Критическая уязвимость в multisig кошельке Parity, хакерами выведен $31 миллион в ethereum (обновлено)

Из-за уязвимости в коде смарт-контракта multisig кошелька Parity (1.5 и более поздний) хакер смог вывести монет ethereum в эквиваленте 31 миллиона долларов.

Объяснение механизма атаки вкратце: функция initWallet() в коде, позволяющая определить владельца кошелька, оказалась публичной, и её мог вызвать любой человек. После переопределения владельца оставалось только перевести деньги. Более полное объяснение ^[1] (на англ.)

Кошелёк хакера: etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32 ^[2]
(уже начался перевод средств на другие адреса)

Группа white hats смогла вывести эфира в 76 миллионов долларов (и ещё 80 миллионов в различных токенах) с уязвимых кошельков для защиты средств
etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a ^[3]

Были украдены деньги с кошельков следующих ICO:

Edgeless Casino
Swarm City
æternity blockchain

"Edgeless casino, swarm city, and aeternity have all been drained" --CF Slack #parityhack ^[4]

— CoinFund (@coinfund_io) July 19, 2017 ^[5]

В кошелек white hats выведено почти 40% ^[6] всего инвестиционного портфеля криптовалютного фонда satoshi.fund — более 7 миллионов долларов.

Multisig (мульти-подпись) кошелек в теории должен был предоставить дополнительную защиту из-за требования подписи нескольких человек для операции со средствами.

Оповещение об уязвимости в блоге Parity ^[7]
Официальное заявление Swarm City ^[8], подтверждающее потерю 44,055 ETH.

invested in Aeternity
lol
and they lost like 18million
f#$@ morons…

It looks like it will be a eternity until you get your money back ;)

The DAO 2.0. Только хард-форка эфира для спасения средств в этот раз не ожидается. Твит Виталика Бутерина в ответ на вопрос, почему был произведен хард-форк цепи ethereum в случае с The DAO, а здесь его не будет:

1. Ecosystem less mature then
2. More at stake then as % of all ETH
3 [most impt]. Today's attacker can just move funds, so HF is impossible

— Vitalik Buterin (@VitalikButerin) July 19, 2017 ^[9]

Менее зрелая экосистема в то время
Тогда на кону был больший % от всего ЕТН
(самое важное) Хакер может просто перевести средства, поэтому хард-форк невозможен

UPD. С кошелька white hat была отправлена транзакция с текстом
I am the author of www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a ^[10]
где объясняется, как будет происходить возврат средств.

Автор: ProRunner

Источник ^[11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/260831

Ссылки в тексте:

[1] Более полное объяснение: https://blog.zeppelin.solutions/on-the-parity-wallet-multisig-hack-405a8c12e8f7

[2] etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32: https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32

[3] etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a: https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a

[4] #parityhack: https://twitter.com/hashtag/parityhack?src=hash

[5] July 19, 2017: https://twitter.com/coinfund_io/status/887757323036446720

[6] почти 40%: https://steemit.com/ethereum/@hipster/updates-satoshi-pie-ethereum-multisig-has-been-hacked

[7] Оповещение об уязвимости в блоге Parity: https://blog.parity.io/security-alert-high-2/

[8] Официальное заявление Swarm City: https://press.swarm.city/parity-multisig-wallet-exploit-hits-swarm-city-funds-statement-by-the-swarm-city-core-team-d1f3929b4e4e

[9] July 19, 2017: https://twitter.com/VitalikButerin/status/887783867129745412

[10] www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a: https://www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a/

[11] Источник: https://habrahabr.ru/post/333754/

Нажмите здесь для печати.