В кошельках Parity с мультиподписью найдена новая уязвимость


Published on 08 Nov. 2017
Img 3513

Значительная сумма средств пользователей в сети Эфириума была заморожена из-за проблем с кодом в программном обеспечении кошельков Parity с мультиподписью.

Уязвимость безопасности, которая привела к замораживанию средств, была найдена 6 ноября, во втором наиболее популярном клиенте Эфириума, Parity, разработчиком под ником devopps199, который сообщил об этом в GitHub.

Уязвимость влияет на любой кошелек Parity, развернутый после 20 июля, использующий функционал мультиподписей компании. Согласно нескольким сигнатурным угодам, для инициирования и трансляции транзакций требуется более одного ключа.

К этому времени неясно, сколько из этих кошельков было развернуто в это время и сколько эфира в настоящее время заблокировано. Согласно данным EtherNodes.org, количество клиентов Parity составляет примерно 20% от сети - и ранние признаки того, что в это время недоступно эфира на сумму, эквивалентную 100 млн. долларов (если не больше).

Эта уязвимость идет вслед за другой проблемой Parity с начала этого года, когда их кошельки с мультиподписями были взломаны, а 30 млн. долларов в эфире были похищены.

В то время, как компания исправила эту ошибку, еще одна проблема, по-прежнему присутствует в коде, который позволил осуществить сегодняшний эксплойт. Разговаривая с CoinDesk, devopps сказал, что он новичок в смарт-контрактах и следил за логикой бывшего взлома, когда он наткнулся на текущую проблему.

Однако, что остается не таким простым, так это процесс выяснения того, как получить замороженные средства.

Некоторые разработчики отметили, что хард форк - единственный способ исправить проблему. Но поскольку хард форк является противоречивым механизмом обновления, особенно в контексте Эфириума, некоторые члены сообщества уже «отказываются» выполнять такое обновление.

Между тем, Parity выпустил заявление, которое предупреждает пользователей об уязвимости, чтобы избежать создания новых кошельков с несколькими сигнатурами, объявив:

Мы советуем пользователям не разворачивать любые дополнительные кошельки с несколькими подписями до тех пор, пока проблема не будет решена, и не отправлять любой эфир в кошельки, которые были развернуты и уже используются.

«Parity Technologies хотели бы заверить всех, что мы анализируем ситуацию, и вскоре мы выпустим обновление с более подробной информацией», - говорится в заявлении.

LocalEthereum, p2p-платформа для торгов Эфириумом, реагируя на эту ситуацию, уже начала в Twitter опрос относительно вероятности нового хард форка для исправления ситуации, намекая на прошлогодние события.

17 июня 2016 неизвестные, воспользовавшись найденной уязвимостью кода, начали выводить средства из основных счетов ДАО. Им удалось перевести на свои счета эфира на сумму около 50 млн. долларов по текущему курсу. Поскольку централизованного руководства проект не имел, то исправлять ситуацию пришлось разработчикам Эфириума, хотя они не имели никакого отношения к ДАО. Для этого был проведен хард форк, однако часть сообщества не приняла этого и образовался Ethereum Classic.

Нынешняя сумма вдвое больше, поэтому у многих пользователей возникло предположение, что проведение хард форка для исправление ошибки может повториться. Однако пока в опросе преобладает мнение, что это не повторится.


More news

Сооснователь Google и миллиардер Сергей Брин майнит Эфириум


Сергей Брин, президент материнской компании Google, Alphabet Inc., выступил на панельной дискуссии, посвященной новым технологиям, в ходе Blockchain Summit в Марокко.

10 Jul. 2018

Децентрализованная криптовалютная биржа Bancor пережила взлом, похищено $12 млн в эфире


В своем заявлении децентрализованная биржа Bancor объявила, что была использована уязвимость, чтобы похитить 24 984 ETH (примерно $12 млн), $1 млн NPXS и $10 млн BNT.

10 Jul. 2018

MyEtherWallet призвал пользователей немедленно переместить свои средства в новые кошельки


После нескольких нарушений безопасности популярный онлайн-сервис для хранения Эфириума и токенов на его основе, MyEtherWallet (MEW), видимо, решил заранее перестраховаться и предупредить своих пользователей о любой возможной угрозе, с которой они могут столкнуться.

10 Jul. 2018