Хардфорк ethereum из-за уязвимости в кошельках с мультиподписью

Критическая уязвимость кошелька Parity может привести к хардфорку Ethereum

В понедельник, 6 ноября, в Ethereum-кошельке Parity была обнаружена новая критическая уязвимость, в результате которой средства пользователей на кошельках с мультиподписью оказались заморожены. Для решения проблемы может потребоваться новый хардфорк сети Ethereum. Об этом сообщает CoinDesk.

Масштабы проблемы

Как стало известно, критическая уязвимость была обнаружена в версии смарт-контракта, который отвечает за пользовательские кошельки с мультиподписью, созданные после 20 июля. Предполагается, что один из разработчиков “случайно” отдал смарт-контракту команду самоуничтожиться, тем самым заморозив средства на сумму $154 млн в Ether-эквиваленте.

Точные цифры исследователям удалось получить в ходе анализа проблемных смарт-контрактов. На данный момент замороженные средства в три раза превышают сумму, украденную в результате взлома The DAO.

Тем не менее, разработчики Ethereum поспешили заявить, что обнаруженная проблема напрямую не касается сети, а только кодов смарт-контрактов, написанных поверх блокчейна.

Смарт-контракты Ethereum невозможно изменить после их активации; это же верно и для багов, содержащихся в этих контрактах.

Хотя некоторые представители отрасли заявили, что практика написания правильных смарт-контрактов только нарабатывается, другие участники криптосообщества набросились на Parity Technologies с обвинениями.

Критика

Разработчик Vulcanize Рик Дадли уверен, что ответственные за сферу безопасности разработчики должны понести наказание.

CEO Eximchain Хоуп Лиу уже поставил под сомнение следующие обновления от Parity Technologies, поскольку новая уязвимость возникла всего через несколько месяцев после предыдущей. В самой же компании уверяют, что смарт-контракты проходили аудит перед официальным релизом, и обвиняют социальные медиа в спекуляциях.

Блокчейн-эксперт Киран Мюррей также уверен, что пользователи могут подать в суд на разработчиков смарт-контрактов в связи с потерей средств, тем самым создав правовой прецедент.

Критики платформы Ethereum уже получили карт-бланш на ярые нападки.

Создатель Litecoin Чарли Ли считает, что код больше не является законом для смарт-контрактов Ethereum, если в сложившейся с кошельком Parity ситуации необходимо проводить хардфорк для высвобождения средств пользователей. Он назвал платформу Ethereum “раем для хакером”, подчеркнув, что язык Solidity хуже всего подходит для написания смарт-контрактов без багов.

Основатель Ethereum Виталик Бутерин заявил, что “сознательно” воздерживается от каких-либо комментариев, но выразил поддержку всем разработчикам контрактов для электронных кошельков и их аудиторам.

Возможные пути решения

Тем не менее, представитель отдела безопасности Ethereum Foundation Мартин Хольст Швенде заявил, что невозможно воссоздать код уничтоженного смарт-контракта без проведения хардфорка сети. По его мнению, любое решение по разморозке средств пользователей без исключений требует хардфорка.

Источник: https://forklog.com/kriticheskaya-uyazvimost-koshelka-parity-mozhet-privesti-k-hardforku-ethereum/

Случайная активация бага в Ethereum-кошельке Parity заблокировала $280 000 000 — «Хакер»

Минувшим летом криптовалютный кошелек Parity уже попадал на первые полосы СМИ в связи с кибератакой. Тогда неизвестные злоумышленники воспользовались багом в контракте с мультиподписью, что позволило им похитить средства из чужих кошельков.

В результате действий преступников пострадали все пользователи, имевшие дело с кошельками с мультиподписью, созданными ранее 19 июля 2017 года. В карманах похитителей тогда осело 153 000 ETH, то есть порядка 30 000 000 долларов по курсу на тот момент.

Кто бы мог подумать, что почти полгода спустя этот инцидент получит неожиданное продолжение.

В начале текущей недели компания Parity Technologies Ltd.

, занимающаяся разработкой кошелька Parity, опубликовала в блоге предупреждение, согласно которому, в библиотеке, отвечающей за работу смарт-контракта, который используют кошельки с мультиподписью, был обнаружен критический баг. Жертвами данной уязвимости стали пользователи кошельков с мультиподписью, созданными после 20 июля 2017 года.

