Parität Multisig Wallet gehackt, oder wie kommt es?

Sicherheit

Hintergrund

Mehrfachsignatur-Wallets sind Smart-Verträge, die zum Verwalten von Krypto-Assets durch die Zustimmung mehrerer Wallet-Besitzer entwickelt wurden. Diese Art von Brieftaschen erlaubt es normalerweise, tägliche Auszahlungslimits zu setzen, Abstimmungen zu wählen, Besitzerwechsel zu wählen usw.

Mit dem großen Anstieg der Krypto-Preise in diesem Jahr halten viele Leute jetzt erhebliche Mengen an Krypto-Assets. Es lohnt sich, die Sicherheit ernsthafter zu nehmen, und es ist ein guter Schritt, wenn Sie Ihre Vermögenswerte oder zumindest die meisten davon in eine vielseitige Brieftasche stecken. Das erhöht die Sicherheit für einen Prozess, der sehr schnell viele Geldmittel bewegt. Wenn Sie eine Multisig Wallet besitzen, benötigen Sie mehrere & ldquo; Unterschriften & rdquo; Geld aus der Brieftasche ziehen. Tatsächlich bedeuten diese Signaturen mehrere private Schlüssel.

Diese Alternative zum Halten von Werten in einfachen Benutzerkonten erschien 2012. Multisig-Wallets werden besonders von Cryptocurrency-Startups und anderen Gruppen bevorzugt, da sie einen Schutz vor Hacker-Angriffen auf die Asset-Inhaber bieten. Dies liegt daran, dass einige Konten der Besitzer kompromittiert werden können, während die volle Kontrolle über das Geld erhalten bleibt. Natürlich hilft es auch gegen hinterhältige Mitarbeiter, die mit dem Geld davonlaufen wollen. Aus diesem Grund sind Multisig-Wallets auch eine beliebte Art, die in ICO erzeugte Kryptowährung zu speichern.

Vor einigen Jahren gründete Gavin Wood, Mitbegründer und CTO von Ethereum, EthCore, eine gemeinnützige Organisation, die Software für die Ethereum-Infrastruktur entwickelt, die später in Parity Technologies umbenannt wurde. Eines seiner Produkte ist Parity, ein Ethereum-Client, der eine Webschnittstelle für die zugrunde liegende Ethereum-Knotensoftware bereitstellt. Es ermöglicht dem Benutzer den Zugriff auf die grundlegenden Ether- und Token-Wallet-Funktionen sowie die Interaktion mit Smart-Contracts, die auf der Ethereum-Blockchain implementiert sind. Die Parity Wallet ist so konzipiert, dass sie nahtlos in alle Standard-Tokens integriert werden kann und Ether-Transfers verwaltet. Es ist kompatibel mit Ubuntu, OSX, Docker und Windows. Die große Auswahl an Optionen, die die Brieftasche von Parity bietet, machte sie in der Crypto-Community äußerst beliebt.

Attack

Multisigs werden als Smart-Contract-Quellcode an die Benutzer verteilt: Wann immer jemand einen bekommen möchte, nimmt er den aktuellen Code aus dem Repository, setzt den Vertrag auf die Ethereum Blockchain und setzt dann die Besitzer Fonds usw. Jede Brieftasche ist eine separate Instanz des Codes.

Im Falle von Parität wurden einige der wesentlichen Elemente der Vertragslogik, einschließlich der Funktion "Auszahlung", mit der Mittel entnommen werden können, in eine Bibliothek gestellt. Eine Bibliothek ist ein bereits implementierter Smart-Vertrag, der von jedem vorhandenen Parity Multisig (ab einer bestimmten Version) verwendet wird. Eine solche Codetrennung kann theoretisch eine gute Sache sein: zum Beispiel die Reduzierung der Gaskosten für Benutzer, die weniger Code bereitstellen müssen.Leider bedeutet dies auch, dass, sollte die Bibliothek in irgendeiner Weise kaputt gehen, dies jeden davon abhängigen Vertrag beeinflussen wird. Und keine Eventualitäten wurden eingeschlossen.

Am 6.-8. November wurde entdeckt, dass es möglich war, die Bibliothek selbst als Brieftasche zu initialisieren, indem sie die Eigentumsrechte für sie beanspruchte, einschließlich des Rechts, sie vollständig zu töten. Alle bereitgestellten abhängigen Verträge würden dann nutzlos werden. Nach dem Töten der Bibliothek sondierte der Angreifer mehrere implementierte Multisigs, um zu versuchen, die Eigentümerliste zu ändern und das Geld zurückzuziehen, um die Schritte des Juli-Exploits zurückzuverfolgen. Zwischen dieser und der GitHub-Frage, die Inkompetenz behauptet, bleibt die Frage nach den Motiven des Angreifers unklar.

