Огромная сумма криптовалюты похищена через «тривиальную дыру» в электронных кошельках

Безопасность Стратегия безопасности Бизнес Законодательство Интернет E-commerce Веб-сервисы
мобильная версия
, Текст: Роман Георгиев
«Тривиальная» уязвимость в браузерных кошельках для криптовалюты Ethereum позволила преступникам присвоить около $30 млн.

Проблема мультисигнатурного контракта

Уязвимость в электронных кошельках для криптовалюты Ethereum, разработанных компанией Parity, привела к массовой краже электронных денег. Преступникам досталось около 150 тыс. единиц криптовалюты, что примерно соответствует $30 млн по текущему курсу.

Три крупные транзакции были выявлены в Etherscan.io, после чего разработчик браузерных кошельков Parity опубликовал экстренное предупреждение с призывом немедленно перевести криптовалюту, размещенную в Parity Wallet 1.5 и выше в другие места.

Как выяснилось, «тривиальный» баг в стандартном мультисигнатурном контракте позволили злоумышленникам захватывать и обчищать любые кошельки держателей криптовалюты.

Белые шляпы спешат на помощь

Помимо 150 тыс. украденных ETH, еще 377 тыс. единиц Ethereum могут быть под угрозой. Группа White Hat Group (в которую, помимо прочих, входят разработчики Ethereum), объявила, что «спрятала» эти средства в безопасное место (на конкретный счет, индекс которого известен), пока ситуация не разрешится.

После этого WHG обещают все вернуть, восстановив мультисигнатурные контракты для пострадавших.

Parity выпустили обновление для кошельков, устранив уязвимость.

Пострадали как минимум три площадки

Атака была произведена на сразу три проекта, связанных с Ethereum - децентрализованную платформу Swarm City, казино криптовалют Edgeless Casino и экосистему Aeternity. Swarm City и Aethernity признали факт кражи.

Через «дыру» в браузерных кошельках похищена криптовалюта Ethereum на $30 млн

Swarm City даже назвала сумму похищенного из их системы: 44055 ETH, и указала кошелек вора.

Edgeless никаких официальных комментариев не дала.

Эксперты также предупреждают пострадавших не поддаваться на уловки фишеров, которые наверняка попытаются воспользоваться ситуацией к своей выгоде.

Это уже далеко не первый случай массированной кражи Ethereum: в начале недели хакеры угнали у израильского стартапа CoinDash криптовалюты на сумму около $7 млн, попросту взломав сайт компании и подменив нужный адрес.

«Криптовалюта - сегодня предмет большого ажиотажа, - отмечает Ксения Шилак, директор по продажам компании SEC Consult. - Стоимость ее довольно высока, соответственно, высок и интерес преступников. При этом, как мы можем наблюдать, сопутствующая инфраструктура криптовалюты время от времени оказывается беззащитной перед кибератаками, в том числе самыми тривиальными».