В кошельках Parity с мультиподписью найдена новая уязвимость


Published on 08 Nov. 2017
Img 3513

Значительная сумма средств пользователей в сети Эфириума была заморожена из-за проблем с кодом в программном обеспечении кошельков Parity с мультиподписью.

Уязвимость безопасности, которая привела к замораживанию средств, была найдена 6 ноября, во втором наиболее популярном клиенте Эфириума, Parity, разработчиком под ником devopps199, который сообщил об этом в GitHub.

Уязвимость влияет на любой кошелек Parity, развернутый после 20 июля, использующий функционал мультиподписей компании. Согласно нескольким сигнатурным угодам, для инициирования и трансляции транзакций требуется более одного ключа.

К этому времени неясно, сколько из этих кошельков было развернуто в это время и сколько эфира в настоящее время заблокировано. Согласно данным EtherNodes.org, количество клиентов Parity составляет примерно 20% от сети - и ранние признаки того, что в это время недоступно эфира на сумму, эквивалентную 100 млн. долларов (если не больше).

Эта уязвимость идет вслед за другой проблемой Parity с начала этого года, когда их кошельки с мультиподписями были взломаны, а 30 млн. долларов в эфире были похищены.

В то время, как компания исправила эту ошибку, еще одна проблема, по-прежнему присутствует в коде, который позволил осуществить сегодняшний эксплойт. Разговаривая с CoinDesk, devopps сказал, что он новичок в смарт-контрактах и следил за логикой бывшего взлома, когда он наткнулся на текущую проблему.

Однако, что остается не таким простым, так это процесс выяснения того, как получить замороженные средства.

Некоторые разработчики отметили, что хард форк - единственный способ исправить проблему. Но поскольку хард форк является противоречивым механизмом обновления, особенно в контексте Эфириума, некоторые члены сообщества уже «отказываются» выполнять такое обновление.

Между тем, Parity выпустил заявление, которое предупреждает пользователей об уязвимости, чтобы избежать создания новых кошельков с несколькими сигнатурами, объявив:

Мы советуем пользователям не разворачивать любые дополнительные кошельки с несколькими подписями до тех пор, пока проблема не будет решена, и не отправлять любой эфир в кошельки, которые были развернуты и уже используются.

«Parity Technologies хотели бы заверить всех, что мы анализируем ситуацию, и вскоре мы выпустим обновление с более подробной информацией», - говорится в заявлении.

LocalEthereum, p2p-платформа для торгов Эфириумом, реагируя на эту ситуацию, уже начала в Twitter опрос относительно вероятности нового хард форка для исправления ситуации, намекая на прошлогодние события.

17 июня 2016 неизвестные, воспользовавшись найденной уязвимостью кода, начали выводить средства из основных счетов ДАО. Им удалось перевести на свои счета эфира на сумму около 50 млн. долларов по текущему курсу. Поскольку централизованного руководства проект не имел, то исправлять ситуацию пришлось разработчикам Эфириума, хотя они не имели никакого отношения к ДАО. Для этого был проведен хард форк, однако часть сообщества не приняла этого и образовался Ethereum Classic.

Нынешняя сумма вдвое больше, поэтому у многих пользователей возникло предположение, что проведение хард форка для исправление ошибки может повториться. Однако пока в опросе преобладает мнение, что это не повторится.


More news

Чанпенг Чжао ответил Виталику Бутерину по поводу того, что централизованные криптовалютные биржи "должны гореть в аду"


Основатель и генеральный директор Binance Чанпенг Чжао (Changpeng Zhao) ответил на заявление Виталика Бутерина (Vitalik Buterin) о том, что централизованные криптовалютные биржи должны "гореть в аду"

12 Jul. 2018

Партнерство OmiseGo (OMG) и Status Network (SNT): к чему это приведет в будущем?


Оба проекта будут оставаться на платформе Эфириума, с целью масштабировать ее и предложить полезное использование сетей токенов в реальной жизни.

11 Jul. 2018

Даже Илон Маск поражен эпидемией криптовалютных скамботов в Twitter


Скамботы биткоина и эфира стали ориентироваться на аккаунты известных людей за пределами криптовалютного сообщества, таких как генеральный директор SpaceX и Tesla, Илон Маск (Elon Musk) и президент США, Дональд Трамп (Donald Trump).

11 Jul. 2018