Parity Multisig Wallet Hacked, o ¿cómo es?

Seguridad

Antecedentes

Las billeteras de firma múltiple son contratos inteligentes diseñados para administrar activos criptográficos con el consentimiento de múltiples propietarios de billeteras. Este tipo de billeteras generalmente permite establecer límites diarios de retiro, votar por retiros, votar por cambios de propiedad, etc.

Con el gran aumento en los precios de cifrado este año, muchas personas ahora tienen cantidades significativas de criptoactivos. Vale la pena tomarse la seguridad más en serio y poner sus activos, o al menos la mayoría de ellos, en una billetera multigrado es un buen paso hacia eso. Eso mejora la seguridad de un proceso que mueve muchos fondos con bastante rapidez. Si posee una billetera de múltiples premios, necesita varios & ldquo; firmas y rdquo; para sacar fondos de la billetera. De hecho, estas firmas significan claves privadas múltiples.

Esta alternativa al valor de retención en cuentas simples de usuario apareció en 2012. Las billeteras multigarrillo son especialmente favorecidas por las startups de criptomonedas y otros grupos, ya que son una protección contra los ataques de hackers dirigidos a los titulares de activos. Esto se debe a que permiten que algunas de las cuentas de los propietarios se vean comprometidas mientras se mantiene el control total del dinero. Por supuesto, también ayuda contra los empleados furtivos que podrían querer huir con el dinero. Por esta razón, las billeteras multidisco también son una forma popular de almacenar la criptomoneda generada en ICO.

Hace varios años, Gavin Wood, cofundador de Ethereum y CTO estableció EthCore, una organización sin fines de lucro que desarrolla software para la infraestructura de Ethereum, que más tarde cambió su nombre a Parity Technologies. Uno de sus productos es Parity, un cliente de Ethereum que proporciona una interfaz web para el software subyacente del nodo Ethereum. Permite al usuario acceder a las funciones básicas de la billetera Ether y Token, y también interactuar con contratos inteligentes implementados en la cadena de bloques de Ethereum. La billetera Parity está diseñada para integrarse a la perfección con todos los tokens estándar, así como para administrar transferencias de Ether. Es compatible con Ubuntu, OSX, Docker y Windows. La amplia gama de opciones que ofrece la billetera Parity la hizo extremadamente popular en la comunidad crypto.

Attack

Multisigs se distribuyen a los usuarios como código fuente de contrato inteligente: cada vez que alguien quiere obtener uno, toman el código actual del repositorio, implementan el contrato en Ethereum Blockchain, luego configuran los propietarios, colocan el fondos, etc. Cada billetera es una instancia separada del código.

En el caso de la Paridad, algunos de los elementos esenciales de la lógica del contrato, incluida la función de retiro que permite extraer fondos, se colocaron en una biblioteca. Una biblioteca es un contrato inteligente ya implementado que utilizan todos los Parity Multisig existentes (a partir de una versión determinada). Tal separación de códigos puede ser teóricamente buena: por ejemplo, reducir los costos del gas para los usuarios que tienen que implementar menos código.Desafortunadamente, también significa que, si la biblioteca se rompe de alguna manera, afectará a cada contrato que dependa de ella. Y no se incluyeron contingencias.

Del 6 al 8 de noviembre, se descubrió que era posible inicializar la biblioteca como una billetera, reivindicando los derechos del propietario, incluido el derecho a matarla por completo. Todos los contratos dependientes desplegados serían inútiles. Después de matar a la biblioteca, el atacante sondeó varios multisigs desplegados para tratar de cambiar la lista de propietarios y retirar los fondos, volviendo sobre los pasos del exploit de julio. Entre eso y el problema de GitHub reclamando incompetencia, la cuestión de los motivos del atacante sigue sin estar clara.

Según crypto eli5, se han congelado 151 billeteras, con saldos de 513, 743 ETH o $ 152 millones en total. Parity Technologies anuncia que 573 billeteras se han visto afectadas y se desconoce su saldo total.