Сопоставив даты, нетрудно заметить, что уязвимость была привнесена в код кошелька вместе с исправлением, вышедшим после нашумевшей летней атаки.

Разработчики объясняют, что проблема позволяла превратить проблемную библиотеку/контракт в обычный кошелек с мультиподписью, а затем стать его владельцем, задействовав функцию initWallet.

Именно это проделал пользователь, известный под псевдонимом Devops199.

Случайно (?) обнаружив баг и получив контроль, Devops199 отдал команду на самоуничтожение контракта, что вывело из строя множество кошельков с мультиподписью, а все средства на них оказались блокированы. Похоже, что Devops199 не совсем понимал, что делает, так как по собственному признанию – он новичок в области криптовалют и Ethereum.

На Pastebin уже можно найти список пострадавших, в который входит 71 аккаунт. Если эти расчеты верны, то «заморожены» из-за бага оказались более 930 000 ETH, то есть свыше 280 000 000 долларов.

Один из пострадавших аккаунтов в упомянутом списке принадлежит Polkadot, Ethereum-приложению, разработанному Гэвином Вудсом (Gavin Woods), одному из сооснователей Parity и бывшему core-разработчику Ethereum. Представители Polkadot уже подтвердили, что проблема затронула один из их кошельков с мультиподписью, содержавший почти 90 000 000 долларов.

Что делать теперь, похоже, до конца не понимает никто. Разработчики Parity заверили, что проводят расследование случившегося и сделают все возможное для разрешения проблемы, однако  пока компания смогла предложить для «отмены» случившегося и спасения средств лишь хардфорк, что, предсказуемо, понравилось далеко не всем пользователям.

Источник: https://xakep.ru/2017/11/08/parity-mess/

Ошибка в кошельке Parity заморозила монеты Ethereum на $150 миллионов — Два Биткоина

6 ноября пользователь devops199 написал в github Parity: «Я случайно его убил»:

Речь шла о MultiSig кошельке Parity. Давайте разберемся кого убили, кто виноват и что делать…

Что такое кошелек Parity?

Parity — довольно популярный неофициальный кошелек. На официальном сайте https://parity.io/ написано, что это «самый быстрый и наиболее защищенный способ работы с блокчейном Ethereum». Быстрый — да, но вот с защитой, похоже, проблемы… Если вы еще хотите установить Parity — вот инструкция.

В отличие от медленного официального клиента geth, Parity намного быстрее синхронизирует блокчейн, например его часто используют майнинг-пулы. Подробнее про отличия geth и Parity.

Что такое MultiSig-кошелек?

MultiSig кошелек — это смарт-контракт (программа в сети Ethereum), которая дает доступ к средствам сразу нескольким пользователям. Подробнее про смарт-контракты. В MultiSig кошельках прописываются такие параметры, как:

  • Список пользователей, имеющих доступ к выполнению транзакций (переводов).
  • Правила, указывающие сколько человек должны подписать транзакцию для ее выполнения.
  • Способ подтверждения и отправки запроса в сеть Ethereum и т.д.

Например, 3 совладельца компании держат общий счет. Они могут договориться, что подписей двух человек достаточно, для отправки денег. Это очень удобно, ведь никогда не надо ждать третьего, да и потом кто-то может случайно потерять или забыть свой ключ…

Кстати, в случае MultiSig кошелька, мошенникам намного сложнее действовать, ведь украсть ключ одного пользователя будет недостаточно.

Очень часто для создания кошельков с мультиподписью используется программное обеспечение Parity, в частности, многие компании, которые проводят ICO используют MultiSig кошелек Parity. Подробнее про работу MultiSig кошельков.

Что произошло?

Комментарий специалиста в области смарт-контрактов Вячеслава Карпенко:

19 июля 2017 года была обнаружена первая уязвимость в MultiSig кошельке Parity. Тогда злоумышленник украл 153 000 ETH (± $30.5 млн. на то время). Компания Parity объявила о «критическом» уровне угрозы и попросила всех пользователей кошелька отправить ETH на другие безопасные адреса.

