ENG

Перейти в Дзен
Технологии

Криптоограбление года: взлом кошелька Parity

19 июля с криптокошелька Ethereum под названием Parity у трех компаний было похищено 153 000 эфириумов, или около $31 млн на момент вывода. «Инвест-Форсайт» выяснял, что это было, что делают потерпевшие компании и какие криптокошельки самые безопасные.

Фото: motherboard.vice.

Атака на Ethereum

Криптокошелек Parity создан Гэвином Вудом, сооснователем Ethereum. Команда проекта сообщила о появлении бага в коде программы и выводе около $31 млн с трех аккаунтов 19 июля. В тот же день команда так называемых «белых хакеров» — White Hats Group, — действующая в интересах сообщества Ethereum, вывела с Parity еще больше — 377,105 Ether, или около $85,4 млн, и обещала вернуть эти деньги их владельцам.

К моменту написания статьи никаких разъяснений от White Hats Group и главы команды разработчиков Ethereum Виталика Бутерина о судьбе этих $85 млн не последовало.

Разработчик умных контрактов на Ethereum из компании Block Notary Игорь Баринов говорит, что в атаке была использована уязвимость именно мультипользовательского кошелька Parity, а не самого блокчейна Ethereum. Взлома платформы не было.

«Ошибка, в отличие от взлома DAO в июне прошлого года, является тривиальной и легко воспроизводимой. Разработчик контракта забыл указать модификатор, разрешающий вызывать инициализацию кошелька только владельцу кошелька. Так как умный контракт может выполнить любой участник сети, то при отсутствии проверки злоумышленник смог сменить владельцев кошельков и последующими транзакциями перенести средства на свой кошелек», — объяснил Баринов «Инвест-Форсайту».

«Узкое место было в том, что для операции по инициализации кошелька и его мультиподписей не проводили проверку на эту самую инициализацию. Как итог — злоумышленники могли выполнить ее еще раз и распоряжаться деньгами как владельцы умного контракта», — написал в соцсети «Голос» веб-разработчик Анатолий Пискунов (или on1x).

Стоит отметить, что это вторая крупная атака на проекты на Ethereum. В июне прошлого года у DAO Ethereum, собравшего во время краудсейла $160 млн, украли около $44 млн, и тогда команда создателей Ethereum во главе с Виталиком Бутериным отменила краудсейл и вернула деньги пострадавшим. На этот раз Бутерин сообщил в Твиттере, что хардфорка сети, подразумевающей возврат $31 млн, не будет, так как тогда (год назад) и «сумма была больше, и Ethereum был не таким зрелым».

В июне этого года было еще два неприятных события, связанных с Ethereum. ICO стартапа Status (мессенджер на блокчейне), собравшего около $100 млн, было заморожено на несколько дней, так как сеть Ethereum оказалась неспособна обработать транзакции. В том же месяце хакер украл 42 000 эфириума, или $7,4 млн, у стартапа CoinDash во время ICO.

Почему пользователи предпочитали криптокошелек Parity? Parity — быстрый, легковесный кошелек, в отличии от Mist, основного официального кошелька Etherium.

«Но самое главная фича Parity — это УЖЕ работающий Appstore и суперкрутой Signer-функцониал», — хвалил сервис сооснователь фонда Satoshi Fund Дмитрий Стародубцев.

Кто потерял и что делают?

Среди тех, у кого украли эфириумы, три компании. Aeternity (разрабатывает блокчейн с высокой скоростью транзакций) сообщила в своем блоге о выводе 82 000 эфиров (около $16 млн по курсу на момент вывода). Это большая часть средств, которые она привлекла в ходе ICO, — 102 000 ETH. 20 июля юристы Aeternity обратились в полицию Лихтенштейна и Интерпол для поиска хакера.

У второго проекта, блокчейн-казино Edgeless, вывели 26 793 эфира, или $5,6 млн. Она также получила их от инвесторов. Сооснователь Edgeless Томас Драксас сообщил, что, несмотря на потери, «у нас есть достаточная сумма для запуска проекта», который состоится в 3-ем квартале. Для тех, кто захочет играть в этом казино, просто придется получить новые токены. Что Edgeless будет делать с Parity, компания сообщит позже.

Третья компания — Swarm City (децентрализованная торговая площадка) лишилась 44 055 эфиров. Сооснователь Swarm City Мэтью Карано написал, что он уверен в дальнейшем развитии проекта, так как настоящая ценность токенов Swarm City состоит в сообществе, технологии и девелоперах, которые поддерживают его.

Но это не все потерпевшие компании. Среди таких также инвестфонд Satoshi Pie, учрежденный россиянами. Свой ущерб фонд оценивал 19 июля в 32,4% активов фонда, или около $7 млн по текущему курсу ETH и утраченных Erc20 токенов. Но средства Satoshi Pie вывели белые хакеры из White Hats Group. 25 июля вечером все средства были возвращены под контроль Satoshi Fund на новый контракт.

«До момента полного окончания аудита безопасности, с целью снижения риска, часть средств будет под прямым контролем менеджеров фонда на данных аккаунтах», — написал  в соцесети на блокчейне «Голос» сооснователь «Голоса» Валерий Литвин.

До этого, чтобы предотвратить вывод средств из своего фонда инвесторами, Satoshi Pie заморозил свою деятельность и увеличил время обработки операций по выводу (вводу) средств с 24 часов до 1 недели. Также установлен лимит одной транзакции на депозит и снятие средств в 10 BTC. Кроме того, Satoshi Pie рассматривает перемещение всех средств в экосистеме Ethereum на смарт-контракты Zeppelin и готовит программу по поиску уязвимостей (bug bounty).

«Так получилось, что последнюю неделю я провёл с ребятами из Parity на организованном ими мероприятии. В том числе и в день хака. Несмотря на случившееся, считаю, что их команда является одной из самых сильных команд в мире, которая действительно может изменить наш мир!», — прокомментировал ситуацию CEO Satoshi Fund (управляет Satoshi Pie) Константин Ломащук.

На каком криптокошельке безопасно хранить криптовалюту?

Портфельный управляющий The Token Fund Игорь Доганов рассказал «Инвест-Форсайту», что подавляющая часть средств фонда хранится в холодном кошельке, который представляет собой просто код. А код хранится на флешке и бумаге. Холодный кошелек отключен от Интернета, поэтому его сложнее взломать. Речь идет о средствах 500 инвесторов The Token Fund. Кошелек для хранения Ether и токенов Erc20 создан на Эфириуме, но без использования сторонних сервисов, таких как Parity.

«Все перемещения средств ведутся через кошельки с использованием мультиподписей. Такие операции одобряются как минимум двумя менеджерами. Подобная мера позволяет минимизировать риск ошибок, связанных с человеческим фактором, а также сводит к минимуму риски хакерских атак», — дополняет Дмитрий Шмаков из The Token Fund.

Криптотрейдер Анатолий Радченко также рекомендует хранить криптовалюту на холодном хранении, в особенности это относится к биткоину, в который стоит вкладываться на большой срок. Эксперт рынка блокчейна Дмитрий Булычков говорит, что не пользуется онлайн-кошельками для хранения эфириумов, хранит пару ключей к своему адресу локально на отдельном диске в зашифрованном виде.

Между тем, Parity обновил криптокошелек.

Автор: Наталья Кузнецова

Сохранить

Следите за нашими новостями в удобном формате
Перейти в Дзен

Предыдущая статьяСледующая статья