BTC
6442.0
ETH
297.68
BCH
531.44
LTC
56.433
CFI
0.0214
EOS
4.7560
REQ
0.0372
XRP
0.3017
Yobit
http://arahnidapool.com
YoBit.Net
Hlg-dostavka.ru
migoff.net

В кошельке для Эфириума Parity снова обнаружена уязвимость

В кошельке для Эфириума Parity снова обнаружена уязвимость

Критическая ошибка консенсуса была обнаружена в тестовой среде, используемой Parity - одним из двух наиболее распространенных кошельков для второго по капитализации блокчейна в мире.

В записи в блоге, опубликованной британской компанией Parity Technologies, сообщается, что была обнаружена проблема, способная отключить синхронизацию на устройствах, на которых запущен кошелек Parity. Это могло привести к тому, что устройства, на которых запущено другое программное обеспечение, не будут распознавать транзакции, которые не были синхронизированы. Хотя уязвимость была обнаружена в тестовой сети, злоумышленники могут использовать ее и в основной сети.

Поэтому теперь Parity призывает всех пользователей обновить свое программное обеспечение и загрузить версию с патчем. Публичные данные показывают, что ошибка могла повлиять примерно на 30% сети Эфириума - тех, кто использует программное обеспечение Parity. В частности, на их способность синхронизации с основной сетью. Но, по словам представителей Parity, проблема была исправлена до того, как она достигла узлов, работающих в основной сети Эфириума.

Тем не менее пользователям необходимо обновить кошельки, чтобы исключить возможность распространение этой уязвимости на основную сеть. В Твиттере несколько фирм, в том числе майнинговый пул Bitfly, заявили, что обновили свои клиенты до новой версии (1.10.6-stable или 1.11.3-beta).

Позже появилось предположение, что уязвимость может повлиять на любые блокчейны, которые используют программное обеспечение Parity, включая пользователей Ethereum Classic (ETC).

Информация об уязвимости появилась в то время, когда Parity и так находится под пристальным вниманием из-за нескольких аналогичных проблем с безопасностью. В частности, в ноябре прошлого года ошибка в одном из кошельков компании привела к тому, что 513 774 16 ETH или $311 миллионов в соответствии с текущим курсом, были заморожены и перестали быть доступны для их владельцев. Дискуссия на тему того, следует ли возвращать замороженные средства, продолжается и по сей день.

При этом Parity заявила о своей приверженности усовершенствованию процессу обеспечения безопасности, написав: «Мы хотели бы, чтобы наши ошибки стали катализатором для улучшения безопасности в Эфириуме».

Три маленькие строчки кода

Вэй Тан (Wei Tang), разработчик Parity, который участвовал в создании патча, сказал, что ошибка связана с частью кода из предложения EIP 86.

Основной целью предложения EIP 86 было добавление так называемой «абстракции счета» - функции, которая позволяет отправлять транзакции без подписи отправителя. Полное обновление Эфириума до EIP 86 было отложено из-за его сложности, однако Вэй пояснил, что Parity все же внедрила код, возможно, в связи с ее ролью в предстоящем переходе Эфириума на новый алгоритм консенсуса.

По словам Вэя, команда, отвечающая за внедрение обновления в Parity, упустила из вида три строки кода, которые привели к возникновению уязвимости.

«Мы пропустили проверку условия в нашем коде, а это заставило полный узел Parity принять блок, содержащий недействительные транзакции», - сказал Вэй.

В тестовой сети Ropsten было обнаружено несколько таких транзакций, и из-за несовместимости транзакций с блокчейном Эфириума, произошел форк между Parity и Geth.

В пресс-релизе глава направления безопасности Parity Кирилл Пименов сказал, что в «худшем случае» подобные транзакции привели бы к появлению поврежденных блоков в сети Эфириума, которые «по-прежнему считались бы действительными другими пострадавшими узлами Parity». И с учетом поддержки достаточной мощностью хэширования, подобная уязвимость привела бы к разветвлению блокчейна.

«Реакция на эту ситуацию была проактивной, то есть мы смогли подготовить исправление до того, как кто-то действительно смог использовать ошибку в своих целях. В результате нам удалось предотвратить форк сети», - заявил Пименов в пресс-релизе.

Вэй это подтвердил и отметил, что исправление, которое было выпущено всего несколько часов назад, было простым. «Мы просто добавили эти три строки в наш код», - сказал Вэй. «Но да, их отсутствие могло бы привести к серьезным проблемам. Мы будем и дальше проверять код».

Показать комментарии Обсудить на форуме

Подписывайтесь на новости и их анализ в нашем Telegram канале!

Калькулятор Bitcoin
Скорость, GH/s:
Сложность:
Курс BTC/USD:
Курс BTC/RUB:
в день в неделю в месяц
BTC
0.000039
0.000275
0.00118
USD
0.25361
1.7753
7.6083
RUB
16.965
118.75
508.94
Расширенный калькулятор
konvert.im
rahakott.io
Курсы криптовалют
Обновить
Статистика сети
Текущая сложность: 6389316883512
Следующая сложность: 6576243586565 (2.93%)
Блоков до пересчета: 1131
Цена шары (PPS): 0.0000000000
Мощность сети (Th/s): 47074585.22
Блоков в сети: 537141
Блоков в час: 6.18
Блоков за последний час: 7
До 6.25 BTC/блок: 626.07 дней
(92859 блоков)
YoBit.Net
Лучше взять и изобрести завтрашний день, чем переживать о том, что вчерашний был так себе
Стив Джобс