6 ноября 2017 года история повторилась. «Заплатка», которая была сделана, оказалась ненадежной. В этот раз деньги были не украдены, а заморожены навсегда! Всего 513 000 ETH (более $150 млн). Parity опять объявила «критический» уровень угрозы: «Мы анализируем данный вопрос и скоро предоставим детальное пояснение сложившейся ситуации».

Как мы писали в своем канале Telegram:

Кто потерял монеты Ethereum?

Источник: https://2bitcoins.ru/oshibka-v-koshelke-parity-zamorozila-monety-ethereum-na-150-millionov-dollarov/

Пять угроз, которые нависли над блокчейном | Rusbase

Глава вневедомственной рабочей группы Госдумы РФ Элина Сидоренко во время регионального блокчейн-митапа в Казани заявила, что в сентябре 2017 года в парламент внесут законопроект о легализации криптовалют.

«Сейчас единственной страной, легализовавшей критовалюты, является Япония.

В апреле 2017 года в стране приняли закон, приравнивающий их к обычным деньгам – криптовалюты получили статус платежного средства. Однако участниками рынка криптовалют в Японии могут быть только нерезеденты тех стран, законодательство которых близкое к законодательству Японии.

Фактически весь легальный рынок замкнулся на Японии», — отметила она.

Другим направлением станет развитие и регулирование технологии блокчейна, лежащей в основе производства криптовалют.

Плюсы блокчейна

Блокчейн и криптовалюта биткоин как квинтэссенции технологии стали одним из главных трендов на рынке ИТ в последние 3-4 года. Большинство протоколов блокчейна разработаны как децентрализованные одноранговые сети, которые позволяют членам совместно хранить и запускать вычислительные операции с данными без ущерба для безопасности и конфиденциальности.

Блокчейн позволяет сократить затраты на бюрократический аппарат и минимизировать риски коррупции, обеспечить сохранность и безопасность данных, устранить ненужные или избыточные операции. Неудивительно, что не только органы власти, но и бизнес активно прицениваются к блокчейну.

Кейс 1

Одним из самых ярких примеров стало создание банковского консорциума R3 CEV, который уже успел провести испытания технологии блокчейн для банковских структур.

В них приняли участие BMO Financial Group, Credit Suisse, Commonwealth Bank of Australia, HSBC, Natixis, Royal Bank of Scotland, TD Bank, UBS, UniCredit и Wells Fargo, которые пять дней обменивались записями в распределенной базе данных по открытой блокчейн-технологии.

Кейс 2

Другой пример — канадский банк ATB Financial, благодаря интеграции платежного ИТ-решения и облачной платформы успешно осуществивший перевод в Германию за 20 секунд, в то время как традиционный процесс обработки подобной процедуры из-за расчетов с банком-контрагентом и выверки счетов обычно занимает от двух до шести рабочих дней.

Кейс 3

Впрочем, среди бизнесменов есть и скептики. Весной 2017 года дебетовая платежная онлайн-платформа PayPal отказалась использовать блокчейн, отдав предпочтение традиционным СУБД. Представители PayPal назвали биткоин «спекулятивным финансовым инструментом, подверженным высокой волатильности».

Однако это не отменяет популярность и востребованность биткоинов. Однако мало кто отдавал себе отчет в том, насколько технология блокчейна безопасна. А на рынке уже есть яркие примеры того, как блокчейном можно манипулировать.

Угроза 1. Картельный сговор

По данным blockchain.info, майнеры, добывающие биткоины, производят 450 тысяч трлн вычислений в секунду. Каждая попытка требует энергии. Ежегодно на производство биткоинов уходит от 2 тераватт-часов (это больше, чем потребляет 150-тысячный город в Калифорнии) до 40 тераватт-часов (это две трети от потребления 10-миллионного округа Лос-Анжелес).

По данным bitcoinity.org, в феврале 2016 года ТОП-производителей биткоинов выглядел следующим образом:

  1. Antpool – 25,90%,
  2. F2pool – 22,60%,
  3. Bitfury – 15,09%,
  4. BtcChina – 12,78%,
  5. bw.com – 6,34%,
  6. прочие – 17,29%.

Четыре из пяти перечисленных майнеров, за исключением Bitfury, имеют китайскую «прописку».

