Parity 1.5 or later security Alert: multi-sig contract wallet.sol

Обнаружена уязвимость в контрактах мульти-сиг кошельков, созданных в parity 1.5 и выше. Актуальная информация по ссылке: https://twitter.com/ParityTech/status/887747980719206401

Что пока знаю сам:

  1. Уязвимость касается только контракта мульти-сиг. Обычные пользовательские аккаунты не пострадали.
  2. Основная рекомендация — вывести срочно средства с мульти-сиг контракта, если он создан в parity версии 1.5 или выше.
  3. Matthew Carano из проекта Swarm City после атаки на них взял на себя роль доброго хакера и, пользуясь уязвимостью, собирает средства других уязвимых мульти-сиг аккаунтов.
  4. Добрый хакер (whitehat) спас часть средств: https://etherscan.io/address/0x1dba1131000664b884a1ba238464159892252d3a
  5. Следить за аккаунтом хакера можно тут: https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
  6. Пост от доброго хакера (Matthew Carano): https://press.swarm.city/parity-multisig-wallet-exploit-hits-swarm-city-funds-statement-by-the-swarm-city-core-team-d1f3929b4e4e

UPD:

  • Не забудьте, что от мульти-сига может быть отправлена транзакция к любому контракту. Т.е. если у вас лежат токены на мульти-сиге, то их тоже нужно срочно вывести.
  • Если мульти-сиг назначен на исполнение какого-либо контракта, то нужно срочно сменить мульти-сиг на другой ответственный контракт/аккаунт.
    UPD 2:
    Поведение атакующего странное: если бы он хотел забрать деньги, то они бы уже давно были на бирже обменены на монеро и т.п. Но они лежат, за исключением 20 эфиров (выведенных через shapeshift), на аккаунте.
    UPD  3:
    Пояснение по дальнейшим действиям группы добрых хакеров: https://www.reddit.com/r/ethereum/comments/6obofq/a_modified_version_of_a_common_multisig_had_a/
    UPD 4:
    fix от Гевина Вуда: https://github.com/paritytech/parity/commit/e06a1e8dd9cfd8bf5d87d24b11aee0e8f6ff9aeb

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>