btc
bch
eth

Мысли о взломе Parity

Автор – Stefano Bernadi

Отвлечённое размышление – в любом другом секторе экономики событие такого масштаба обсуждалось бы в СМИ ещё три месяца, а в криптоособществе инцидент блекнет уже спустя 5 дней.

О том, что конкретно произошло, читайте нашу статью в блоке новостей.

Предыстория: multisignature-кошельки Parity выполнены в виде смарт-контрактов в блокчейне Эфириума. В июле на платформу была совершена атака, в результате которой была похищена сумма, эквивалентная $30 млн. Однако практически всю сумму удалось вернуть владельцам, благодаря усилиям белых хакеров, наперегонки взламывавших кошельки злоумышленника. Компания выпустила новую версию библиотеки, на которую ссылаются все multisig-кошельки, созданные после 20 июля.

Оказалось, что в этом контракте была серьёзная уязвимость. По словам команды Parity, баг позволял превратить библиотеку кошелька в multisig-кошелёк и стать его владельцем, применив функцию initWallet.  Это и совершил хакер, впоследствии применивший функцию Kill, сделав библиотеку непригодной к использованию и заморозив средства.

Кто виноват?

Воспользовавшийся уязвимостью человек заверят, что не является профессионалом в сфере блокчейна и заморозил эфир случайно, находившись в процессе обучения программированию смарт-контрактов. Он создал на github специальный топик, где рассказал о своих манипуляциях и заявил, что уничтожил библиотеку ненамеренно. Его цитата «Я случайно убил ее» вполне может войти в учебники по истории развития криптовалют.

Однако многие пользователи скептически относятся к утверждениям горе-разработчика и считают, что тот пытался похитить деньги с аккаунтов крупных бизнесов.

Что делать? 

Вариантов не так уж и много. Перечислим три вероятных сценария дальнейшего развития событий:

1)    Все деньги остаются замороженными.

2)  Внедряется обновление EIP156, и эфир возвращается своим законным владельцам.

3)  Происходит откат во время одного из уже запланированных хардфорков.

Чему нас учит взлом Parity?

1. Правильно писать смарт-контракты очень сложно.

Как мы видим, даже опытные разработчики могут совершать ошибки при программировании смарт-контрактов. Мало того, что блокчейн – это абсолютно новый мир, в уже опубликованные смарт-контракты уже не получится внести никакие изменения (на радость инженерам, работающим с железом. Может, стоит поискать блокчейн-программистов среди них?).

2. От ошибок не застрахован никто.

Parity остаётся одним из немногих коллективов, способных разрабатывать сложные смарт-контракты. В конце концов, их CEO Гевин Вуд сам изобрёл язык Solidity, на котором сейчас и пишется большинство Эфириум-контрактов. Solidity пришёл на смену языкам Serpent и Mutan. Это непростой язык, и он будет совершенствоваться в будущем. Возможно, мы увидим и новые языки для работы с Эфириумом.

3. Люди ждут новых хардфорков

Ещё свежа память сообщества о хардфорке, последовавшем за взломом The DAO, а блокчейн биткоина и вовсе разделяется уже чуть ли не каждый месяц. Однако повторение ситуации с созданием новой валюты (как случилось с Ethereum Classic) всё же выглядит маловероятным – для неё недостаточно предпосылок. Существенным отличием данной ситуации от взлома The DAO является то, что средства оказались недоступными никому, а не оказались в кошельке злоумышленника.

4. Многое зависит от отношений Виталика и Гевина

Гевин Вуд получил статус фаундера Эфириума, примкнув к Виталику на самой ранней стадии развития платформы. Однако Гевин ушёл из команды в 2016 году, когда у той начались финансовые проблемы, основав стартап Ethcore (позднее переименованный в Parity Technologies). В своём прощальном письме он даже не упомянул Виталика, и с тех пор между ними разворачивается что-то вроде холодной войны.

5. Относиться к ICO со скепсисом и тщательно анализировать предложение

Polkadot — проект, наиболее сильно пострадавший от атаки. Были заморожены около $100 миллионов, которые проект собрал на ICO. Интересным же является то, что команда, которая ранее убедительно расписывала, на что конкретно пойдут собранные средства, отказалась возвращать оставшиеся токены (эквивалент $40 миллионам) и отменять проект. Web3 foundation заявил, что им хватит этой суммы для разработки продукта и запуска его на рынок. У внимательного читателя возникает вопрос: на что они собирались потратить остальные $100 миллионов?

Именно такие ситуации заставляют усомниться в целесообразности инвестиции в огромное количество появляющихся ICO. Многие из них оказываются обманом, но даже те, которые действительно начинают работать согласно первоначальному плану, зачастую не могут обосновать собираемую сумму.

Источник

Похожие материалы

Комментарии

Your browser is out of date!
Install the latest version of your browser.