Это порождает риск «картельных сговоров» и «угрозы 51%», а также ставит вопрос о мотивации компаний, в действительности контролирующих систему, – их интересы могут отличаться от интересов людей, держащих активы в биткоинах. Наконец, никто не отменял политические риски и влияние китайских регуляторов на интернет-отрасль.

Угроза 2. Челночный бег

На данный момент главной угрозой для блокчейна, пускай и гипотетической, является «атака 51%», когда злоумышленник может сделать откат транзакций, печатая альтернативные блоки и гарантированно опровергая то, что происходит в обычном блокчейне. По сути, это похоже на челночный бег.

Но подобные примеры уже были: один из пулов – ghash.io – набрал мощность, близкую к 50%, после чего владельцы прекратили прием новых пользователей, чтобы не создавать компрометирующую ситуацию.

Угроза 3. Контрольный пакет

В разных технологиях блокчейна используются разные методы подтверждения блоков. Так, в биткоин применяется метод proof-of-work — подтверждение блоков вычислительной мощностью.

Источник: https://rb.ru/opinion/ugrozy-blokchejna/

Баг в эфириум-кошельке Parity привел к блокировке средств на миллионы долларов

Проблема в коде ethereum-кошелька Parity привела к тому, что точно неизвестное на данный момент количество средств пользователей в сети ethereum оказалось «замороженным». По имеющимся данным, сумма в «эфире» превышает $100 млн по курсу на момент публикации.

Уязвимость, из-за которой была активирована «заморозка» средств, была обнаружена в коде второго по популярности эфириум-клиента в понедельник 6 ноября разработчиком под ником «devopps199», который первым сообщил о ней на GitHub.

Этой уязвимости подвержены все кошельки на Parity, созданные после 20 июля и использующие функцию мультиподписи (когда нужно более одного ключа для подписи транзакции).

На данный момент точно неизвестно, сколько именно кошельков было создано за этот период и сколько именно «эфира» застряло. По данным EtherNodes.org, на Parity-кошельки приходится порядка 20% адресов сети, то есть уже можно говорить о как минимум $100 млн., возможно, навсегда застрявших на кошельках.

И это уже не первая большая уязвимость Parity. В июле этого года неизвестный хакер, воспользовавшись лазейкой в коде, украл «эфира» на $30 млн. Этот баг был быстро закрыт, но, как выяснилось, в коде оказались дополнительные недочеты, из-за которых сработал эксплойт.

Сам разработчик devopps199 признается, что он новичок в смарт-контрактах, он проводит аналогию с банковским хранилищем, на двери которого есть кнопка «запереть навсегда», и именно он стал тем, кто «случайно ее нажал».

В данный момент нет ясности по поводу того, как вернуть застрявшие средства. Некоторые разработчики уже поговаривают о возможном хардфорке, однако все понимают, что это, мягко говоря, противоречивое решение, и особенно в контексте эфириума, все мы помним ситуацию с The DAO и появлением монеты Ethereum Classic.

Некоторые эфириум-проекты, например, Augur, уже открыто негативно высказались против вероятного хардфорка в социальных сетях.

В блоге Parity было опубликовано предупреждение о том, что не стоит пользоваться и создавать новые кошельки с мультиподписью, пока ситуация не прояснится.

Среди замороженных счетов оказались кошельки проекта основателя Parity Гэвина Вуда Polkadot, который в ходе ICO привлёк криптовалюту на сумму свыше $140 млн.

Если верить опубликованному на Pastebin документу, проблема затронула кошельки, на которых в общем объёме больше 600 тысяч «эфира», их сумма превышает $180 млн.

Мы продолжаем следить за развитием событий.

Источник: https://coinspot.io/news/breaking-news/bag-v-efirium-koshelke-parity-privel-k-blokirovke-sredstv-na-milliony-dollarov/

Представители Ethereum-кошелька Parity оповестили о критической уязвимости. — Новости Биткоин

Отправлено 10 Ноябрь 2017 — 11:59

   Parity во второй раз подвергается уязвимости – заморожены активы пользователей на сумму более чем 150 миллионов долларов

На этой неделе представители Ethereum-кошелька Parity оповестили о критической уязвимости, которая привела к заморозке миллионов долларов на счетах их пользователей. К сожалению, это уже не первая угроза, которая обрушилась на Parity. В результате взлома Ethereum-кошелька Parity в июле этого года хакерам удалось украсть более $30 миллионов в криптовалюте Ethereum.

