Утечка эфира:
как хакеры одним махом похитили криптовалюту на $32 млн

Утечка эфира:
как хакеры одним махом похитили криптовалюту на $32 млн

Постоянные успешные хакерские атаки бросают тень на главную особенность системы Ethereum — «умные контракты»
Интерес к криптовалютам растет не только у бизнеса, но и у хакеров. Так, на прошлой неделе злоумышленники взломали и вывели криптовалюту Ethereum (ETH) у клиентов трех компаний, бизнес которых ведется с использованием технологии блокчейн. По курсу ETH на 20 июля в $227,18 за один эфир, стоимость украденной криптовалюты составляет $32 млн.

Эта история напоминает экспертам прошлогоднюю с The DAO (первой Децентрализованной автономной организации), когда была украдена криптовалюта стоимостью около $50 млн. В 2016 году создатель Ethereum Виталик Бутерин нашел способ вернуть деньги с помощь операции, называемой хардфорк. Однако часть пользователей посчитали, что она нарушает этические каноны криптовалюты. В результате сеть раскололась на две: помимо знакомого нам Ethereum возникла новая цифровая валюта Ethereum Classic (ЕТС).
Пострадавшие


Самая массовая кража произошла 20 июля у клиентов компании Parity. Ее пользователи хранят деньги в специальном кошельке — мультисиге (кошелек, доступный сразу нескольким пользователям, работающий на умных контрактах). Хакеры воспользовались уязвимостью, которая позволяла переопределить владельца кошелька. После того как злоумышленники получили над ним контроль, им осталось лишь перевести деньги на свои кошельки.
Производитель Parity признал проблему и выпустил обновление программы. В сообщении компании указывалось, что в момент написания заметки злоумышленники пытались вывести украденные средства через биржи. При этом отмечалось, что группа «белых хакеров» использовала тот же самый эксплойт для защиты других скомпрометированных кошельков в Ethereum: они перевели из кошельков Parity более 377 000 эфиров стоимостью около $80 млн в «безопасное место» и заявили о намерении вернуть контроль первоначальным владельцам. Пока данных об обратном переводе средств нет.





Среди пострадавших оказались компания Aeternity, работающая над технологией умных контрактов на технологии блокчейн. Она подтвердила кражу 82 000 эфиров из 102 000 единиц этой криптовалюты, которые были привлечены в ходе ICO. Также пострадали от атаки блокчейн-казино Edgeless, Swarm City, фонд – компания лишилась 44 055 эфиров. Курс эфира отреагировал на атаку падением — снизившись в среду до $191, но затем валюта быстро восстановилась. 24 июля курс криптовалюты составлял примерно $228 за эфир.

В Parity подчеркнули, что украденные с трех кошельков средства составляют малую часть от всех средств на 596 учетных записях. Тем не менее создатель клиента и сооснователь блокчейн-платформы Ethereum Гэвин Вуд посоветовал пользователям выводить деньги из клиента в безопасное место. Соратник Бутерина признал, что взлом произошел из-за ошибки в последней версии клиента, которая позволила нескольким людям хранить ключи от кошелька и выводить деньги при большинстве голосов.

Реакция сообщества
«Когда идет речь про взлом любой системы, когда в ней становится больше участников, она становится более уязвимой. Чем больше интерес – тем больше атак хакеров», — подтверждает IT-эксперт Иван Волин. В то же время он уверен, что слабое место криптовалют – незащищенность конкретных клиентов, подчеркивая, что большинство хакерских атак основаны на социальной инженерии, «когда происходит взлом конкретного человека».
Комментирует
Евгений Койнов
Специалист по прикладной криптографии и криптовалютам, CТO Cryptocompany.Ltd

«В последнем случае нельзя говорить о системной уязвимости». Однако сейчас пользователям следует немедленно отказаться от хранения средств на кошельках Parity, использующих алгоритм мультиподписи, прокомментировал Евгений.
В прошлом году при краже из DAO $50 млн Виталик Бутерин убедил коллег пойти на форклог криптовалюты, однако в этот раз он в своем аккаунте в Twitter пообещал, что подобное не повторится. Причин отказа создатель эфира не сообщил. Михаил Лобанов, управляющий партнер Target Global считает, что разделение на Ethereum и Ethereum Classic показало высокий риск такой операции — будущее обеих криптовалют в момент хардфорка находилось под большим вопросом. Поэтому участники рынка сразу полагали, что Бутерин не пойдет на риск всей системой: «Все-таки эпизод с Parity имеет существенно меньшее значение для Ethereum в настоящий момент чем The DAO год назад». Отметим, что в случае с DAO выведенные средства составляли 6% от капитализации криптовалютной сети Ethereum, а сейчас даже суммарные потери средств, выведенных злоумышленниками и «белыми хакерами» составляют 0,9% от капитализации Ethereum.


Механизмы работы DAO не позволяли вывести украденные средства в течении 40 дней, а потерянное Parity вряд удастся вернуть. Основатель стартапа Block Notary Игорь Баринов в беседе с Forbes объяснил, что технологии криптовалют и объем рынка позволят хакерам «размыть средства в других криптовалютах, в том числе анонимных: «Обменять размытую криптовалюту на эквивалент в традиционных валютах при капитализации рынка криптовалют в $90 млрд несложно». Он считает, что уязвимость в Parity оказалась серьезнее, чем в случае с The DAO, так как ошибку смогли найти две большие группы хакеров («черные» и «белые»). При этом отмечает осторожное поведение злоумышленников: «Украли эквивалент $30 млн и остановили атаку для уменьшения вероятности хардфорка». Баринов подытоживает, что хардфорк потребовал бы ущемления прав независимых участников системы и потому маловероятен.
О причинах инцидента и судьбе криптовалют читайте далее в источнике: