- PVSM.RU - https://www.pvsm.ru -
Из-за уязвимости в коде смарт-контракта multisig кошелька Parity (1.5 и более поздний) хакер смог вывести монет ethereum в эквиваленте 31 миллиона долларов.
Объяснение механизма атаки вкратце: функция initWallet() в коде, позволяющая определить владельца кошелька, оказалась публичной, и её мог вызвать любой человек. После переопределения владельца оставалось только перевести деньги. Более полное объяснение [1] (на англ.)
Кошелёк хакера: etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32 [2]
(уже начался перевод средств на другие адреса)
Группа white hats смогла вывести эфира в 76 миллионов долларов (и ещё 80 миллионов в различных токенах) с уязвимых кошельков для защиты средств
etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a [3]
Были украдены деньги с кошельков следующих ICO:
В кошелек white hats выведено почти 40% [6] всего инвестиционного портфеля криптовалютного фонда satoshi.fund — более 7 миллионов долларов.
Multisig (мульти-подпись) кошелек в теории должен был предоставить дополнительную защиту из-за требования подписи нескольких человек для операции со средствами.
Оповещение об уязвимости в блоге Parity [7]
Официальное заявление Swarm City [8], подтверждающее потерю 44,055 ETH.
invested in Aeternity
lol
and they lost like 18million
f#$@ morons…It looks like it will be a eternity until you get your money back ;)
The DAO 2.0. Только хард-форка эфира для спасения средств в этот раз не ожидается. Твит Виталика Бутерина в ответ на вопрос, почему был произведен хард-форк цепи ethereum в случае с The DAO, а здесь его не будет:
UPD. С кошелька white hat была отправлена транзакция с текстом
I am the author of www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a [10]
где объясняется, как будет происходить возврат средств.
Автор: ProRunner
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/260831
Ссылки в тексте:
[1] Более полное объяснение: https://blog.zeppelin.solutions/on-the-parity-wallet-multisig-hack-405a8c12e8f7
[2] etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32: https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
[3] etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a: https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a
[4] #parityhack: https://twitter.com/hashtag/parityhack?src=hash
[5] July 19, 2017: https://twitter.com/coinfund_io/status/887757323036446720
[6] почти 40%: https://steemit.com/ethereum/@hipster/updates-satoshi-pie-ethereum-multisig-has-been-hacked
[7] Оповещение об уязвимости в блоге Parity: https://blog.parity.io/security-alert-high-2/
[8] Официальное заявление Swarm City: https://press.swarm.city/parity-multisig-wallet-exploit-hits-swarm-city-funds-statement-by-the-swarm-city-core-team-d1f3929b4e4e
[9] July 19, 2017: https://twitter.com/VitalikButerin/status/887783867129745412
[10] www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a: https://www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a/
[11] Источник: https://habrahabr.ru/post/333754/
Нажмите здесь для печати.