За последние пять месяцев в Parity обнаружена уже вторая уязвимость

Пользователи популярного Ethereum-кошелька Parity очень обеспокоены неустойчивой безопасностью своих средств.

Угроза, которая была описана как «критическая», сделала все multi-sig контракты непригодными и заблокировала доступ к сотням миллионов долларов, которые хранили пользователи в своих кошельках.

Кошельки с мультиподписью (multi-sig) характеризуются повышенной безопасностью транзакций за счет нескольких этапов подтверждения операции вместо одного.

Новость об обнаружении новой угрозы появилась очень не вовремя для Parity, которые в последние месяцы прикладывали максимальные усилия для восстановления своей репутации после подобного взлома 20 июля этого года.

Тогда, в результате взлома, со счетов пользователей было похищено более 150 000 ETH, что равноценно $ 30 миллионам.

В числе пострадавших от взлома были крупные компании, такие как Aeternity, Edgeless Casino и Swarm City, причем последние потеряли более 44 000 ETH.

После июльского взлома, Parity устранили угрозу и исправили код системы. В настоящее же время выяснилось, что новый код содержал еще один недостаток, который позволил мошенникам изменять код и завладевать кошельками, которые им не принадлежат.

На этот раз мошенники, с помощью вызова функции initWallet, превратили контракты Parity Wallet в обычный кошелек и стали его фактическими владельцами.

В результате этих действий, все кошельки с мультиподписью, созданные после 20 июля, были заморожены и потеряли возможность вывода активов.

 Кошельки с мультиподписью заморожены

В своем блоге, команда Parity выложила сообщение с объяснением произошедшего:

По предварительным подсчетам, после новостей о совершенной атаке на кошельки Parity, на счетах пользователей было заморожено около $152 миллионов.

В числе пострадавших от атаки также находится приложение Polkadot, разработанное Гэвином Вудсом – основателем Parity и бывшим разработчиком Ethereum.

Polkadot сообщили, что не смогли получить доступ к своим средствам на сумму около 90 миллионов долларов.

Parity советуют своим пользователям не создавать новые кошельки с мультиподписью, пока проблема не будет решена. При этом информации о том, каким образом команда Parity намерена разблокировать счета, пока нет. Одним из возможных методов является хардфорк сети Ethereum с целью внесения изменений, позволяющих разблокировать кошельки.

Пока Parity ищет способы решения проблемы, в социальных сетях распространяется все больше и больше слухов о том, что в ходе последней атаки средства не только заблокированы, а украдены со счетов пользователей.

В свою очередь, представители Parity успокаивают общественность и опровергают подобную информацию, называя распространение таких слухов никак иначе как «спекуляцию».

Такие слухи никак не радуют пострадавших пользователей, которые рискуют лишиться всех своих средств и ко всему прочему не видят решения проблемы с разблокировкой счетов со стороны Parity.

Parity в настоящее время продолжает расследовать причину произошедшего и искать способы устранения проблемы, а такжев ближайшее время обещают опубликовать больше информации.

Стоит заметить, что подобные атаки всегда накладывают большой отпечаток на репутации компаний — появляется недоверие со стороны существующих и потенциальных пользователей, падает ликвидность и т.д. Первый тревожный звоночек для Parity уже прозвенел — на фоне новостей об уязвимости средств пользователей, стоимость Ethereum резко упала до самого низкого за две недели уровня — с $305 до $291.

Источник: https://forum.cryptoff.org/index.php?/topic/8090-predstaviteli-ethereum-koshelka-parity-opovestili-o-kritich/

Уязвимость в кошельке Parity может вызвать незапланированный хард форк Эфириума

Источник: coinews.io

До сих пор не приняты никакие решения относительно того, что делать с деньгами, которые оказались замороженными в кошельках с мультиподписью второго по популярности клиента Эфириума, Parity, вследствие обнаруженной уязвимости.

Однако Мартин Холст Свенде (Martin Holst Swende), руководитель отдела безопасности Ethereum Foundation, подтвердил изданию CoinDesk то, что для разблокирования этих средств потребуется хард форк блокчейна Эфириума.

