Вчера появились экстренные новости о масштабном проникновении в систему Ethereum, которое позволило хакерам украсть более 83,000 ETH (~$18 млн) из трех крупных multisig кошельков и вывести их в один кошелек.

Как ранее сообщал в интервью Cointelegraph, проникновение было остановлено группой хакеров white hat, которые сразу же вывели значительное количество других уязвимых кошельков, защитив сумму ETH значимостью в более 85 миллионов долларов.

Уязвимость Multisig

Хакер использовал малоизвестный изъян в программном пакете Parity, который влияет на контракт multisig кошелька.

Хакер смог сделать две транзакции по каждому контракту и слить все содержимое.

Первая транзакция, которая называется initWallet, была использована для того, чтобы все публичные функции могли вызываться любым, кто использует delegatecall, включая initWallet, которая в последствии позволила хакеру сменить владельца договора.

Затем хакеры сделали их адрес единственным владельцем, и запросили только одно подтверждение для выполнения любой транзакции. Наконец, они легко смогли совершить транзакцию на кошелек, который принадлежал исключительно им и вывести все содержимое кошелька.

Хакинг можно было предотвратить просто, не используя функцию «delegatecall», которая разрешает всем стандартным функциям вызываться извне кошелька.

Последствия

 

Три выведенных кошелька принадлежали Edgeless Casino, æternity и Swarm City. Все три компании выпустили пресс-релизы указывая на последствия взлома.

Edgeless Casino подтвердили потерю в 26 793 ETH ($5.6 миллионов), которые находятся в руках хакера. Однако, Edgeless стремится отмести тревоги пользователей и инвесторов, объясняя свою политику диверсификации после ICO. Запуск платформы состоится, как и обещано, в Q3 этого года, хотя, в качестве защитной меры, игроки будут вынуждены покупать токены EDG для оплаты, вместо того, чтобы играть напрямую с ETH.

æternity также выпустили пресс-релиз, с детальным указанием их потерь (82K ETH), также заверяя инвесторов, что запуск проекта будет продолжаться по плану. Компания тоже использовала обширную стратегию диверсификации с BTC и другими кошельками, чтобы защитить необходимые для ведения бизнеса средства. Однако, в обновлении на сайте говорилось:

«Вместе с адвокатом æternity, мы обратились в органы полиции Лихтенштейна и предъявили обвинения. Полиция передаст дело в Интерпол».

Swarm City заявили, что они также понесли потери в 44,055 ETH. Компания не рассматривает другие средства, доступные для запуска проекта, хотя они подтверждают свою приверженность развитию Swarm City, заявляя:

«Команда The Swarm City Core более предана развитию Swarm City, чем когда-либо. Настоящая ценность нашего токена лежит в сообществе, и в технологии, которую создают разработчики. Хакеры black hat, уязвимые места и баги не остановят нас от создания децентрализованной долевой экономики, которую жаждет наше сообщество и весь мир.

Три компании совместно раздумывают о действиях, которые нужно предпринять против Гэвина Вудса, разработчика пострадавших кошельков.

 

Предупредительный выстрел

 

Масштабный взлом рассматривается многими как предупредительный выстрел. Сложность системы Ethereum, хоть она и является ее наилучшим преимуществом, также представляет огромные риски для средств пользователей. По словам Сантьяго Палладино из Zeppelin solutions:

«Эта атака, однако, отчетливо показывает то, что экосистеме Ethereum необходим набор лучших практик и стандартов, для того, чтобы гарантировать, что шаблоны кодирования реализуются эффективно и надежно. В противном случае, самые на вид невинные баги могут привести к катастрофическим последствиям».

Сообществу Ethereum необходимо разработать новые методы предотвращения таких взломов и защитить их базу пользователей, если они хотят продолжать получать поддержку среди пользователей криптовалюты. Этот взлом ставит под сомнение мнение многих о том, что Ethereum обгонит Биткойн, как фактор выбора.

Written by CrystalB1t

CrystalB1t