פרצת אבטחה הקפיאה מאות מיליוני דולרים באת’ריום

קטע קוד שמשתמש ”תמים” מחק גרם להקפאה מיידית של את’ריום בערך של כמעט 300 מיליון דולר. פתרון עדיין אין באופק

עיבוד תמונה: גיקטיים

אם מישהו היה צריך עוד הוכחה לסכנה ולחוסר היציבות שטמונים במטבעות הקריפטוגרפיים, אנחנו מתבשרים היום על ספק תקלה, ספק פרצת אבטחה חדשה, עם השלכות חמורות. הבעיה גרמה להקפאה של מטבעות את’ריום בשווי מאות מיליוני דולרים, כשגם עכשיו, שעות לאחר הגילוי, לא יכולים בעליהם החוקיים לעשות בהם שימוש.

משתמש מחק ”בטעות” קטע קוד – ו-280 מיליון דולר הוקפאו

בהודעה שהוציאה היום מפתחת הארנקים הדיגיטליים Parity, היא מסבירה שמשתמש אנונימי מחק בטעות קטע קוד, שדרוש לתפעול של כל הארנקים מסוג Multi-Sig, שנפתחו אחרי 20 ביולי 2017.

ארנקי Multi-Sig הם ארנקים שנמצאים בבעלות של מספר משתמשים, וכל פעולה של הוצאה או הכנסה של כספים דורשת הסכמה של כל המשתמשים – זאת בניגוד לארנקים הדיגיטליים המוכרים לנו כיום. זו גם הסיבה שהמשתמשים העיקריים בארנקים האלו הן חברות סטארטאפ שגייסו כספים ב-ICO, הנפקות מטבע ראשוניות, ומשתמשות בהם לצורך הפעילות שלהן.

הפרצה, שהתחבאה בקטע קוד שהוטמע בעקבות פרצה קודמת, אולי התגלתה רק עכשיו, אולם היא הייתה זמינה כבר ב-20 ביולי, והצליחה לחמוק מעיניהם של אנשי Parity. הפרצה החדשה אפשרה למשתמש אנונימי בשם devops199 להשתלט בטעות או ”בטעות” על ספריה ואחר-כך להשבית אותה, מה שגרם להקפאה של כל התנועות בארנקי ה-Multi-sig. אותו משתמש אגב פתח טיקט ב-GitHub על התקלה.

מעבר לדבר התקלה, לא חשפה Parity פרטים נוספים על היקף הכספים שהוקפאו, אולם חוקרים שמתמחים בתחום מעריכים כי מדובר בלא פחות מ-280 מיליון דולר. מתוך הסכום הזה, כ-90 מיליון דולר שייכים לסטארטאפ Polkadot, שרוצה לחבר בין בלוקצ’יין ציבורי לפרטי. הסטארטאפ, שהקים מייסד Parity גאווין וודס, גייס כ-140 מיליון דולר ב-ICO ומתוכם קצת יותר מ-60 אחוזים הוחזקו בארנק ה-Multi-Sig. ב-Parity מסרו בתגובה כי הסכומים הללו הם “ספקולציות בלבד”.

לא הפעם הראשונה של Parity

כאמור, זו לא הפעם הראשונה שמתגלה תקלה במערכות של Parity. ביולי השנה התגלתה פרצה שאפשרה גניבה של 150 אלף את’ר (ETH) – כ-30 מיליון דולר במונחים של אז. הפרצה תוקנה בעזרת קוד חדש ב-19 ביולי – קוד שנכתב ככל הנראה ברשלנות וגרם לתקלה הנוכחית. כידוע, את’ריום הוא המטבע השני בערכו אחרי הביטקוין והוא שווה כיום כ-28.5 מיליארד דולר. בעקבות המקרה צנח מחירו של האת’ר מרמה של 305 דולר לרמה של 291 דולר.

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

3 תגובות על "פרצת אבטחה הקפיאה מאות מיליוני דולרים באת’ריום"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
אבי
Guest

לא הבנתי איך הוא הצליח למחוק שורת קוד אם האתר מאובטח?
נ.ב אל תצחקו עלי אני בור בנושאים הללו.

אלון
Guest

הוא לא שינה את הקוד.
הוא הריץ פקודת kill על החוזה ששימש כארנק שגרמה לכך שאי אפשר לגשת לחוזה יותר. הבאג היה בכך שהמפתחים לא דאגו לחסום את פקודות הkill ולא דאגו לשחרר את כל האיתר שבחוזה כשהחוזה מושמד

אבי
Guest

תודה רבה לך.
אתה עוסק בסייבר?

wpDiscuz

תגיות לכתבה: