Автор – Stefano Bernadi
Отвлечённое размышление – в любом другом секторе экономики событие такого масштаба обсуждалось бы в СМИ ещё три месяца, а в криптоособществе инцидент блекнет уже спустя 5 дней.
О том, что конкретно произошло, читайте нашу статью в блоке новостей.
Предыстория: multisignature-кошельки Parity выполнены в виде смарт-контрактов в блокчейне Эфириума. В июле на платформу была совершена атака, в результате которой была похищена сумма, эквивалентная $30 млн. Однако практически всю сумму удалось вернуть владельцам, благодаря усилиям белых хакеров, наперегонки взламывавших кошельки злоумышленника. Компания выпустила новую версию библиотеки, на которую ссылаются все multisig-кошельки, созданные после 20 июля.
Оказалось, что в этом контракте была серьёзная уязвимость. По словам команды Parity, баг позволял превратить библиотеку кошелька в multisig-кошелёк и стать его владельцем, применив функцию initWallet. Это и совершил хакер, впоследствии применивший функцию Kill, сделав библиотеку непригодной к использованию и заморозив средства.
Кто виноват?
Воспользовавшийся уязвимостью человек заверят, что не является профессионалом в сфере блокчейна и заморозил эфир случайно, находившись в процессе обучения программированию смарт-контрактов. Он создал на github специальный топик, где рассказал о своих манипуляциях и заявил, что уничтожил библиотеку ненамеренно. Его цитата «Я случайно убил ее» вполне может войти в учебники по истории развития криптовалют.
Однако многие пользователи скептически относятся к утверждениям горе-разработчика и считают, что тот пытался похитить деньги с аккаунтов крупных бизнесов.
Что делать?
Вариантов не так уж и много. Перечислим три вероятных сценария дальнейшего развития событий:
1) Все деньги остаются замороженными.
2) Внедряется обновление EIP156, и эфир возвращается своим законным владельцам.
3) Происходит откат во время одного из уже запланированных хардфорков.
Чему нас учит взлом Parity?
1. Правильно писать смарт-контракты очень сложно.
Как мы видим, даже опытные разработчики могут совершать ошибки при программировании смарт-контрактов. Мало того, что блокчейн – это абсолютно новый мир, в уже опубликованные смарт-контракты уже не получится внести никакие изменения (на радость инженерам, работающим с железом. Может, стоит поискать блокчейн-программистов среди них?).
2. От ошибок не застрахован никто.
Parity остаётся одним из немногих коллективов, способных разрабатывать сложные смарт-контракты. В конце концов, их CEO Гевин Вуд сам изобрёл язык Solidity, на котором сейчас и пишется большинство Эфириум-контрактов. Solidity пришёл на смену языкам Serpent и Mutan. Это непростой язык, и он будет совершенствоваться в будущем. Возможно, мы увидим и новые языки для работы с Эфириумом.
3. Люди ждут новых хардфорков
Ещё свежа память сообщества о хардфорке, последовавшем за взломом The DAO, а блокчейн биткоина и вовсе разделяется уже чуть ли не каждый месяц. Однако повторение ситуации с созданием новой валюты (как случилось с Ethereum Classic) всё же выглядит маловероятным – для неё недостаточно предпосылок. Существенным отличием данной ситуации от взлома The DAO является то, что средства оказались недоступными никому, а не оказались в кошельке злоумышленника.
4. Многое зависит от отношений Виталика и Гевина
Гевин Вуд получил статус фаундера Эфириума, примкнув к Виталику на самой ранней стадии развития платформы. Однако Гевин ушёл из команды в 2016 году, когда у той начались финансовые проблемы, основав стартап Ethcore (позднее переименованный в Parity Technologies). В своём прощальном письме он даже не упомянул Виталика, и с тех пор между ними разворачивается что-то вроде холодной войны.
5. Относиться к ICO со скепсисом и тщательно анализировать предложение
Polkadot — проект, наиболее сильно пострадавший от атаки. Были заморожены около $100 миллионов, которые проект собрал на ICO. Интересным же является то, что команда, которая ранее убедительно расписывала, на что конкретно пойдут собранные средства, отказалась возвращать оставшиеся токены (эквивалент $40 миллионам) и отменять проект. Web3 foundation заявил, что им хватит этой суммы для разработки продукта и запуска его на рынок. У внимательного читателя возникает вопрос: на что они собирались потратить остальные $100 миллионов?
Именно такие ситуации заставляют усомниться в целесообразности инвестиции в огромное количество появляющихся ICO. Многие из них оказываются обманом, но даже те, которые действительно начинают работать согласно первоначальному плану, зачастую не могут обосновать собираемую сумму.