Уязвимость заморозила сотни миллионов долларов на Ethereum-счетах

Теги: Parity

Уязвимость, обнаруженная в популярном кошельке, за последние месяцы потенциально заморозила сотни миллионов долларов в криптовалюте.

Компания Parity Technologies, провайдер широко используемого кошелька Parity, рассказала о проблеме, которая могла бы “стереть” содержимое кошельков пользователей.

Эта проблема затрагивает кошельки multi-sig - технологией, которая использует согласие нескольких сторон для обеспечения дополнительной безопасности транзакций - которые были созданы после 20 июля. Другими словами, пользователи, участвовавшие в ICO с тех пор, могли пострадать от этой проблемы.

Это уже второй “тревожный звонок” - всего несколько месяцев назад была обнаружена большая ошибка Parity с потенциально высокими рисками для Ethereum. На сегодняшний день эта криптовалюта является второй по величине в мире с общей рыночной капитализацией свыше $27 млрд. В июле уязвимость в Parity привела к краже 150,000 ETH (на тот момент около $30 млн).

Эта ошибка была исправлена 19 июля - отсюда дата 20 июля. Одним из положительных результатов этого “первого звонка” стало то, что многие пользователи в сообществе Ethereum, и особенно те, кто участвовал в ICO, отказались от технологии multi-sig в пользу альтернатив, включая тех, кто использовал Parity.

Но все же это остается серьезной проблемой безопасности с потенциально широкими последствиями. В Parity объяснили, что они обнаружили проблему, когда один из кошельков пользователей был обнулен.

После исправления оригинальной проблемы multi-sig, 20 июля была развернута новая версия контракта библиотеки Parity Wallet. Однако этот код по-прежнему содержал еще одну проблему - можно было превратить контракт библиотеки Parity Wallet в обычный кошелек с multi-sig и стать его владельцем, вызвав функцию initWallet. 6 ноября 2017 года 02:33:47 PM + UTC пользователь “убил” библиотеку, уничтожив библиотечный код, который, в свою очередь, сделал все контракты с несколькими сигами недействительными, поскольку их логика (любая изменяющая состояние функция) находилась внутри библиотеки.

Проблема, по мнению экспертов, связана с тем, что Parity Wallet работает как смарт-контракт.

Пока не сообщается о потерянных или украденных монетах, но уже ясно, что значительная сумма Ethereum находится под угрозой.

По предварительным оценкам исследователя Патрика МакКорри (Patrick McCorry) по крайней мере 600,000 ETH (стоимостью около $150 млн) заморожены. МакКорри заявил, что общая сумма, вероятно, будет выше.

Одной из пострадавших компаний является Polkadot, проект, связывающий приватные и публичные блокчейны, который привлек более $140 млн при продаже токенов. Его организатором является соучредитель компании Parity Гэвин Вуд (Gavin Wood). Polkadot подтвердил, что его кошельки были заморожены.

На новостях об уязвимости цена Ethereum упала с $305 до $291, достигнув самого низкого значения за две недели. Как дальше будут развиваться события зависит от того, насколько серьезной окажется уязвимость и на какую долю в общей массе ETH она окажет влияние.

← Назад Поделиться: