У трех блокчейн-стартапов украли 34 млн долларов из-за уязвимости кошелька Ethereum

Компании держали деньги в специальном кошельке для эфириума под названием Parity.

Три компании, бизнес которых ведется с использованием технологии блокчейна, в среду лишись около 153 тыс. единиц криптовалюты эфириум (34 млн долларов по вчерашнему курсу 227,18 доллара за один эфир). Компании держали деньги в специальном кошельке для эфириума под названием Parity, и для вывода денег злоумышленники воспользовались его уязвимостью.

Программный код позволял переопределить владельца кошелька. После того как злоумышленники получили над ним контроль, им осталось лишь перевести деньги. Производитель Parity признал проблему и выпустил обновление программы, сообщает портал Банки.ру со ссылкой на «Ведомости».

Это второй по масштабу вывод денег в истории Ethereum (блокчейн-платформа, на базе которой создана одноименная криптовалюта), пишет исследователь Zeppelin Solutions Сантьяго Палладино. Первый приключился год назад и закончился для нее не самым лучшим образом.

В июне прошлого года проект DAO привлек 160 млн долларов в эфирах, из которых 43,9 млн долларов (или 3,6 млн эфиров) вывел неизвестный. Но сам злоумышленник не счел это взломом: для вывода денег он использовал умные контракты — одну из особенностей эфира, которая, например, отличает его от биткоина. Это специальные программы, которые описывают условия и результат сделок. А сами сделки и проверка выполнения их условий проходят без участия человека. Поэтому хакер нашел изъян в работе самого DAO (он платил эфиры за выполнение определенного программного кода) и воспользовался им. Он уточнял, что проконсультировался со своей юрфирмой и та заверила его, что подобный шаг полностью законен. Курс эфира тогда падал более чем на 20% — с 15,4 доллара до 12,2 доллара.

Сообщество Ethereum тогда оказалось не в восторге. Казалось бы, деньги ушли безвозвратно: ведь суть блокчейна предполагает, что пользователь уверен в неизменности данных из-за того, что в каждый блок данных встраивается вычисленная контрольная сумма предыдущего, блоки выстраиваются в связанную цепь и невозможно ни изменить блок в ее середине, ни извлечь его: это неминуемо обнаружится при проверке последующих блоков. Путем специальной процедуры блокчейн в 2016 году все же откатили назад и вернули деньги пострадавшим. Но с этим решением согласились не все.

«Законность всех трансакций под вопросом, ведь если блокчейн обратим, то можно изменить любую из них», — написала группа приверженцев старых правил в «декларации независимости» альтернативной ветки блокчейна Ethereum Classic. На его базе и появилась одноименная сестринская криптовалюта. Ее капитализация, правда, сильно уступает основной ветке: 155,5 млн долларов против 2,5 млрд.

Но в этот раз подобное не повторится, заверил в своем twitter-аккаунте создатель блокчейна Ethereum Виталик Бутерин. Тогда и сумма была больше, и сам Ethereum был менее зрелым, пишет он. Откат назад нельзя реализовать, не ущемив права независимых участников, и он маловероятен, соглашается разработчик умных контрактов на Ethereum из компании Block Notary Игорь Баринов. В отличие от прошлогоднего DAO нынешняя ошибка является тривиальной (хотя речь снова идет о легитимной возможности кошелька) и у злоумышленников есть возможность безнаказанно уйти с украденными деньгами, полагает он.