Разработчики Ethereum-кошелька Parity предупредили пользователей своего сервиса о компрометации. Неизвестные злоумышленники воспользовались багом в контракте с мультиподписью, что позволяло им похищать средства из чужих кошельков. В результате действий злоумышленников пострадали все пользователи, имевшие дело с кошельками с мультиподписью, созданными ранее 19 июля 2017 года. В карманах преступников осело 153 000 ETH, то есть порядка 30 000 000 долларов по текущему курсу.
Атака произошла 19 июля и была практически сразу замечена разработчиками. Почти сразу группа энтузиастов, называющих себя The White Hat Group, воспользовалась тем же эксплоитом, чтобы спасти деньги пользователей, переведя их на неподверженный багу кошелек. Согласно сообщению на Reddit, The White Hat Group -- это бывшие ИБ-эксперты и члены Ethereum Project. В настоящее время в руках группы находится 377 105 ETH, то есть более 85 000 000 долларов, которые white hat’ы намереваются вернуть законным владельцам.
Теперь разработчики Parity пишут, что суммарно насчитывалось 596 уязвимых кошельков, и основной удар злоумышленников пришелся на три из них. Так, о краже 82 000 ETH уже заявили разработчики проекта Aeternity.
UPDATE: #aetrnty was affected by the Parity 1.5 (or later) vulnerability. Phase 1 ETH and all BTC are safe. Details: https://t.co/UTcAAJoRGE
— æternity blockchain (@aetrnty) July 19, 2017
Согласно новому посту в блоге Parity, возможность эксплуатации бага уже закрыта. Разработчики извиняются за случившееся, обещают запустить собственную bug-bounty программу и не допускать подобных ошибок вновь.
Напомню, что это не первое ограбление, связанное с криптовалютным сервисом, за последнее время. Так, ранее на этой неделе стало известно, что криптовалютный стартап CoinDash был взломан и ограблен прямо во время проведение ICO. Также в начале июля 2017 года от взлома пострадала южнокорейская биржа Bithumb, являющаяся четвертой по величине в мире.