5-я часть всего эфира на 280 млн $ заморожена из-за халатности программиста сервиса Parity

отметили
17
человек
в архиве
5-я часть всего эфира на 280 млн $ заморожена из-за халатности программиста сервиса Parity

Он удалил замок от ключей пользователей.

1 млн токенов криптовалюты эфир, что в переводе в традиционные деньги эквивалентно $280 млн, завис на сервисе Parity. Средства нельзя ни снять, ни перевести. Случилось это после того, как один из программистов случайно удалил код, необходимый для нормального доступа к цифровым кошелькам клиентов, сообщает Business Insider.

Неустановленный пользователь с ником devops199 случайно удалил библиотеку, которая обеспечивала работу кошельков, зарегистрированных с 20 июля и по сегодняшний день. «Я случайно убил ее», — написал он в комментарии. В результате пропал доступ к мультиподписным кошелькам, на которых хранится $280 млн или 1 млн эфиров.

Мультиподписные кошельки подразумевают, что для доступа к ним нужно одновременно иметь сразу несколько ключей. Например, ключи каждого члена инвестиционного фонда или всех основателей стартапа. Это считалось одним из безопасных способов хранить свои сбережения в крипте, поэтому к услугам Parity прибегали компании, проводившие ICO или крупные частные держатели.

Сейчас известно, что от ошибки программиста пострадал основатель Parity Гэвин Вуд — у него на счете оказались заморожены $90 млн. Кому принадлежат остальные $190 млн не сообщается. В компании официально заявили, что средства заморожены: они не могут быть сняты, их невозможно куда-либо перевести. По самым пессимистичным прогнозам, удаление библиотеки затронуло 20% всего выпущенного эфира.

 

Случай в очередной раз доказывает, что цифровым кошелькам и сервисам можно доверять настолько, насколько можно доверять их коду. Человеческий фактор не в первый раз приводит к большим потерям на крипторынке и в частности на сервисе Parity. В июле мошенникам удалось получить эфир на сумму почти $32 млн из-за уязвимости в новой версии прошивки Parity. Говорят, что, пытаясь исправить этот июльский баг, программист и удалил библиотеку. До этого была взломана крупнейшая биржа криптовалют.

 
Добавил Barban Barban 9 Ноября
проблема (1)
Комментарии участников:
Barban
+2
Barban, 9 Ноября , url
После того как июльский взлом кода мультиподписного кошелька Parity привел к краже 153 000 ETH, 20 июля компания Parity (Ethcore) выпустила новую версию контракта Parity Wallet. Однако, в новом коде обнаружилась новая уязвимость: вызов функции initWallet приводит к преобразованию контракта в обычный мультиподписной кошелек и назначению нового владельца контракта. Скорее всего, такой вызов произошел случайно 6 ноября в 02:33:47 PM +UTC. Вслед за вызовом, пользователь уничтожил код контракта, превращенного в кошелек, и его библиотеки, вследствие чего все мультиподписные контракты оказались непригодными к использованию, а все средства на них – заморожены, поскольку логика контракта вместе с функцией изменения состояния находилась в этих библиотеках.Соответственно, все мультиподписные кошельки Parity (версия 1.8), развернутые после 20 июля теперь выглядят следующим образом:contract Wallet { function () payable { Deposit(...) }}Это означает, что средства не могут быть выведены с этих кошельков программными средствами.В блоге Parity говорится, что специалисты анализируют ситуацию.Общий объем потерь пока неизвестен, однако в Твиттере Parity сообщается о том, что средства, собранные на ICO Polkadot также заморожены, а это более $144 миллионов (485 000 ETH).Комментаторы сходятся на том, что единственным способом вернуть замороженные средства может стать хардфорк, при этом, новый код контракта может быть включен во вторую часть релиза Metropolis, запланированную на первый квартал 2018 года. Никакой необходимости в спешке нет, ведь кражи не случилось.Тем не менее, можно сказать, что репутация компании Parity, и ее основателя Гэвина Вуда (Gavin Wood), и без того изрядно подмоченная происшествием 19 июля, практически уничтожена.Настоящий виновник нашелся самСогласно информации портала Trustnodes, невольным виновником происшествия стал пользователь devops199. В чатруме разработчиков Parity он написал:Я новичок в ETH… я просто пытался научиться использовать команду kill() destroy() в случайных контрактах, вы можете посмотреть мою историю [...].Когда я вижу в чате шутки о том, что я стал знаменитым… пожалуйста, прекратите… У меня руки трясутся.По словам devops199, он не кодер, а консультант по графическим интерфейсам.Спустя несколько минут после того как библиотека самоуничтожилась, devops199 написал сообщение в Github Parity, озаглавленное:«ваш контракт может уничтожить кто угодно», добавив, что он нашел уязвимость, которую может использовать злоумышленник. Несмотря на то, что причины происшествия прояснились, сама легкость того, как один человек может одним движением фактически уничтожить многомиллионные вложения тысяч инвесторов, наводит на нерадостные размышления. Ведь совершать хардфорки после каждой ошибки «допущенного к телу» программы сотрудника, к тому же не программиста — это очень дурной тон для платформы, которая хочет стать основой для огромного количества частных и корпоративных смарт-контрактов.Теперь всем разработчикам клиентов для Эфириума, а не только Parity, придется задуматься над «защитой от дурака», чтобы предотвратить подобные случаи в будущем.Источникhttps://bits.media/news/novaya-kriticheskaya-uyazvimost-v-koshelke-parity/
suare
+2
suare, 9 Ноября , url