Reacción general

La incredulidad fue la primera y más común sensación experimentada por los miembros de la comunidad crypto. ¡Oh, querían ocultar esta cantidad de alrededor de $ 154 millones bloqueados debido a las acciones supuestamente al azar de un novato! No solo ha aplastado la constante recuperación de Parity después del notorio hack en julio, sino que también ha hecho que algunos usuarios consideren que el límite de seguridad falla y si Parity lo ha alcanzado.

La primera reacción a los fondos que se congelaron fue puro pánico: solo seis meses después del pirateo de julio la repetición parecía imposible, aunque los miembros más razonables de la comunidad al menos empezaron a considerar la criptomoneda como prioridad. Tan pronto como Parity brindó explicaciones oficiales, el pánico dio paso a la desconfianza, ya que los usuarios afectados se encontraban perdidos.

ACTUALIZACIÓN: un usuario explotó un problema y, por lo tanto, eliminó el código de la biblioteca, ya que parece ignorar las consecuencias.

- Parity Technologies (@ParityTech) 7 de noviembre de 2017

Parity reclamó recientemente que tratan los temas de seguridad y protección en serio, entonces, ¿cómo podría suceder tal cosa? Una de las principales preocupaciones es que el error había existido durante un tiempo antes del accidente. Afectó a las carteras creadas después del 20 de julio de 2017, i. mi. después de una revisión impulsada por el truco.

Esto congeló fondos en todas las billeteras multi-sig de Parity desplegadas después del 20 de julio. Estamos analizando la situación y lanzamos más detalles en breve.

- Parity Technologies (@ParityTech) 7 de noviembre de 2017

Se aprovechó una vulnerabilidad en la versión actual de la billetera Parity Multisig, lo que provocó que se robaran $ 30 millones y otros 180 millones rescatados por un grupo de hackers de sombrero blanco. , luego regresó a los dueños legítimos. Luego del ataque, Parity Tech implementó una nueva versión de la billetera que, como resultado, introdujo otra vulnerabilidad. Esto llevó a algunos usuarios a quejarse por la despreocupación de Parity con respecto a sus fondos y al proceso de depuración fallido antes del lanzamiento de la actualización. El hecho de que el exploit fue iniciado probablemente por un novato torpe (como él mismo ha afirmado) tampoco le da crédito a la empresa.

Parity responde de la manera más cuidadosa, evitando cualquier certeza. ¿Quién puede culparlos por tratar de calmar el tumulto? Sin embargo, un usuario ve frases como & ldquo; a lo mejor de nuestro conocimiento y rdquo; cree que los desarrolladores no controlan la situación en absoluto.

Actualización: a nuestro leal saber y entender, los fondos están congelados y no se pueden mover a ninguna parte. El total de ETH que circula en las redes sociales es especulativo.

- Parity Technologies (@ParityTech) 7 de noviembre de 2017

Como resultado, vemos un aumento de la flotabilidad entre los oponentes de Parity y Ethereum, por ejemplo, de Charlie Lee, creador de Litecoin.

Estaba firmemente en contra del hardfork de DAO por este motivo de riesgo moral. Ethereum ya no es un código imparable como se anuncia en su sitio web. ¿Cuánto en $ /% es suficiente para hacer un HF? ¿Y quién decide? Ya no hay pagos no censurables. // t. co / i3RyIPqo32

- Charlie Lee (@SatoshiLite) 8 de noviembre de 2017

Los atacantes se dividen en dos partes casi iguales: los que culpan a los desarrolladores del contrato inteligente y los que creen que toda la empresa es culpable. Sin mencionar algunas voces que afirman que la arquitectura Ethereum (como los contratos inteligentes inmutables) es la culpable. Por lo general, reciben la contrademanda de que son las prácticas de codificación y la madurez del ciclo de desarrollo las que tienen la culpa.

