В кошельках Parity с мультиподписью найдена новая уязвимость


Published on 08 Nov. 2017
Img 3513

Значительная сумма средств пользователей в сети Эфириума была заморожена из-за проблем с кодом в программном обеспечении кошельков Parity с мультиподписью.

Уязвимость безопасности, которая привела к замораживанию средств, была найдена 6 ноября, во втором наиболее популярном клиенте Эфириума, Parity, разработчиком под ником devopps199, который сообщил об этом в GitHub.

Уязвимость влияет на любой кошелек Parity, развернутый после 20 июля, использующий функционал мультиподписей компании. Согласно нескольким сигнатурным угодам, для инициирования и трансляции транзакций требуется более одного ключа.

К этому времени неясно, сколько из этих кошельков было развернуто в это время и сколько эфира в настоящее время заблокировано. Согласно данным EtherNodes.org, количество клиентов Parity составляет примерно 20% от сети - и ранние признаки того, что в это время недоступно эфира на сумму, эквивалентную 100 млн. долларов (если не больше).

Эта уязвимость идет вслед за другой проблемой Parity с начала этого года, когда их кошельки с мультиподписями были взломаны, а 30 млн. долларов в эфире были похищены.

В то время, как компания исправила эту ошибку, еще одна проблема, по-прежнему присутствует в коде, который позволил осуществить сегодняшний эксплойт. Разговаривая с CoinDesk, devopps сказал, что он новичок в смарт-контрактах и следил за логикой бывшего взлома, когда он наткнулся на текущую проблему.

Однако, что остается не таким простым, так это процесс выяснения того, как получить замороженные средства.

Некоторые разработчики отметили, что хард форк - единственный способ исправить проблему. Но поскольку хард форк является противоречивым механизмом обновления, особенно в контексте Эфириума, некоторые члены сообщества уже «отказываются» выполнять такое обновление.

Между тем, Parity выпустил заявление, которое предупреждает пользователей об уязвимости, чтобы избежать создания новых кошельков с несколькими сигнатурами, объявив:

Мы советуем пользователям не разворачивать любые дополнительные кошельки с несколькими подписями до тех пор, пока проблема не будет решена, и не отправлять любой эфир в кошельки, которые были развернуты и уже используются.

«Parity Technologies хотели бы заверить всех, что мы анализируем ситуацию, и вскоре мы выпустим обновление с более подробной информацией», - говорится в заявлении.

LocalEthereum, p2p-платформа для торгов Эфириумом, реагируя на эту ситуацию, уже начала в Twitter опрос относительно вероятности нового хард форка для исправления ситуации, намекая на прошлогодние события.

17 июня 2016 неизвестные, воспользовавшись найденной уязвимостью кода, начали выводить средства из основных счетов ДАО. Им удалось перевести на свои счета эфира на сумму около 50 млн. долларов по текущему курсу. Поскольку централизованного руководства проект не имел, то исправлять ситуацию пришлось разработчикам Эфириума, хотя они не имели никакого отношения к ДАО. Для этого был проведен хард форк, однако часть сообщества не приняла этого и образовался Ethereum Classic.

Нынешняя сумма вдвое больше, поэтому у многих пользователей возникло предположение, что проведение хард форка для исправление ошибки может повториться. Однако пока в опросе преобладает мнение, что это не повторится.


More news

TRON запустил щедрый эирдроп для сообщества Эфириума


Цифровой актив TRX, который до сих пор находится на этапе тестовой сети, будет распределен между владельцами Эфириума в ближайшие дни. Этот эирдроп токенов TRX имеет целью представить проект и его преимущества.

23 Apr. 2018

Enterprise Ethereum Alliance заявил о выпуске стандартов для блокчейна в 2018 году


Один из лидеров консорциума сказал в четверг, что компания Enterprise Ethereum Alliance (EEA) намерена запустить набор общих стандартов блокчейна для бизнеса в 2018 году.

20 Apr. 2018

Криптоинвестора Яна Балину хакнули более чем 2 млн долларов в Эфириум-токенах в ходе лайв-стрима


Известный криптовалютный инвестор и влиятельный ютюбер Ян Балина закончил вечерний лайв-стрим с осмотром ICO, когда осознал, что он был хакнут.

17 Apr. 2018