– отметил Голст Свенда.

Это означает, что в сети Эфириума нужно будет осуществить незапланированное обновление, вроде отката блокчейна к моменту перед взломом DAO, проведенного в прошлом году, что действительно необходимо для того, чтобы пользователи имели возможность восстановить утраченные миллионы.

Внезапное обновление такого типа является очень спорным вопросом, поскольку оно не ограничиваться только Parity, но будет иметь значение для всей платформы Эфириума.

Вчера разработчик смарт-контрактов, который утверждает, что он является новичком на платформе, “случайно” удалил библиотеку кодов, отвечающую за нормальное функционирование кошельков Parity, в результате чего их программное обеспечение заморозило все средства, хранившиеся в этих мультисигнатурных кошельках. Это касается всех смарт-контрактов этих кошельков, созданных после 20 августа.

Разработчик Parity Афри Шоедон (Afri Schoedon) сообщил CoinDesk, что эту уязвимость “нелегко исправить” и сейчас разработчики разрабатывают предложения по разблокированию замороженных средств.

Холст Свенде отметил, что на сегодняшний день основные трудности, связанные с исправлением бага, “больше политического, чем технического характера”.

Руководитель службы безопасности уже предложил возможное решение, которое предусматривает переписывание кода Parity таким образом, чтобы устранить уязвимость кошелька, «Я хотел бы видеть, что за это будут отвечать ответственные стороны, а не [Ethereum] Foundation».

Компания Parity Technologies, расположенная в Великобритании и разработавшая кошелек, не связана с Ethereum Foundation, некоммерческой организацией, работающей над разработкой и постоянным обновлением одного из самых распространенных клиентов Эфириума – Geth.

Холст Свенде сообщил, что команда будет работать над “разработкой одного или нескольких предложений”, а затем вместе с сообществом выберет лучшее решение.

Поскольку замороженные средства не могут быть изъяты, “нет жестких сроков”, отметил он, “так что процесс решения может, на мой взгляд, двигаться, никого не торопя”.

На сегодняшний день разработчики предлагают использовать в качестве инструмента решения проблемы протокол усовершенствования Эфириума (EIP), который может быть развернут для решения проблемы.

Этот EIP, который позволяет восстанавливать эфир (ETH) с замороженных учетных записей, в прошлом году был предложен основателем Эфириума Виталиком Бутериним, для активации все еще нуждается в незапланированном хард форке.

Источник: https://novator.io/blokchejn/uyazvimost-v-koshelke-parity-mozhet-vyzvat-nezaplanirovannyj-hard-fork-efiriuma

Проблема кошелька Parity — новый вызов системе Ethereum

Ранее на этой неделе, как мы писали была обнаружена ошибка в программном обеспечении кошелька Parity, что фактически привело к замораживанию сотен миллионов долларов в ETH.

Первоначально в социальных сетях звучало много спекуляций на эту тему и команде Parity пришлось на них отвечать:

«Обновление: насколько нам известно, средства заморожены и не могут быть перемещены в любом месте. Общая информация в социальной среде ETH является спекулятивной.»

Официальная информация

8 ноября команда разработчиков Parity опубликовала официальное заявление об ошибке как критическом сигнале безопасности, объявив, что крупные суммы ETH от пользователей, хранящихся как «активы в кошельках с функцией мультиподписи в Parity Wallet, которые был размещены после 20 июля», были заморожены и не могут быть перемещены.

«Мы очень сожалеем, что вчерашний инцидент вызвал большой стресс и путаницу среди наших пользователей и сообщества в целом, особенно со всеми спекуляциями, связанными с этой проблемой. Мы продолжаем исследовать ситуацию и изучаем все возможные последствия и решения. Blockchain и связанные с ним технологии — это авангардная область информатики », — добавлено в заявлении.

Хотя оценки количества замороженных средств в кошельках с функцией мультиподписи остаются неопределенными, аналитики криптовалюты предположили, что сумма будет в диапазоне от 150 до 280 миллионов долларов.

Что было ошибкой?

Пользователь, который утверждал, что является «новичком» в секторе криптовалюты, обнаружил серьезную ошибку в Parity.