Consecuencias

Alrededor de $ 154 millones siguen atascados en las carteras que se vieron afectadas. Dado que los contratos inteligentes en Ethereum son inmutables, y no se incluyeron medidas de alivio en el código, la única forma de reclamar los fondos parece ser un hard fork de la red Ethereum. De lo contrario, el éter permanecerá en los contratos afectados para siempre. Esto causó más discordia en la comunidad Ethereum. Encuestas no oficiales en Twitter muestran aproximadamente 50/50 de partidarios y oponentes a la iniciativa, ya que la bifurcación anterior finalmente dividió a Ethereum en dos redes enfrentadas.

Hay varias posibilidades técnicas de cómo puede funcionar una horquilla tan dura, incluida la implementación de EIP 156 o la restauración de una versión fija de la biblioteca. Sin embargo, este es un tema controvertido, que trae de vuelta todo lo que se ha discutido en relación con el DAO Hack y el rescate posterior.

Partes afectadas

Los jugadores principales no se apresuran con & ldquo; tómalo o déjalo y rdquo; proposiciones, esperando más detalles de Parity. Como los fondos en realidad se congelaron, no se los robaron, el desarrollador no es presionado por los límites de tiempo, aunque algunos considerarán que el creciente descontento de los usuarios será la prueba más difícil.

Sin embargo, la mayoría de las empresas afectadas por el exploit ya han publicado declaraciones para consolar a los clientes y garantizar que, de una forma u otra, se resuelva el problema.

El multiespacio utilizado por la Fundación Web3 para aceptar contribuciones para Polkadot, también establecido por Gavin Wood, fue el mayor de los afectados, lo que puso el ETH en él más allá del acceso. Afortunadamente, la billetera multigrado afectada no contenía todos los fondos. Por lo tanto, la compañía afirma que su hoja de ruta original no se ha visto afectada.Todavía están en el proceso de evaluar la pérdida y buscar posibles soluciones, pero parecen bastante tranquilos y confiados sobre el futuro.

La plataforma Iconomi y su sistema de almacenamiento también dicen ser seguros. $ 35 m se almacenaron utilizando el contrato afectado de Multigás Parity y permanecerán bloqueados hasta que se resuelva la situación. Pero todos los activos digitales de los usuarios almacenados en la plataforma son completamente seguros y el funcionamiento de la plataforma no se ve afectado. Los desarrolladores de la plataforma se mantienen positivos. Afirman que el ecosistema de Ethereum ya ha demostrado ser capaz de responder rápidamente y adaptarse a desafíos inesperados.

La plataforma Cappasity también asegura a los usuarios que la plataforma y el contenido almacenado allí son seguros y que la funcionalidad de la plataforma no se ve afectada. A pesar de que los fondos recaudados hasta el momento durante su crowdsale han sido almacenados en una billetera Multisig de Parity afectada, la compañía mantiene la confianza. El crowdsale ha sido reanudado en modo regular, habiendo cambiado rápidamente a otra billetera multigrado después del ataque. Parece que Cappasity estaba completamente preparado para el desafío: los socios existentes de la compañía podrían compensar los fondos bloqueados, si fuera necesario. El equipo también realizó su propia investigación sobre el ataque, llegando a la conclusión de que existe una gran probabilidad de que se trate de un ataque deliberado (la evidencia se proporciona al final de la primera declaración oficial de la compañía).

En general, vemos que los jugadores líderes actuaban sabiamente, ya que no ponían todos sus huevos en una sola canasta. Esta parece ser la mejor estrategia posible, ya que Blockchain sigue siendo una industria naciente, y tiene que pasar por varios altibajos para elaborar las mejores y más seguras estrategias.

El artículo está escrito por Collis Aventinus, un experto en Blockchain de Modern Token.


Síguenos en Facebook


  • Ethereum News
  • Monedero
  • Contratos inteligentes
  • Monedas cifradas
  • ICO
  • Iconomi
  • Fichas