Un errore di codifica 'accidentale' congela centinaia di milioni di dollari in Ethereum

L’errore di codifica congela fino a 280 milioni di dollari in criptovaluta Ethereum

Gli utenti multisignature di Ethereum potrebbero aver perso permanentemente l’accesso a circa 280 milioni di dollari in fondi quando un sviluppatore ha accidentalmente eliminato la libreria di codice di Parity Technologies mentre cercava di risolvere un difetto per impedire agli hacker di rubare fondi da diversi portafogli multi-firma. Ciò che è ironico è che il codice accidentalmente eliminato era una correzione per un problema precedente trovato durante un attacco a luglio che ha visto gli hacker rubare 32 milioni di dollari dai portafogli Ethereum di Parity.

Per chi non lo sapesse, Ethereum, la seconda criptovaluta più grande dopo Bitcoin, fornisce un token di criptovaluta o monete virtuali chiamate “ether”, che possono essere trasferite tra conti. D’altra parte, Parity Technologies è un grande fornitore di portafogli di criptovaluta e utilizzato da molti per interagire con la blockchain di Ethereum.

Parity ha emesso un avviso di sicurezza critico martedì avvisando di una vulnerabilità nel contratto della libreria Parity Wallet. L’“incidente” di codifica ha colpito tutti i portafogli multisignature di Parity, che richiedono che un utente firmi la transazione di un altro prima che venga aggiunta alla blockchain di Ethereum, creati dopo il 20 luglio.

A quanto pare, un utente del forum per sviluppatori GitHub, che si fa chiamare “Devops199,” ha scoperto che il codice della libreria condivisa non era adeguatamente protetto perché il proprietario non era ancora assegnato. Devops199 ha “accidentalmente” attivato una funzione che ha trasformato il contratto che governava i portafogli multisignature di Parity in un normale indirizzo di portafoglio e lo ha reso l’unico “proprietario” di tutti i portafogli multi-firma post-20 luglio. Dopo essersi reso conto di ciò, quando Devops199 ha cercato di “eliminare” questo contratto di portafoglio, ha finito per eliminare permanentemente il codice della libreria condivisa dalla blockchain di Ethereum. In altre parole, a causa dell’eliminazione, tutti gli altri portafogli multi-firma che utilizzano questo codice della libreria condivisa non potevano più chiamarlo e trasferire fondi dai portafogli, rendendoli inaccessibili.

Parity spiega: “Sembra che il problema sia stato attivato accidentalmente il 6 novembre 2017 e successivamente un utente ha suicidato la libreria trasformata in portafoglio, cancellando il codice della libreria che a sua volta ha reso tutti i contratti multi-sig inutilizzabili poiché la loro logica (qualsiasi funzione che modifica lo stato) era all’interno della libreria.”

In teoria, i fondi non sono scomparsi né sono stati rubati, e Parity ha dichiarato di essere alla ricerca di una soluzione. Ha espresso rammarico per il “grande stress e confusione” che l’incidente ha causato .

“ Parity Technologies desidera assicurare a tutti che stiamo analizzando la situazione . Stiamo ancora lavorando sul numero finale e non vogliamo rilasciare cifre speculative. Nessun ether è stato rubato,” ha dichiarato l’azienda in un comunicato.

Ha anche avvertito gli utenti di non aprire nuovi portafogli multisignature, o trasferire ether “a portafogli che sono stati distribuiti e sono già in uso,” fino a quando il problema non sarà stato risolto.

Tuttavia, non è ancora chiaro se Parity sia stata in grado di rettificare l’errore.

Fonte: Motherboard