Минувшим летом криптовалютный кошелек Parity уже попадал на первые полосы СМИ в связи с кибератакой. Тогда неизвестные злоумышленники воспользовались багом в контракте с мультиподписью, что позволило им похитить средства из чужих кошельков. В результате действий преступников пострадали все пользователи, имевшие дело с кошельками с мультиподписью, созданными ранее 19 июля 2017 года. В карманах похитителей тогда осело 153 000 ETH, то есть порядка 30 000 000 долларов по курсу на тот момент.

Кто бы мог подумать, что почти полгода спустя этот инцидент получит неожиданное продолжение.

В начале текущей недели компания Parity Technologies Ltd., занимающаяся разработкой кошелька Parity, опубликовала в блоге предупреждение, согласно которому, в библиотеке, отвечающей за работу смарт-контракта, который используют кошельки с мультиподписью, был обнаружен критический баг. Жертвами данной уязвимости стали пользователи кошельков с мультиподписью, созданными после 20 июля 2017 года.

Сопоставив даты, нетрудно заметить, что уязвимость была привнесена в код кошелька вместе с исправлением, вышедшим после нашумевшей летней атаки. Разработчики объясняют, что проблема позволяла превратить проблемную библиотеку/контракт в обычный кошелек с мультиподписью, а затем стать его владельцем, задействовав функцию initWallet. Именно это проделал пользователь, известный под псевдонимом Devops199.

Случайно (?) обнаружив баг и получив контроль, Devops199 отдал команду на самоуничтожение контракта, что вывело из строя множество кошельков с мультиподписью, а все средства на них оказались блокированы. Похоже, что Devops199 не совсем понимал, что делает, так как по собственному признанию – он новичок в области криптовалют и Ethereum.

На Pastebin уже можно найти список пострадавших, в который входит 71 аккаунт. Если эти расчеты верны, то «заморожены» из-за бага оказались более 930 000 ETH, то есть свыше 280 000 000 долларов.

Один из пострадавших аккаунтов в упомянутом списке принадлежит Polkadot, Ethereum-приложению, разработанному Гэвином Вудсом (Gavin Woods), одному из сооснователей Parity и бывшему core-разработчику Ethereum. Представители Polkadot уже подтвердили, что проблема затронула один из их кошельков с мультиподписью, содержавший почти 90 000 000 долларов.

Что делать теперь, похоже, до конца не понимает никто. Разработчики Parity заверили, что проводят расследование случившегося и сделают все возможное для разрешения проблемы, однако  пока компания смогла предложить для «отмены» случившегося и спасения средств лишь хардфорк, что, предсказуемо, понравилось далеко не всем пользователям.



4 комментария

  1. Il

    08.11.2017 at 23:05

    Потерять 90 млн. Из за юнца который нечаянно отдал не ту команду, это пять.

  2. xyz512

    10.11.2017 at 10:30

    Мне понравилось 😀 Я уж думал, опять какой-то суровый унылый хакер попытался перевести средства себе, но зафейлил, у тут просто какой-то нубас казнил 300 лимонов 😀

  3. icoz

    14.11.2017 at 09:46

    Песочницы для тренировок? Не, не слышали…

Оставить мнение