یک خبر بسیار بد برای کاربران Ethereum!
حدود ۳۰۰ میلیون دلار Ether که مربوط به دهها کیف پول از نوع Ethereum است، بهطور کامل قفل شده است. Ether یک واحد رمزنگاری ارزی است که تبدیل به یکی از محبوبترین و بهطور فزایندهای ارزشمندترین ارزهای رمزنگاری شده است.
Parity Technologies، که در پشت پرده کیف پولِ Ethereum Parity قرار دارد، در تاریخ ۷ نوامبر ۲۰۱۷ اعلام کرد[۱] که یک کیف پول چند امضائه(۱) که بعد از ۲۰ ژوئیه ایجاد شده است شامل یک آسیبپذیری بسیار جدی است که فرایند انتقال پول از این کیفِ پولها را برای کاربرانش غیرممکن میسازد.
بر طبق گفته Parity، این آسیبپذیری توسط یک کاربر معمولیِ GitHub به نام devops199 کشف شده است [۲] که ادعا کرده است بهطور تصادفی یک کد کتابخانه بسیار حیاتی را از منبع کد حذف کرده که تمام قراردادهای چندگانه را به یک آدرس کیف پول معمولی تبدیل کرده و کاربر را مالک آن میکند.
پسازآن Devops199 این قرارداد کیف پول را از بین برده که تمام پولهای چند امضائه و مرتبط با این قرارداد بلافاصله غیرقابل استفاده شدند و به همین دلیل منابع مالی آنها قفل شده است و هیچ راهی برای دسترسی به آنها وجود ندارد.
devops199 در GitHub اینگونه نوشته است: “این کیف پولهای چند امضائه[۳] که توسط Parity تولید شده بودند از یک کتابخانه که در آدرس ۰x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 قرار داشت استفاده میکردند. من خودم را مالک قرارداد ۰x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 کردم و آن را از بین بردم و در حال حاضر در هنگامیکه قراردادهای وابستهی isowner(<any_addr>)) را فراخوانی میکنم همه آنها TRUE برگشت داده میشوند، زیرا درخواست نماینده به یک قراردادِ از بین رفته تبدیل شده است.”
کیف پول چند امضائهی تولید شده توسط Parity همچنین یک آسیبپذیری دیگر را در ماه جولای سال ۲۰۱۷ تجربه کرده بود که به یک مهاجم ناشناس اجازه داد تا نزدیک به ۳۲ میلیون دلار (تقریباً برابر با ۱۵۳٫۰۰ واحد از Ether) را قبل از اینکه جامعه Ethereum باقی Ether های آسیبپذیر را ایمن کند، بدزدد[۴].
بر اساس گزارش Parity، نسخه جدیدی از قرارداد کتابخانه Parity Wallet که در تاریخ ۲۰ ژوئیه پیادهسازی شده بود، شامل اصلاحاتی برای رفع نقص نسخه چند امضائهی قبلی بود که مورد بهرهبرداری قرار گرفته بود، اما این کد هنوز دارای یک نقص دیگر بود که امکان تغییر قرارداد کتابخانه کیف پول چند امضائهی Parity را به یک کیف پول معمولی میداد.
این آسیبپذیری، کیف پولهای چند امضائهی Parity که پس از ۲۰ جولای پیادهسازی شده بودند را آلوده کرده بود و این بدان معنی است که ICO های(۲) تولید شده از آن زمان به بعد نیز ممکن است تحت تأثیر این آسیبپذیری قرار داشته باشند.
تاکنون معلوم نیست که دقیقاً چه مقدار ارز رمزنگاری شده به دلیل این اشتباه ناپدید شده است، اما برخی از وبلاگهای رمزنگاری گزارش کردهاند که این کیف پولها تقریباً ۲۰ درصدِ کل شبکه Ethereum را تشکیل میدهند.
این موضوع به محققان کمک کرده است که ارزش مبلغ تحت تأثیر این آسیبپذیری را در حدود ۲۸۰ میلیون دلار در واحد Ether تخمین بزنند که در حال حاضر غیرقابلدسترس است و ۹۰ میلیون دلار از این مبلغ توسط Gavin Woods که مؤسس Parity است، ایجاد شده است.
Parity تقریباً تمام کیف پولهای چند امضائه (که ارزش آنها میلیونها دلار بر اساس Ethereum است) را مسدود کرده است تا تیم مربوطه امنیت این کیف پولها را افزایش دهد. همچنین این تیم قول داده است تا بهزودی یک بهروزرسانی با جزئیات بیشتر و در این رابطه منتشر کند.
منابع
[۱] https://paritytech.io/blog/security-alert.html
[۲] https://github.com/paritytech/parity/issues/6995
[۳] https://pastebin.com/ejakDR1f
[۴] https://thehackernews.com/2017/07/ethereum-cryptocurrency-hacking.html#search
[۵] https://thehackernews.com/2017/11/parity-ethereum-wallet.html
(۱) multisignature
(۲) Initial Coin Offerings
ثبت ديدگاه