Nach Angaben von crypto eli5 wurden 151 Geldbörsen eingefroren, wobei die Guthaben 513, 743 ETH oder insgesamt 152 Millionen Dollar betrugen. Parity Technologies gibt bekannt, dass 573 Wallets betroffen sind und ihre Gesamtbilanz unbekannt ist.

Allgemeine Reaktion

Unglaube war das erste und häufigste Gefühl, das Mitglieder der Krypto-Gemeinschaft empfanden. Oh, sie wollten diesen Betrag von rund $ 154 Millionen wegen der vermeintlich zufälligen Aktionen einiger Neulinge aufheben! Es hat nicht nur Paritys stetige Erholung nach dem berüchtigten Hack im Juli zunichte gemacht, sondern auch dazu geführt, dass einige Benutzer das Sicherheitslimit für fehlgeschlagen hielten und ob Parity es erreicht hat.

Die erste Reaktion auf das Einfrieren der Gelder war reine Panik - nur sechs Monate nach dem Juli-Hack schien die Wiederholung unmöglich, obwohl die vernünftigsten Mitglieder der Gemeinschaft zumindest die Sicherheit der Kryptowährung als Priorität ansahen. Sobald Parity offizielle Erklärungen vorlegte, geriet die Panik in Misstrauen, da die betroffenen Nutzer sich selbst verloren sahen.

UPDATE: Ein Benutzer hat ein Problem ausgenutzt und damit den Bibliothekscode entfernt, da er sich der Konsequenzen nicht bewusst ist.

- Parity Technologies (@ParityTech) 7. November 2017

Parity hat kürzlich behauptet, dass sie Sicherheitsfragen ernst nehmen. Wie könnte dies also geschehen? Eine der Hauptsorgen ist, dass der Fehler vor dem Absturz einige Zeit bestanden hatte. Es betraf die Brieftaschen, die am 20. Juli 2017 erstellt wurden, d. e. nach einem Hotfix durch den Hack.

Dadurch wurden die Gelder in allen Parity-Mehrfachgeldbörsen eingefroren, die nach dem 20. Juli bereitgestellt wurden. Wir analysieren die Situation und veröffentlichen in Kürze weitere Details.

- Parity Technologies (@ParityTech) 7. November 2017

Eine Schwachstelle in der damals aktuellen Version der Parity Multisig Wallet wurde ausgenutzt, was dazu führte, dass 30 Millionen Dollar gestohlen und 180 Millionen Dollar von einer White-Hat-Hacker-Gruppe gerettet wurden , kehrte dann zu den rechtmäßigen Eigentümern zurück. Nach dem Angriff setzte Parity Tech eine neue Version der Brieftasche ein, die, wie sich herausstellte, eine weitere Schwachstelle einführte. Dies führte dazu, dass einige Benutzer sich vor der Veröffentlichung des Updates über die Unbedenklichkeit von Parity in Bezug auf ihre Mittel und den verpfuschten Debugging-Prozess beschwerten. Die Tatsache, dass der Exploit wahrscheinlich von einem ungeschickten Newbie initiiert wurde (wie er selbst behauptet hat), gibt der Firma auch keinen Kredit.

Parität antwortet auf die vorsichtigste Art und Weise und vermeidet jede Gewissheit. Wer kann ihnen die Schuld geben, dass sie versucht haben, den Tumult zu beruhigen? Jedoch sieht ein Benutzer Sätze wie & ldquo; nach bestem Wissen & rdquo; glaubt, dass Entwickler die Situation überhaupt nicht kontrollieren.

Update: Nach unserem Wissen sind die Gelder eingefroren und können nicht verschoben werden. Die gesamte ETH, die soziale Medien verbreitet, ist spekulativ.

- Parity Technologies (@ParityTech) 7. November 2017

Als Ergebnis sehen wir einen geplagten Auftrieb unter Parity- und Ethereum-Gegnern, zum Beispiel von Charlie Lee, dem Schöpfer von Litecoin.

Ich war hartnäckig gegen die DAO-Hardfork wegen dieser moralischen Gefahr. Ethereum ist nicht mehr unaufhaltbar Code wie auf ihrer Website beworben. Wie viel in $ /% ist genug, um eine HF zu machen? Und wer entscheidet? Keine unzensiblen Zahlungen mehr. // t. co / i3RyIPqo32

- Charlie Lee (@SatoshiLite) 8. November 2017

Die Angreifer teilen sich in zwei fast gleiche Teile auf: diejenigen, die den Entwicklern des Smart-Vertrages die Schuld geben und diejenigen, die das ganze Unternehmen für schuldig halten. Ganz zu schweigen von einigen Stimmen, die behaupten, dass die Ethereum-Architektur (wie unveränderliche Smart-Contracts) dafür verantwortlich ist. Sie werden normalerweise mit der Gegenforderung konfrontiert, dass eher die Kodierungspraktiken und die Reife des Entwicklungszyklus schuld sind.