Он взял под свой контроль смарт-контракт, который содержал высокочувствительную информацию, включая инструкции транзакций для многих кошельков с несколькими сигнатурами.

Проблема возникла, когда пользователь объявил себя владельцем смарт-контракта и вскоре отключил его, фактически заблокировав средства от перемещения или доступа.

Патрик МакКорри (Patrick McCorry), аналитик по криптовалюте в университетском колледже Лондона, сказал  в интервью Fortune, что единственный способ восстановления сотен миллионов долларов, которые были заморожены в кошельках с функцией мультиподписи, — это сделать хардфорк, чтобы обратить вспять этот инцидент.

«Единственный способ «повторно активировать» смарт-контракт — выполнить «хардфорк», который эффективно отменяет работу», — сказал МакКорри.

Туур Демейстер, известный bitcoin-инвестор и аналитик рассказал, что 90 миллионов долларов в ETH ICO Gavin Wood также были заморожены, и ошибка кроме кошельков пользователей затронула коммерческие проекты.

Выход из положения

Раньше, вплоть до конца 2016 года, сеть Ethereum выполняла четыре последовательные хардфорка для устранения сбоев в работе сети и ошибок в программном обеспечении Ethereum.

Оптимистично то, что все средства, которые были заморожены ранее, не были украдены. И в этот раз все средства скорее всего будут восстановлены ходе хардфорка.

Важно понимать, что уязвимости могут быть исправлены с помощью обновлений, и быстрое восстановление позволит сети Ethereum стать более устойчивой к таким недостаткам в будущем.

Сейчас для Parity и системы Ethereum жизненно необходимо быстро реагировать на на недостатки обнаруженные в программном обеспечении Parity, и обеспечить решение проблемы, чтобы обратить вспять процесс замораживания большого количества эфира.

Читайте ленту криптовалютных новостей в Ваших соц. сетях

  • Яндекс Дзен

Источник: https://freedman.club/the-problem-of-the-purse-parity-a-new-challenge-to-the-system-ethereum/

Критическая уязвимость кошелька Parity может привести к хардфорку Ethereum

В понедельник, 6 ноября, в Ethereum-кошельке Parity была обнаружена новая критическая уязвимость, в результате которой средства пользователей на кошельках с мультиподписью оказались заморожены. Для решения проблемы может потребоваться новый хардфорк сети . Об этом сообщает CoinDesk.

Масштабы проблемы

Как стало известно, критическая уязвимость была обнаружена в версии смарт-контракта, который отвечает за пользовательские кошельки с мультиподписью, созданные после 20 июля. Предполагается, что один из разработчиков “случайно” отдал смарт-контракту команду самоуничтожиться, тем самым заморозив средства на сумму $154 млн в Ether-эквиваленте.

Точные цифры исследователям удалось получить в ходе анализа проблемных смарт-контрактов. На данный момент замороженные средства в три раза превышают сумму, украденную в результате взлома The DAO.

Тем не менее, разработчики поспешили заявить, что обнаруженная проблема напрямую не касается сети, а только кодов смарт-контрактов, написанных поверх .

Смарт-контракты невозможно изменить после их активации; это же верно и для багов, содержащихся в этих контрактах.

Хотя некоторые представители отрасли заявили, что практика написания правильных смарт-контрактов только нарабатывается, другие участники криптосообщества набросились на Parity Technologies с обвинениями.

Критика

Разработчик Vulcanize Рик Дадли уверен, что ответственные за сферу безопасности разработчики должны понести наказание.

CEO Eximchain Хоуп Лиу уже поставил под сомнение следующие обновления от Parity Technologies, поскольку новая уязвимость возникла всего через несколько месяцев после предыдущей. В самой же компании уверяют, что смарт-контракты проходили аудит перед официальным релизом, и обвиняют социальные медиа в спекуляциях.

Блокчейн-эксперт Киран Мюррей также уверен, что пользователи могут подать в суд на разработчиков смарт-контрактов в связи с потерей средств, тем самым создав правовой прецедент.

Критики платформы уже получили карт-бланш на ярые нападки.

Создатель Litecoin Чарли Ли считает, что код больше не является законом для смарт-контрактов , если в сложившейся с кошельком Parity ситуации необходимо проводить хардфорк для высвобождения средств пользователей. Он назвал платформу “раем для хакером”, подчеркнув, что язык Solidity хуже всего подходит для написания смарт-контрактов без багов.

