Критическая уязвимость кошелька Parity может привести к хардфорку Ethereum
В понедельник, 6 ноября, в Ethereum-кошельке Parity была обнаружена новая критическая уязвимость, в результате которой средства пользователей на кошельках с мультиподписью оказались заморожены. Для решения проблемы может потребоваться новый хардфорк сети Ethereum. Об этом сообщает CoinDesk.
Масштабы проблемы
Как стало известно, критическая уязвимость была обнаружена в версии смарт-контракта, который отвечает за пользовательские кошельки с мультиподписью, созданные после 20 июля. Предполагается, что один из разработчиков “случайно” отдал смарт-контракту команду самоуничтожиться, тем самым заморозив средства на сумму $154 млн в Ether-эквиваленте.
Точные цифры исследователям удалось получить в ходе анализа проблемных смарт-контрактов. На данный момент замороженные средства в три раза превышают сумму, украденную в результате взлома The DAO.
Тем не менее, разработчики Ethereum поспешили заявить, что обнаруженная проблема напрямую не касается сети, а только кодов смарт-контрактов, написанных поверх блокчейна.
Смарт-контракты Ethereum невозможно изменить после их активации; это же верно и для багов, содержащихся в этих контрактах.
Хотя некоторые представители отрасли заявили, что практика написания правильных смарт-контрактов только нарабатывается, другие участники криптосообщества набросились на Parity Technologies с обвинениями.
WTF IS WRONG WITH YOU PEOPLE. WR NEED AN INTERVENTION. THIS IS COMPLETELY INSANE. https://t.co/XtfuGLaknH
— Rick Dudley (@AFDudley0) November 7, 2017
Критика
Разработчик Vulcanize Рик Дадли уверен, что ответственные за сферу безопасности разработчики должны понести наказание.
CEO Eximchain Хоуп Лиу уже поставил под сомнение следующие обновления от Parity Technologies, поскольку новая уязвимость возникла всего через несколько месяцев после предыдущей. В самой же компании уверяют, что смарт-контракты проходили аудит перед официальным релизом, и обвиняют социальные медиа в спекуляциях.
Update: To the best of our knowledge the funds are frozen & can’t be moved anywhere. The total ETH circulating social media is speculative.
— Parity Technologies (@ParityTech) November 7, 2017
Блокчейн-эксперт Киран Мюррей также уверен, что пользователи могут подать в суд на разработчиков смарт-контрактов в связи с потерей средств, тем самым создав правовой прецедент.
Coding open source financial apps is not like coding other OSS. Some day someone will take you to court. https://t.co/g0dXoG27AJ
— Ciaran Murray (@C1aranMurray) November 7, 2017
Критики платформы Ethereum уже получили карт-бланш на ярые нападки.
I was adamantly against the DAO hardfork for this moral hazard reason. Ethereum is no longer unstoppable code as advertised on their website. How much in $/% is enough to do a HF? And who gets to decide? No longer uncensorable payments. https://t.co/i3RyIPqo32
— Charlie Lee [NO2X] (@SatoshiLite) November 8, 2017
Создатель Litecoin Чарли Ли считает, что код больше не является законом для смарт-контрактов Ethereum, если в сложившейся с кошельком Parity ситуации необходимо проводить хардфорк для высвобождения средств пользователей. Он назвал платформу Ethereum “раем для хакером”, подчеркнув, что язык Solidity хуже всего подходит для написания смарт-контрактов без багов.
I am deliberately refraining from comment on wallet issues, except to express strong support for those working hard on writing simpler, safer wallet contracts or auditing and formally verifying security of existing ones.
— Vitalik Buterin (@VitalikButerin) November 8, 2017
Основатель Ethereum Виталик Бутерин заявил, что “сознательно” воздерживается от каких-либо комментариев, но выразил поддержку всем разработчикам контрактов для электронных кошельков и их аудиторам.
Возможные пути решения
Тем не менее, представитель отдела безопасности Ethereum Foundation Мартин Хольст Швенде заявил, что невозможно воссоздать код уничтоженного смарт-контракта без проведения хардфорка сети. По его мнению, любое решение по разморозке средств пользователей без исключений требует хардфорка.
Сервис Localethereum провел Twitter-опрос о целесообразности хардфорка для спасения замороженных в кошельках с мультиподписью. 59% опрошенных оказались против такого исхода.
Critical bug found in @ParityTech multi-sig wallets. ~500K ETH lost forever.
Should Ethereum fork again?#ethereum
— localethereum.com (@localethereum) November 7, 2017
Несмотря на общий пессимистический настрой, некоторые разработчики надеются, что “белые хакеры” найдут способ разблокировать средства без активации хардфорка.
Напомним, ранее Parity Technologies сообщили о критической уязвимости в новой версии смарт-контрактов для управления кошельками с мультиподписью.