Баг в эфириум-кошельке Parity привел к блокировке средств на миллионы долларов
Проблема в коде ethereum-кошелька Parity привела к тому, что точно неизвестное на данный момент количество средств пользователей в сети ethereum оказалось «замороженным». По имеющимся данным, сумма в «эфире» превышает $100 млн по курсу на момент публикации.
Уязвимость, из-за которой была активирована «заморозка» средств, была обнаружена в коде второго по популярности эфириум-клиента в понедельник 6 ноября разработчиком под ником «devopps199», который первым сообщил о ней на GitHub.
Этой уязвимости подвержены все кошельки на Parity, созданные после 20 июля и использующие функцию мультиподписи (когда нужно более одного ключа для подписи транзакции).
На данный момент точно неизвестно, сколько именно кошельков было создано за этот период и сколько именно «эфира» застряло. По данным EtherNodes.org, на Parity-кошельки приходится порядка 20% адресов сети, то есть уже можно говорить о как минимум $100 млн., возможно, навсегда застрявших на кошельках.
И это уже не первая большая уязвимость Parity. В июле этого года неизвестный хакер, воспользовавшись лазейкой в коде, украл «эфира» на $30 млн. Этот баг был быстро закрыт, но, как выяснилось, в коде оказались дополнительные недочеты, из-за которых сработал эксплойт.
Сам разработчик devopps199 признается, что он новичок в смарт-контрактах, он проводит аналогию с банковским хранилищем, на двери которого есть кнопка «запереть навсегда», и именно он стал тем, кто «случайно ее нажал».
В данный момент нет ясности по поводу того, как вернуть застрявшие средства. Некоторые разработчики уже поговаривают о возможном хардфорке, однако все понимают, что это, мягко говоря, противоречивое решение, и особенно в контексте эфириума, все мы помним ситуацию с The DAO и появлением монеты Ethereum Classic.
Некоторые эфириум-проекты, например, Augur, уже открыто негативно высказались против вероятного хардфорка в социальных сетях.
В блоге Parity было опубликовано предупреждение о том, что не стоит пользоваться и создавать новые кошельки с мультиподписью, пока ситуация не прояснится.
Среди замороженных счетов оказались кошельки проекта основателя Parity Гэвина Вуда Polkadot, который в ходе ICO привлёк криптовалюту на сумму свыше $140 млн.
Unfortunately, our multi-sig is among those frozen. @ParityTech is working on the situation and will provide updates when available.
— Polkadot (@polkadotnetwork) November 7, 2017
Если верить опубликованному на Pastebin документу, проблема затронула кошельки, на которых в общем объёме больше 600 тысяч «эфира», их сумма превышает $180 млн.
Мы продолжаем следить за развитием событий.