Следующая новость
Предыдущая новость

Случайная активация бага в Ethereum-кошельке Parity заблокировала $280 000 000

08.11.2017 19:28

Минувшим летом криптовалютный кошелек Parity уже попадал на первые полосы СМИ в связи с кибератакой. Тогда неизвестные злоумышленники воспользовались багом в контракте с мультиподписью, что позволило им похитить средства из чужих кошельков. В результате действий преступников пострадали все пользователи, имевшие дело с кошельками с мультиподписью, созданными ранее 19 июля 2017 года. В карманах похитителей тогда осело 153 000 ETH, то есть порядка 30 000 000 долларов по курсу на тот момент.

Кто бы мог подумать, что почти полгода спустя этот инцидент получит неожиданное продолжение.

В начале текущей недели компания Parity Technologies Ltd., занимающаяся разработкой кошелька Parity, опубликовала в блоге предупреждение, согласно которому, в библиотеке, отвечающей за работу смарт-контракта, который используют кошельки с мультиподписью, был обнаружен критический баг. Жертвами данной уязвимости стали пользователи кошельков с мультиподписью, созданными после 20 июля 2017 года.

Update: To the best of our knowledge the funds are frozen & can't be moved anywhere. The total ETH circulating social media is speculative.

— Parity Technologies (@ParityTech) November 7, 2017

Сопоставив даты, нетрудно заметить, что уязвимость была привнесена в код кошелька вместе с исправлением, вышедшим после нашумевшей летней атаки. Разработчики объясняют, что проблема позволяла превратить проблемную библиотеку/контракт в обычный кошелек с мультиподписью, а затем стать его владельцем, задействовав функцию initWallet. Именно это проделал пользователь, известный под псевдонимом Devops199.

Случайно (?) обнаружив баг и получив контроль, Devops199 отдал команду на самоуничтожение контракта, что вывело из строя множество кошельков с мультиподписью, а все средства на них оказались блокированы. Похоже, что Devops199 не совсем понимал, что делает, так как по собственному признанию – он новичок в области криптовалют и Ethereum.

???????????? ???? pic.twitter.com/lKV7Hm4rD7

— MyEtherWallet.com (@myetherwallet) November 7, 2017

На Pastebin уже можно найти список пострадавших, в который входит 71 аккаунт. Если эти расчеты верны, то «заморожены» из-за бага оказались более 930 000 ETH, то есть свыше 280 000 000 долларов.

Один из пострадавших аккаунтов в упомянутом списке принадлежит Polkadot, Ethereum-приложению, разработанному Гэвином Вудсом (Gavin Woods), одному из сооснователей Parity и бывшему core-разработчику Ethereum. Представители Polkadot уже подтвердили, что проблема затронула один из их кошельков с мультиподписью, содержавший почти 90 000 000 долларов.

Unfortunately, our multi-sig is among those frozen. @ParityTech is working on the situation and will provide updates when available.

— Polkadot (@polkadotnetwork) November 7, 2017

Что делать теперь, похоже, до конца не понимает никто. Разработчики Parity заверили, что проводят расследование случившегося и сделают все возможное для разрешения проблемы, однако пока компания смогла предложить для «отмены» случившегося и спасения средств лишь хардфорк, что, предсказуемо, понравилось далеко не всем пользователям.

Источник

Последние новости