Да ладно! Случайно... 

$280 млн?

И за сколько «комиссионных» он их разблокирует?

oleg_ws
+3
oleg_ws, 9 Ноября , url

Скорее не от халатности программиста, а от раздолбайства руководства сервиса. Для таких вещей должен делаться бэкап. Причем ежедневный. А для транзакции такой важности возможно и ежечастный.

Особо в раздолбайство я не верю. Поэйтому тут скорее всего или фейк или намеренный обмани или намеренное вредительство

И вообще не ясно кто удалил программист сервиса или неустановленный пользователь с каким-то левым ником?

fStrange
+1
fStrange, 9 Ноября , url

Все же раздолбайство. На отсутствие бекапов иногда натыкаешься даже в крупных компаниях.

Tamriko
+1
Tamriko, 9 Ноября , url

И что? Плакали все твои пиндогонорары?))) Говорили же тебе: вкладывайся в ЦБ! )))

fStrange
-3
fStrange, 9 Ноября , url

вкладывайся в ЦБ!

 Фейспалм. Германская бабуленция, как же ты далека от российских реалий.

Tamriko
+1
Tamriko, 9 Ноября , url

Обскорбился никак...))) Ему дело говорят, а он дуру лепит!!!  ))))))))) Хи-хи- тесс )))...

fStrange
-4
fStrange, 9 Ноября , url

Зачм мне тебя лепить, германская бабуля. Ты уже слеплена.

Tamriko
0
Tamriko, 9 Ноября , url

Не слеплена, а слажена и довольно спортивно! Не то, что ты, пенёк-Полбашка.))) Ладно, не захотел вложить свои пиндогонорары в  ЦБ — мог бы оприходоваться в колорадском банке, тем более, что он у тебя там через дорогу, а оттуда — в офшоры (там это делается проще, судя по публикациям)… Эээх, Полбашка… Везде тебя учить уму-разуму надо!))))

fStrange
-4
fStrange, 10 Ноября , url

Разозлить, германская бабуля, ты не в состоянии ибо слеплена по-дурацки, как ты сама выше сказала.

Tamriko
+1
Tamriko, 10 Ноября , url

Ну как же, закаленных госдеповцев с полбашкой не перешибешь никакой соплёй! )))))

Юлька с н2
0
Юлька с н2, 10 Ноября , url

Да, все мы закаленные в интернет-боях. И госдеповцы, и укропы, и либерасты, и ватники. :) 

X86
+1
X86, 9 Ноября , url

Круто, цена будет расти моей эфирки) 

magmaster
+1
magmaster, 10 Ноября , url

Как бы сервер не форматнули на ноль в слудующий раз. ) вот больше чем уверен, хозяин сей задумки вкладывает  в очень даже материальные ценности. 



Войдите или станьте участником, чтобы комментировать