Parity во второй раз подвергается уязвимости – заморожены активы пользователей на сумму более чем 150 миллионов долларов
На этой неделе представители Ethereum-кошелька Parity оповестили о критической уязвимости, которая привела к заморозке миллионов долларов на счетах их пользователей. К сожалению, это уже не первая угроза, которая обрушилась на Parity. В результате взлома Ethereum-кошелька Parity в июле этого года хакерам удалось украсть более $30 миллионов в криптовалюте Ethereum.
За последние пять месяцев в Parity обнаружена уже вторая уязвимость
Пользователи популярного Ethereum-кошелька Parity очень обеспокоены неустойчивой безопасностью своих средств. Угроза, которая была описана как «критическая», сделала все multi-sig контракты непригодными и заблокировала доступ к сотням миллионов долларов, которые хранили пользователи в своих кошельках. Кошельки с мультиподписью (multi-sig) характеризуются повышенной безопасностью транзакций за счет нескольких этапов подтверждения операции вместо одного.
Новость об обнаружении новой угрозы появилась очень не вовремя для Parity, которые в последние месяцы прикладывали максимальные усилия для восстановления своей репутации после подобного взлома 20 июля этого года. Тогда, в результате взлома, со счетов пользователей было похищено более 150 000 ETH, что равноценно $ 30 миллионам. В числе пострадавших от взлома были крупные компании, такие как Aeternity, Edgeless Casino и Swarm City, причем последние потеряли более 44 000 ETH.
После июльского взлома, Parity устранили угрозу и исправили код системы. В настоящее же время выяснилось, что новый код содержал еще один недостаток, который позволил мошенникам изменять код и завладевать кошельками, которые им не принадлежат. На этот раз мошенники, с помощью вызова функции initWallet, превратили контракты Parity Wallet в обычный кошелек и стали его фактическими владельцами. В результате этих действий, все кошельки с мультиподписью, созданные после 20 июля, были заморожены и потеряли возможность вывода активов.
Кошельки с мультиподписью заморожены
В своем блоге, команда Parity выложила сообщение с объяснением произошедшего:
«По нашему мнению, 6 ноября в 14:33 один из пользователей GitHub, случайно стер важную часть кода библиотеки. В результате этих действий, код перестал работать, а доступ пользователей к некоторым кошелькам с мультиподписью был заблокирован. Это означает, что в настоящее время средства этих пользователей не могут быть выведены из кошельков».
По предварительным подсчетам, после новостей о совершенной атаке на кошельки Parity, на счетах пользователей было заморожено около $152 миллионов. В числе пострадавших от атаки также находится приложение Polkadot, разработанное Гэвином Вудсом – основателем Parity и бывшим разработчиком Ethereum. Polkadot сообщили, что не смогли получить доступ к своим средствам на сумму около 90 миллионов долларов.
Parity советуют своим пользователям не создавать новые кошельки с мультиподписью, пока проблема не будет решена. При этом информации о том, каким образом команда Parity намерена разблокировать счета, пока нет. Одним из возможных методов является хардфорк сети Ethereum с целью внесения изменений, позволяющих разблокировать кошельки.
Пока Parity ищет способы решения проблемы, в социальных сетях распространяется все больше и больше слухов о том, что в ходе последней атаки средства не только заблокированы, а украдены со счетов пользователей. В свою очередь, представители Parity успокаивают общественность и опровергают подобную информацию, называя распространение таких слухов никак иначе как «спекуляцию». Такие слухи никак не радуют пострадавших пользователей, которые рискуют лишиться всех своих средств и ко всему прочему не видят решения проблемы с разблокировкой счетов со стороны Parity.
Parity в настоящее время продолжает расследовать причину произошедшего и искать способы устранения проблемы, а такжев ближайшее время обещают опубликовать больше информации.
Стоит заметить, что подобные атаки всегда накладывают большой отпечаток на репутации компаний — появляется недоверие со стороны существующих и потенциальных пользователей, падает ликвидность и т.д. Первый тревожный звоночек для Parity уже прозвенел — на фоне новостей об уязвимости средств пользователей, стоимость Ethereum резко упала до самого низкого за две недели уровня — с $305 до $291.
