«Случайная» ошибка кода замораживает сотни миллионов долларов в Ethereum

Ошибка кода замораживает до 280 миллионов долларов в криптовалюте Ethereum

Пользователи мультиподписей Ethereum могут навсегда потерять доступ к оценочным 280 миллионам долларов в средствах, когда разработчик случайно удалил библиотеку кода Parity Technologies, пытаясь исправить недостаток, чтобы остановить хакеров от кражи средств из нескольких мультиподписных кошельков. Иронично, что случайно удаленный код был исправлением для предыдущей проблемы, обнаруженной во время взлома в июле, когда хакеры украли 32 миллиона долларов из кошельков Ethereum Parity.

Для тех, кто не в курсе, Ethereum, вторая по величине криптовалюта после Bitcoin, предоставляет криптовалютный токен или виртуальные монеты под названием «эфир», которые могут быть переведены между счетами. С другой стороны, Parity Technologies является крупным поставщиком криптовалютных кошельков и используется многими для взаимодействия с блокчейном Ethereum.

Parity выпустила критическое предупреждение о безопасности во вторник, предупреждая о уязвимости в контракте библиотеки Parity Wallet. «Случайная» ошибка кода затронула все мультиподписные кошельки Parity, которые требуют, чтобы один пользователь подписал транзакцию другого, прежде чем она будет добавлена в блокчейн Ethereum, и которые были созданы после 20 июля.

Очевидно, что пользователь на форуме разработчиков GitHub, который использует псевдоним «Devops199», обнаружил, что код общей библиотеки не был должным образом защищен, потому что владелец еще не был назначен. Devops199 «случайно» вызвал функцию, которая превратила контракт, управляющий мультиподписными кошельками Parity, в обычный адрес кошелька и сделала его единственным «владельцем» всех мультиподписных кошельков после 20 июля. После осознания этого, когда Devops199 попытался «убить» этот контракт кошелька, он в конечном итоге навсегда удалил код общей библиотеки из блокчейна Ethereum. Другими словами, из-за удаления все остальные мультиподписные кошельки, которые используют этот код общей библиотеки, больше не могли к нему обращаться и переводить средства из кошельков, что сделало их недоступными.

Parity объясняет: «Кажется, что проблема была случайно вызвана 6 ноября 2017 года, и впоследствии пользователь уничтожил библиотеку, превращенную в кошелек, стерев код библиотеки, который, в свою очередь, сделал все контракты мультиподписей непригодными, поскольку их логика (любая функция, изменяющая состояние) находилась внутри библиотеки.»

В теории, средства не пропали и не были украдены, и Parity заявила, что ищет решение. Она выразила сожаление по поводу «большого стресса и путаницы», которые вызвал инцидент.*

« Parity Technologies хотела бы заверить всех, что мы анализируем ситуацию . Мы все еще работаем над окончательной цифрой и не хотим публиковать какие-либо спекулятивные данные. Никакой эфир не был украден», - заявила компания в своем заявлении.

Она также предупредила пользователей не открывать новые мультиподписные кошельки или переводить эфир «в кошельки, которые уже были развернуты и находятся в использовании», пока проблема не будет решена.

Однако пока неясно, смогла ли Parity исправить ошибку.

Источник: Motherboard