Основатель Виталик Бутерин заявил, что “сознательно” воздерживается от каких-либо комментариев, но выразил поддержку всем разработчикам контрактов для электронных кошельков и их аудиторам.

Возможные пути решения

Тем не менее, представитель отдела безопасности Foundation Мартин Хольст Швенде заявил, что невозможно воссоздать код уничтоженного смарт-контракта без проведения хардфорка сети. По его мнению, любое решение по разморозке средств пользователей без исключений требует хардфорка.

Источник: https://trafictop.top/2017/11/08/kriticheskaya-uyazvimost-koshelka-parity-mo/

Единственный способ вернуть деньги пользователей Parity — хардфорк Ethereum

Для решения проблемы с критической уязвимостью кошелька Parity придется проводить хардфорк сети Ethereum. Это единственный способ воссоздать код, заявил представитель отдела безопасности Ethereum Foundation Мартин Хольст Cвенде.

Проблема в том, что хардфорк коснется не только Parity: обновиться придется всем участникам сети Ethereum. Но по мнению Хольст Свенде, другого способа вернуть средства пользователей нет. Несмотря на все проблемы, эфир растет, особенно на фоне новости об отмене хардфорка SegWit2x.

Сегодня его цена $313, позавчера он стоил — $290.

Что случилось?

В понедельник, 6 ноября, один из разработчиков случайно удалил смарт-контракт, возможно, чтобы исправить свою ошибку, тем самым заморозив средства пользователей Parity.

Разработчик BitClave Антон Буков предположил, по какой причине это произошло: «Он вызвал несколько методов у библиотеки и сперва сделал себя ее владельцем, а потом и вовсе удалил ее.

Следующая проблема обнаружилась, когда владельцы кошельков захотели поубивать свои мультиподписные кошельки, чтобы вернуть сбережения — метод kill их кошельков оказался защищен модификатором onlymanyowners, код которого находился в удаленной ранее библиотеке».

Кроме того, Буков добавил, что при делегировании вызова библиотеки работают не со своими переменными, а с переменными вызывающего их контракта — так они устроены.

«Поэтому в коде библиотеки были предусмотрены те же переменные что и в контракте, но они не были инициализированы.

Никто до сих пор не обращался к этой библиотеке напрямую, а разработчики просто не предусмотрели такой случай», — сказал он.

Вместе со всеми был заморожен кошелек со средствами проекта Polkadot, который недавно провел ICO. Всего на этих кошельках находится около 500,000 ETH или примерно $154 млн. Parity порекомендовал пользователям временно не создавать новые кошельки с мультиподписью.

История взломов

В июне 2016 года крупномасштабной атаке подвергся уникальный инвестиционный проект DAO, построенный на базе блокчейна Ethereum.

Тогда, используя лазейку в коде, со счетов украли 3,6 млн ETH, то есть $43,9 млн (по курсу на 19 июня 2016). После этих событий эфир упал в цене на 20%.

Тогда, чтобы сохранить сеть и вернуть средства пользователям, пришлось провести хардфорк, в результате которого образовались две сети: Ethereum и Ethereum Classic.

В июле этого года под атакой хакеров уже оказался Parity, во время которой им удалось украсть ETH в эквиваленте $30 млн. На следующий день после атаки команда опубликовала новую версию смарт-контракта, но в ней также была найдена уязвимость, которая привела к сегодняшней проблеме.

Что говорят блокчейн-эксперты

Создатель Litecoin Чарли Ли назвал Ethereum «раем для хакеров» и добавил, что язык Solidity совсем не подходит для написания смарт-контрактов.

А блокчейн-эксперт Киран Мюррей уверен, что пользователи будут подавать иски на разработчиков смарт-контрактов в связи с потерей средств, и тем самым создадут правовой прецедент.

Создатель Ethereum Виталик Бутерин воздержался от комментариев. Он только выразил поддержку всем разработчикам контрактов для электронных кошельков

Источник: https://DeCenter.org/ru/edinstvennyy-sposob-vernut-dengi-polzovateley-parity-khardfork-ethereum

Ссылка на основную публикацию