Из-за уязвимости в коде смарт-контракта multisig кошелька Parity (1.5 и более поздний) хакер смог вывести монет ethereum в эквиваленте 31 миллиона долларов.
Объяснение механизма атаки вкратце: функция initWallet() в коде, позволяющая определить владельца кошелька, оказалась публичной, и её мог вызвать любой человек. После переопределения владельца оставалось только перевести деньги. Более полное объяснение (на англ.)
Кошелёк хакера: etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
(уже начался перевод средств на другие адреса)
Группа white hats смогла вывести эфира в 76 миллионов долларов (и ещё 80 миллионов в различных токенах) с уязвимых кошельков для защиты средств
etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a
Были украдены деньги с кошельков следующих ICO:
- Edgeless Casino
- Swarm City
- æternity blockchain
В кошелек white hats выведено почти 40% всего инвестиционного портфеля криптовалютного фонда satoshi.fund — более 7 миллионов долларов.
Multisig (мульти-подпись) кошелек в теории должен был предоставить дополнительную защиту из-за требования подписи нескольких человек для операции со средствами.
Оповещение об уязвимости в блоге Parity
Официальное заявление Swarm City, подтверждающее потерю 44,055 ETH.
invested in Aeternity
lol
and they lost like 18million
f#$@ morons…It looks like it will be a eternity until you get your money back ;)
The DAO 2.0. Только хард-форка эфира для спасения средств в этот раз не ожидается. Твит Виталика Бутерина в ответ на вопрос, почему был произведен хард-форк цепи ethereum в случае с The DAO, а здесь его не будет:
- Менее зрелая экосистема в то время
- Тогда на кону был больший % от всего ЕТН
- (самое важное) Хакер может просто перевести средства, поэтому хард-форк невозможен
UPD. С кошелька white hat была отправлена транзакция с текстом
I am the author of www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a
где объясняется, как будет происходить возврат средств.
Автор: ProRunner
