Неизвестный пользователь по ошибке уничтожил криптовалюту на $280 млн
Пользователь сервиса криптовалютных кошельков Parity случайно удалил библиотеку, которая обеспечивала работу кошельков, содержащих монеты на сумму $280 млн. Причиной стала уязвимость кода, позволявшая превратить библиотеку в кошелек. Это уже вторая уязвимость, найденная в коде Parity за последние месяцы.
«Заморозка» эфира
Британская компания Parity Technologies, популярный оператор криптовалютных кошельков, сообщила, что в ее сервисе по вине неизвестного пользователя было заблокировано значительное количество монет Ethereum. Пользователь случайно удалил библиотеку кодов, необходимую для использования кошельков, где хранились эфиры.
Parity не раскрывает, сколько именно монет пострадало. Однако блоги, посвященные криптовалютам, высказывают мнение, что речь идет примерно об 1 млн эфиров, общая стоимость которых составляет порядка $280 млн. Из них около $90 млн принадлежало Гэвину Вуду (Gavin Wood), основателю Parity и бывшему разработчику ядра Ethereum. Средства были собраны его стартапом Polkadot, который работает над созданием каналов, объединяющих частный и публичный блокчейн.
В общей же сложности, по данным некоторых блогов, в кошельках Parity хранится до 20% всех эфиров мира. После происшествия курс криптовалюты Ethereum упал с $305 до $291. Компания попросила пострадавших пользователей не пытаться проводить какие-либо операции с замороженными кошельками и ждать дальнейших инструкций.
Технические особенности
Блокировка затронула все кошельки, созданные в сервисе после 20 июля 2017 г. и защищенные так называемой мультиподписью. Эта технология подразумевает, что для перемещения криптовалюты нужно согласие нескольких людей одновременно. Такой метод защиты востребован среди стартапов, поскольку он гарантирует, что один из сотрудников не сбежит, опустошив кошелек, пишет издание Business Insider. В кошельках с мультиподписью часто хранятся средства, собранные в ходе первичного предложения монет (ICO).
В кошельках Parity с мультиподписью присутствовала уязвимость, которая ранее позволила злоумышленникам украсть около 150 тыс. эфиров общей стоимостью около $30 млн. Инцидент произошел 19 июля 2017 г., и в связи с этим на следующий день компания развернула новую версию библиотеки контрактов. Однако новый код также имел проблему — контракт из библиотеки можно было превратить в кошелек с мультиподписью и стать его владельцем с помощью функции initWallet.
Эта уязвимость и была нечаянно приведена в действие неизвестным пользователем 6 ноября около 14:33 по Гринвичу. Он превратил всю библиотеку в кошелек, а через некоторое время его удалил. С этого момента контрактами с мультиподписью стало невозможно пользоваться, поскольку их логика была заключена в библиотеке.
Что такое Ethereum
Ethereum — это открытая платформа, позволяющая использовать блокчейн вместо традиционной юридической процедуры при проведении денежных операций. Идею платформы сформулировал в 2013 г. канадский программист российского происхождения Виталий Бутерин, основатель журнала Bitcoin Magazine. В июле 2015 г. платформа начала работу.
У платформы есть своя криптовалюта — Ether. Авторы проекта позиционируют ее не только как собственно валюту, а как средство для фиксирования сделок с помощью так называемых «умных контрактов». В таком контракте оговариваются условия сделки, и он записывается в блокчейн, что делает безопасным заключение сделки с непроверенным партнером.
Цепочка Ethereum пережила разветвление блоков после того, как в июне 2016 г. хакеры похитили у инвестиционной компании DAO монеты Ether на сумму $50 млн. С помощью форка взлом был «отмотан» назад, средства вернулись к инвесторам. Это была первая в мире операция подобного рода. Часть сообщества с ней не согласилась и отделилась в собственный проект Ethereum Classic.