Parity 1.5 or later security Alert: multi-sig contract wallet.sol

Обнаружена уязвимость в контрактах мульти-сиг кошельков, созданных в parity 1.5 и выше. Актуальная информация по ссылке: https://twitter.com/ParityTech/status/887747980719206401

Что пока знаю сам:

  1. Уязвимость касается только контракта мульти-сиг. Обычные пользовательские аккаунты не пострадали.
  2. Основная рекомендация — вывести срочно средства с мульти-сиг контракта, если он создан в parity версии 1.5 или выше.
  3. Matthew Carano из проекта Swarm City, после атаки на них взял на себя роль доброго хакера и пользуясь уязвимостью собирает средства других уязвимых мультисиг аккаунтов.
  4. Добрый хакер (whitehat) спас часть средств: https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a
  5. Следить за аккаунтом хакера можно тут: https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
  6. Пост от доброго хакера (Matthew Carano): https://press.swarm.city/parity-multisig-wallet-exploit-hits-swarm-city-funds-statement-by-the-swarm-city-core-team-d1f3929b4e4e

UPD:

  • Не забудьте, что от мультисига может быть отправлена транзакция к любому контракту. Т.е. если у вас лежат токены на мультисиге, то их тоже нужно срочно вывести.
  • Если мультисиг назначен на исполнение какого либо контракта, то нужно срочно сменить мультисиг на другой ответственный контракт / аккаунт
    UPD 2:
    Поведение атакующего странное, если бы он хотел забрать деньги, то они бы уже давно были бы на бирже обменены на монеро и т.п. Но они лежат за исключением 20 эфиров (выведенных через shapeshift) на аккаунте.
    UPD  3:
    Пояснение по дальнейшим действиям группы добрых хакеров https://www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a/
    UPD 4:
    fix от Гевина Вуда https://github.com/paritytech/parity/commit/e06a1e8dd9cfd8bf5d87d24b11aee0e8f6ff9aeb