Parity — довольно популярный неофициальный кошелек. На официальном сайте https://parity.io/ написано, что это «самый быстрый и наиболее защищенный способ работы с блокчейном Ethereum». Быстрый — да, но вот с защитой, похоже, проблемы.
В отличие от медленного официального клиента geth, Parity намного быстрее синхронизирует блокчейн, например его часто используют майнинг-пулы. Подробнее про отличия geth и Parity.
MultiSig кошелек — это смарт-контракт (программа в сети Ethereum), которая дает доступ к средствам сразу нескольким пользователям.
В MultiSig кошельках прописываются такие параметры, как:
- Список пользователей, имеющих доступ к выполнению транзакций (переводов).
- Правила, указывающие сколько человек должны подписать транзакцию для ее выполнения.
- Способ подтверждения и отправки запроса в сеть Ethereum и т.д.
Например, 3 совладельца компании держат общий счет. Они могут договориться, что подписей двух человек достаточно, для отправки денег. Это очень удобно, ведь никогда не надо ждать третьего, да и потом кто-то может случайно потерять или забыть свой ключ…
Кстати, в случае MultiSig кошелька, мошенникам намного сложнее действовать, ведь украсть ключ одного пользователя будет недостаточно.
Очень часто для создания кошельков с мультиподписью используется программное обеспечение Parity, в частности, многие компании, которые проводят ICO используют MultiSig кошелек Parity. Подробнее про работу MultiSig кошельков.
Что произошло?
Комментарий специалиста в области смарт-контрактов Вячеслава Карпенко:
Если говорить простым языком: все кошельки Parity использовали одну и ту же внешнюю библиотеку (смарт-контракт). Сначала эту библиотеку «поимели» тем, что можно было ее вызвать из кошелька, переопределив владельца. Компания сделала новую библиотеку, но у нее наружу торчал вызов самоуничтожения. И некто случайно (или не случайно) отправил библиотеке эту команду… В результате все кошельки, что использовали библиотеку остались без библиотеки! Соответственно средства на них скорее всего навсегда потеряны.
На самом деле библиотеке забыли определить владельца после того, как выпустили новую версию, в результате некий «экспериментатор» сначала сделал себя владельцем, а потом приказал ей самоуничтожиться…
19 июля 2017 года была обнаружена первая уязвимость в MultiSig кошельке Parity. Тогда злоумышленник украл 153 000 ETH (± $30.5 млн. на то время). Компания Parity объявила о «критическом» уровне угрозы и попросила всех пользователей кошелька отправить ETH на другие безопасные адреса.
6 ноября 2017 года история повторилась. «Заплатка», которая была сделана, оказалась ненадежной. В этот раз деньги были не украдены, а заморожены навсегда! Всего 513 000 ETH (более $150 млн). Parity опять объявила «критический» уровень угрозы: «Мы анализируем данный вопрос и скоро предоставим детальное пояснение сложившейся ситуации».
Как мы писали в своем канале Telegram:
Представьте, что в центре города (например, на Красной Площади в Москве) находится огромное хранилище денег. И вот подходит к нему парнишка и жмёт красную кнопку, которая отправляет деньги в другое измерение. Теперь их все видят, но никто никогда не сможет их взять. Все знали, что такая кнопка есть, но никто никогда и не думал её нажимать, т.к. не предполагали, что разработчики не повесили на неё замок…
Кто потерял монеты Ethereum?
Полный список контрактов, средства которых были заморожены доступен в Google Docs. В основном это ETH компаний, которые проводили ICO!
Больше всех потерял стартап Polkadot — https://polkadot.io/
По предварительной информации, не менее 306 000 ETH ($92 млн)!
Другой проект Musiconomi — http://musiconomi.com/
Потерял более 16 000 ETH ($5 млн).
Iconomi — https://www.iconomi.net/
Потерял чуть менее 115 000 ETH ($34 млн).
Будут ли разработчики ETH исправлять ошибку?
Дело в том, что ошибку исправить не так просто. В интервью Coindesk Martin Holst Swende глава отдела безопасности Ethereum Foundation сказал, что единственным вариантом спасения замороженном Ethereumа может стать хард-форк.
В сети сразу начали обсуждать: будут ли разработчики выполнять очередной форк эфира, чтобы исправить ошибку и разморозить средства. Есть вероятность, что теперь нас будет ждать новый Ethereum Classic.
Комментарий создателя Ethereum Виталика Бутерина:
«Я сознательно воздерживаюсь от комментариев по вопросам кошельков…»
Иными словами: «Сами виноваты, мы не будем исправлять ваши ошибки».
Очевидно, Parity стоит изменить слоган на заглавной странице.
Выводы
- Данное событие может в очередной раз подорвать авторитет ICO на платформе Ethereum.
- Как теперь жить тем стартапам, которые потеряли все свои средства? Вероятно, эти проекты обречены.
- Жизнь ничему не учит разработчиков Parity. Кстати, создатель LTC Charlie Lee еще после июльского провала написал, что Ethereum — рай для хакеров.
- ETH — скам. Бежим продавать Ethereum. Или нет? Вообще, если подумать, только что произошло изъятие монет из обращения. При общем количестве 95 596 498 ETH было навеки заморожено 0.5%. Немало. А если посмотреть на криптовалютные биржи, то у ETH, как всегда, День Сурка… 1ETH=300$
Подписывайтесь на наш канал в Telegram: там идут ссылки на новые статьи, а также небольшие новости и заметки (иногда еще веселые картинки).
P.S. Фраза «I accidentally killed it.» уже стала легендой, даже футболки выпускают.