты.