07.12.2024

Ошибка в кошельке Parity заморозила монеты Ethereum на $150 миллионов

Parity — довольно популярный неофициальный кошелек. На официальном сайте https://parity.io/ написано, что это «самый быстрый и наиболее защищенный способ работы с блокчейном Ethereum». Быстрый — да, но вот с защитой, похоже, проблемы.

В отличие от медленного официального клиента geth, Parity намного быстрее синхронизирует блокчейн, например его часто используют майнинг-пулы. Подробнее про отличия geth и Parity.

MultiSig кошелек — это смарт-контракт (программа в сети Ethereum), которая дает доступ к средствам сразу нескольким пользователям.

В MultiSig кошельках прописываются такие параметры, как:

  • Список пользователей, имеющих доступ к выполнению транзакций (переводов).
  • Правила, указывающие сколько человек должны подписать транзакцию для ее выполнения.
  • Способ подтверждения и отправки запроса в сеть Ethereum и т.д.

Например, 3 совладельца компании держат общий счет. Они могут договориться, что подписей двух человек достаточно, для отправки денег. Это очень удобно, ведь никогда не надо ждать третьего, да и потом кто-то может случайно потерять или забыть свой ключ…

Кстати, в случае MultiSig кошелька, мошенникам намного сложнее действовать, ведь украсть ключ одного пользователя будет недостаточно.

Очень часто для создания кошельков с мультиподписью используется программное обеспечение Parity, в частности, многие компании, которые проводят ICO используют MultiSig кошелек Parity. Подробнее про работу MultiSig кошельков.

Что произошло?

Комментарий специалиста в области смарт-контрактов Вячеслава Карпенко:

Если говорить простым языком: все кошельки Parity использовали одну и ту же внешнюю библиотеку (смарт-контракт). Сначала эту библиотеку «поимели» тем, что можно было ее вызвать из кошелька, переопределив владельца. Компания сделала новую библиотеку, но у нее наружу торчал вызов самоуничтожения. И некто случайно (или не случайно) отправил библиотеке эту команду… В результате все кошельки, что использовали библиотеку остались без библиотеки! Соответственно средства на них скорее всего навсегда потеряны.

На самом деле библиотеке забыли определить владельца после того, как выпустили новую версию, в результате некий «экспериментатор» сначала сделал себя владельцем, а потом приказал ей самоуничтожиться…

19 июля 2017 года была обнаружена первая уязвимость в MultiSig кошельке Parity. Тогда злоумышленник украл 153 000 ETH (± $30.5 млн. на то время). Компания Parity объявила о «критическом» уровне угрозы и попросила всех пользователей кошелька отправить ETH на другие безопасные адреса.

6 ноября 2017 года история повторилась. «Заплатка», которая была сделана, оказалась ненадежной. В этот раз деньги были не украдены, а заморожены навсегда! Всего 513 000 ETH (более $150 млн). Parity опять объявила «критический» уровень угрозы: «Мы анализируем данный вопрос и скоро предоставим детальное пояснение сложившейся ситуации».

Как мы писали в своем канале Telegram:

Представьте, что в центре города (например, на Красной Площади в Москве) находится огромное хранилище денег. И вот подходит к нему парнишка и жмёт красную кнопку, которая отправляет деньги в другое измерение. Теперь их все видят, но никто никогда не сможет их взять. Все знали, что такая кнопка есть, но никто никогда и не думал её нажимать, т.к. не предполагали, что разработчики не повесили на неё замок…

Кто потерял монеты Ethereum?

Полный список контрактов, средства которых были заморожены доступен в Google Docs. В основном это ETH компаний, которые проводили ICO!

Больше всех потерял стартап Polkadot — https://polkadot.io/
По предварительной информации, не менее 306 000 ETH ($92 млн)!

Другой проект Musiconomi — http://musiconomi.com/
Потерял более 16 000 ETH ($5 млн).

Iconomi — https://www.iconomi.net/
Потерял чуть менее 115 000 ETH ($34 млн).

Будут ли разработчики ETH исправлять ошибку?

Дело в том, что ошибку исправить не так просто. В интервью Coindesk Martin Holst Swende глава отдела безопасности Ethereum Foundation сказал, что единственным вариантом спасения замороженном Ethereumа может стать хард-форк.

В сети сразу начали обсуждать: будут ли разработчики выполнять очередной форк эфира, чтобы исправить ошибку и разморозить средства. Есть вероятность, что теперь нас будет ждать новый Ethereum Classic.

Комментарий создателя Ethereum Виталика Бутерина:

«Я сознательно воздерживаюсь от комментариев по вопросам кошельков…»

Иными словами: «Сами виноваты, мы не будем исправлять ваши ошибки».

Очевидно, Parity стоит изменить слоган на заглавной странице.

Выводы
  1. Данное событие может в очередной раз подорвать авторитет ICO на платформе Ethereum.
  2. Как теперь жить тем стартапам, которые потеряли все свои средства? Вероятно, эти проекты обречены.
  3. Жизнь ничему не учит разработчиков Parity. Кстати, создатель LTC Charlie Lee еще после июльского провала написал, что Ethereum — рай для хакеров.
  4. ETH — скам. Бежим продавать Ethereum. Или нет? Вообще, если подумать, только что произошло изъятие монет из обращения. При общем количестве 95 596 498 ETH было навеки заморожено 0.5%. Немало. А если посмотреть на криптовалютные биржи, то у ETH, как всегда, День Сурка… 1ETH=300$

Подписывайтесь на наш канал в Telegram: там идут ссылки на новые статьи, а также небольшие новости и заметки (иногда еще веселые картинки).

P.S. Фраза «I accidentally killed it.» уже стала легендой, даже футболки выпускают.

Добавить комментарий