Критическая уязвимость в multisig кошельке Parity, хакерами выведен $31 миллион в ethereum (обновлено)

в 21:16, , рубрики: aeternity, Ethereum, parity, swarm city, информационная безопасность, криптография, надо срочно придумать своё ICO, это вам не банк

Из-за уязвимости в коде смарт-контракта multisig кошелька Parity (1.5 и более поздний) хакер смог вывести монет ethereum в эквиваленте 31 миллиона долларов.

Объяснение механизма атаки вкратце: функция initWallet() в коде, позволяющая определить владельца кошелька, оказалась публичной, и её мог вызвать любой человек. После переопределения владельца оставалось только перевести деньги. Более полное объяснение (на англ.)

Кошелёк хакера: etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
(уже начался перевод средств на другие адреса)

Группа white hats смогла вывести эфира в 76 миллионов долларов (и ещё 80 миллионов в различных токенах) с уязвимых кошельков для защиты средств
etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a

Были украдены деньги с кошельков следующих ICO:

  • Edgeless Casino
  • Swarm City
  • æternity blockchain

В кошелек white hats выведено почти 40% всего инвестиционного портфеля криптовалютного фонда satoshi.fund — более 7 миллионов долларов.

Multisig (мульти-подпись) кошелек в теории должен был предоставить дополнительную защиту из-за требования подписи нескольких человек для операции со средствами.

Оповещение об уязвимости в блоге Parity
Официальное заявление Swarm City, подтверждающее потерю 44,055 ETH.

invested in Aeternity
lol
and they lost like 18million
f#$@ morons…

It looks like it will be a eternity until you get your money back ;)

The DAO 2.0. Только хард-форка эфира для спасения средств в этот раз не ожидается. Твит Виталика Бутерина в ответ на вопрос, почему был произведен хард-форк цепи ethereum в случае с The DAO, а здесь его не будет:

  1. Менее зрелая экосистема в то время
  2. Тогда на кону был больший % от всего ЕТН
  3. (самое важное) Хакер может просто перевести средства, поэтому хард-форк невозможен

UPD. С кошелька white hat была отправлена транзакция с текстом
I am the author of www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a
где объясняется, как будет происходить возврат средств.

Автор: ProRunner

Источник

Поделиться