Опечатка в коде официального кошелька Zerocoin позволила украсть криптовалюты на $648 тыс

в 17:30, , рубрики: open source, ZEC, ZeroCash, Zerocoin, информационная безопасность, Криптовалюты, ошибка в программе, Программирование, метки: , , ,

Опечатка в коде официального кошелька Zerocoin позволила украсть криптовалюты на $648 тыс - 1
Курс Zcash (ZXC) в течение последнего месяца во время того, как неизвестный злоумышленник или злоумышленница обналичивал(-а) средства

16 февраля 2017 года группа разработчиков Zerocoin нашла баг в официальной реализации Zerocoin. Оказалось, что в коде присутствует опечатка — единственный лишний символ, случайно добавленный при наборе на клавиатуре. Из-за этой опечатки была возможность проводить транзакции без соответствующей траты монет. То есть можно было перечислять деньги, не снимая их с кошелька.

К сожалению, опечаткой в коде уже воспользовались нечистые на руку и не имеющие совести персонажи, которые увели с кошельков Zerocoin криптовалюты в эквиваленте на $648 тыс.

Разработчики определили конкретное место в коде, в котором есть опечатка, и в течение 24 часов выпустили патч, так что больше подобное не повторится. По крайней мере, из-за этой конкретной ошибки больше невозможно будет сгенерировать деньги.

Разумеется, от ошибки никто не пострадал напрямую. Все монеты остались в кошельках у всех пользователей. Правда, из-за несанкционированной чеканки монет немного снизилась их курсовая стоимость. Но это естественный и знакомый процесс для всех, кто живёт в национальных государствах, бесконтрольно печатающих национальную валюту. В криптосистеме такое случается только в результате бага, а в национальных государствах это происходит постоянно как нормальное явление.

Все майнинг-пулы и биржи были немедленно предупреждены о необходимости обновить программное обеспечение.

Разработчики Zerocoin отмечают, что злоумышленник (или злоумышленники) провели атаку большой сложности, что говорит о его (или их) высокой квалификации. В частности, злоумышленник предпринял несколько шагов для маскировки атаки — он (или она) создал множество аккаунтов для обмена и осторожно распределял монеты по счетам и выводил их в течение нескольких недель.

По оценке разработчиков, хакеру удалось создать около 370 000 монет. Почти все они были проданы (обналичены), за исключением примерно 20 000 монет, которые разошлись по рынку. Если посчитать обналиченные 350 000 по сегодняшнему курсу, то это будет примерно $648 тыс. Но во время обналички курс временами был выше примерно на 10-20%, так что бессовестному пользователю при особенной удаче удалось заработать примерно $700 тыс.

Самое печальное, что в странах вроде РФ злоумышленнику даже не грозит наказание. Тут сразу несколько причин. Во-первых, криптовалюта ZCash не считается официльным платёжным средством на территории Российской Федерации. То есть это вообще не деньги, а некие «фантики», имеющие виртуальную ценность. Во-вторых, в данном случае нет потерпевшей стороны. Непонятно, кто должен писать исковое заявление и заявлять об ущербе. У всех пользователей кошельки остались нетронутыми, то есть никаких монет не было похищено. Ну и последнее: хотя нечестному и аморальному пользователю не грозит никакое наказание, его личность всё равно вряд ли удастся установить, потому что он (или она) грамотно использовал технологии анонимизации в интернете.

Разработчики подчёркивают, что выявленный баг никак не повлиял на анонимность криптовалюты и устойчивость системы. Более того, именно критографическая стойкость системы помогла выявить расход лишних монет. То есть этот баг лишь подтверждает, что Zerocoin — исключительно стойкая и прочная система, в которой невозможно генерировать «лишние» монеты. Произошло исключение, которое подтверждает правило.

Несмотря на серьёзность бага, разработчики приняли решение не заносить в чёрный список монеты, сгенерированные злоумышленником. Дело в том, что бóльшая часть из них уже обналичена, то есть они разошлись по кошелькам пользователей, совершенно непричастных к взлому. Так что за сохранность средств можно не волноваться.

Торговля монетами возобновилась вскоре после того, как майнинг-пулы и биржи обновили программное обеспечение.

В целом, ничего особо значительного не произошло. Криптовалюты только создаются, так что баги в программном обеспечении на раннем этапе их разработки — нормальное дело. Хакеры, которые находят эти баги и получают прямую финансовую выгоду от этого, приносят даже пользу системе, потому что помогают найти ошибки в программах. Сейчас на рынке сотни криптовалют, ошибок в программном обеспечении очень много. Поиск и исправление ошибок — нормальный процесс. Отличие только в том, что в данном случае хакеры получают немного больше денег, чем обычная зарплата тестеров на фирме.

Разработчики Zerocoin принесли извинения всем пользователям системы за то, что молчали о взломе в течение некоторого времени. Это было необходимо для того, чтобы заранее предупредить биржи и провести расследование, а также собрать факты, которые на 100% доказывают взлом.

Автор: alizar

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js