Konsequenzen

Etwa $ 154 Millionen bleiben in den betroffenen Brieftaschen hängen. Da Smart-Contracts in Ethereum unveränderlich sind und keine Entlastungsmaßnahmen in den Code aufgenommen wurden, scheint die einzige Möglichkeit, die Mittel zurückzufordern, eine harte Abzweigung des Ethereum-Netzwerks zu sein. Andernfalls wird der Äther für immer in den betroffenen Verträgen bleiben. Dies verursachte mehr Disharmonie in der Ethereum-Gemeinschaft. Inoffizielle Twitter-Umfragen zeigen ungefähr 50/50 Unterteilung von Anhängern und Gegnern der Initiative, da die vorherige Abspaltung schließlich Ethereum in zwei sich bekriegende Netzwerke zerbrach.

Es gibt mehrere technische Möglichkeiten, wie ein solcher Hard-Fork funktionieren kann, einschließlich der Implementierung von EIP 156 oder dem Zurücksetzen einer festen Version der Bibliothek. Dies ist jedoch ein kontroverses Thema und bringt alles zurück, was in Bezug auf den DAO-Hack und die anschließende Rettung diskutiert wurde.

Betroffene

Große Spieler eilen nicht mit & ldquo; nimm es oder lass es & rdquo; Vorschläge, die auf weitere Details von Parity warten. Da die Gelder tatsächlich eingefroren und nicht gestohlen wurden, wird der Entwickler nicht von Zeitbeschränkungen gedrängt - obwohl einige die wachsende Unzufriedenheit der Benutzer als die härtere Probe betrachten werden.

Die meisten von dem Exploit betroffenen Unternehmen haben jedoch bereits Erklärungen veröffentlicht, um Kunden zu trösten und sicherzustellen, dass das Problem auf die eine oder andere Weise gelöst wird.

Die Multisig, die von der Web3 Foundation verwendet wurde, um Beiträge für Polkadot zu akzeptieren, das ebenfalls von Gavin Wood gegründet wurde, war der grösste der Betroffenen und stellte die ETH außer Reichweite. Zum Glück enthielt die betroffene Multisig Wallet nicht alle Gelder. Daher behauptet das Unternehmen, dass ihre ursprüngliche Roadmap nicht betroffen war.Sie sind immer noch dabei, Verluste zu bewerten und nach möglichen Lösungen zu suchen, scheinen aber gelassen und zuversichtlich in die Zukunft zu blicken.

Auch die Ichonomi-Plattform und ihr Speichersystem behaupten, sicher zu sein. $ 35 Mio. wurden mit dem betroffenen Parity Multisig-Vertrag gespeichert und bleiben gesperrt, bis die Situation gelöst ist. Die auf der Plattform gespeicherten digitalen Assets aller Benutzer sind jedoch vollkommen sicher und die Funktionsweise der Plattform bleibt davon unberührt. Die Entwickler der Plattform bleiben positiv. Sie stellen fest, dass sich das Ökosystem Ethereum bereits in der Lage gezeigt hat, schnell zu reagieren und sich auf unerwartete Herausforderungen einzustellen.

Die Cappasity-Plattform stellt außerdem sicher, dass die Plattform und der dort gespeicherte Inhalt sicher sind und die Funktionalität der Plattform davon unberührt bleibt. Obwohl die bisher bei der Crowdsale eingenommenen Gelder in einer betroffenen Parity Multisig Wallet gespeichert wurden, bleibt das Unternehmen zuversichtlich. Der Crowdsale wurde im regulären Modus wieder aufgenommen, nachdem er nach dem Angriff prompt auf eine andere Multisig Wallet umgeschaltet hatte. Es sieht so aus, als wäre Cappasity bereit für die Herausforderung: Die bestehenden Partner des Unternehmens könnten die gesperrten Mittel bei Bedarf ausgleichen. Das Team hat auch eigene Nachforschungen über den Angriff durchgeführt und ist zu dem Schluss gekommen, dass die Wahrscheinlichkeit hoch ist, dass es sich um einen absichtlichen Hack handelt (der Beweis wird am Ende der ersten offiziellen Erklärung des Unternehmens geliefert).

Im Allgemeinen sehen wir, dass führende Spieler weise handelten, da sie nicht alle ihre Eier in einen Korb legten. Dies scheint die bestmögliche Strategie zu sein, da Blockchain immer noch eine im Entstehen begriffene Industrie ist und mehrere Höhen und Tiefen durchlaufen muss, um die besten und sichersten Strategien auszuarbeiten.

Der Artikel wurde von Collis Aventin, einem Blockchain-Experten von Modern Token, geschrieben.


Folge uns auf Facebook


  • Ethereum News
  • Brieftasche
  • Smart Contracts
  • Kryptowährungen
  • ICO
  • Iconomi
  • Tokens