Смарт-контракты и "холодные кошельки". Рассмотрим на примере MultiSig

Тип статьи:
Авторская

MultiSig - это смарт-контракты, созданные для управления активами криптовалют. Суть процесса заключается в одновременном согласовании нескольких ключей владельца. Такой тип кошельков дает возможность регулировать ежедневный лимит на вывод средств, управлять решениями на снятие средств или на смену владельца.

С волной популярности и распространения криптовалют, большинство людей стали обладателями возросших в цене криптоактивов. Закономерно, что в криптомире стали не редкостью кражи и открытые нападения криминальных личностей с целью наживы. И конечно, вопрос безопасности стал актуален, как никогда ранее. В этой связи система MultiSig приходится весьма кстати. Она позволяет минимизировать риски взлома в момент больших транзакций, что обеспечивает безопасность как отдельных сделок, так и всего капитала.

Если у владельца криптосчета подключен многосессионный кошелек, для проведения операций потребуется несколько так называемых «подписей». На деле каждая подпись представляет закрытый ключ.

Альтернативный способ для сохранности средств в простых учетных записях пользователей появился еще в 2012 году. Получили одобрение отзывы кошельки Multisig от различных криптовалютных стартапов на рынке. Подобная система защищает владельцев актива от постоянных хакерских атак, обеспечивая полный контроль криптооборота. Аналогично схема защищает от сотрудников фирм, которые стремятся незаметно нажиться за счет основного фонда, украв определенную сумму. Это стала одной из решающих причин для популяризации мультикошельков даже на начальном размещении в фазе ICO.

Несколько лет назад Гэвин Вуд, соучредитель и техдиректор Ethereum, создал некоммерческую организацию EthCore. Она была предназначена для разработки программного обеспечение инфраструктуры Ethereum. Через некоторое время первое название заменили на небезызвестное Parity Technologies.

Одним из его продуктов организации стала Parity, клиент Ethereum, который предоставляет веб-интерфейс для базового программного обеспечения узла Ethereum. Parity предоставляет возможность получить доступ к основным функциям Эфира и токена кошелька, а также открывает доступ к взаимодействию со смарт-контрактами, развернутыми в блоке Ethereum Blockchain. Кошелек Parity предназначен для «бесшовной» интеграции со всеми стандартными токенами, а также для управления транзакциями Эфириума. Он совместим с Ubuntu, OSX, Docker и Windows. Огромное количество опций, предлагаемых кошельком Парити, сделало его чрезвычайно популярным в крипто сообществе.

Попытки взлома

Multisigs распространяются среди пользователей в качестве исходного кода смарт-контракта. Всякий раз, когда кто-то хочет его получить, берется текущий код из репозитория, разворачивается контракт в блокчейне Эфириума, в уже затем устанавливаются данные владельцев, размещаются средства и происходят прочие манипуляции с криптовалютой. Стоит обратить внимание, что каждый кошелек закреплен за отдельным экземпляром кода.

В случае с Parity, некоторые весомые элементы логики сделок, включая функцию вывода, были помещены в библиотеку. Библиотека - это уже развернутый смарт-контракт, который используется каждым доступным Parity Multisig (начиная с частных версий). Теоретически, подобное деление кода достаточно практичное явление. К сожалению, в случае взлома библиотеки, эффект будет ощутим в каждой сделке. Это повлияет на каждый контракт без учета непредвиденных обстоятельств.

С 6 по 8 ноября было обнаружено, что можно инициализировать библиотеку как кошелек, запрашивая права владельца на него, включая возможность на его уничтожение. После таких действий, все открытые зависимые контракты станут бесполезными. Произошло устранение библиотеки, когда повторились июльские атаки. Взломщик исследовал несколько развернутых мультисессий в попытках изменить список владельцев, вывести средства. Вопрос о мотивах хакера остается неясным.

Пользователи eli5, 151 сообщили, что их кошельки заморозили с балансом 513 743 ETH равным сумме в 152 млн. долларов. В свою очередь, Parity Technologies рассказали о 573 затронутых хакером кошельках, общий баланс которых пока еще не известен.

Реакция и обсуждение ситуации

Большинство представителей сообщества владельцев криптовалют изначально выразили свое недоверие к сложившейся ситуации. Неправдоподобным казалась блокировка 152 млн долларов из-за случайной атаки хакера-новичка. Это событие привело к восстановлению статуса Parity после июльских взломов. Но, до сих пор позиция некоторых вкладчиков нерушима. Они полагают, что система безопасности уже не работает как следует и вскоре это коснется и Parity.

Паника стала моментальной первой реакцией на замороженные средства. Казалось, что события июля остались позади и повтор события невозможен. Хотя, те, кто опасался за безопасность вложений стали задаваться вопросом дополнительной защиты для криптовалют на собственных счетах. Как только Паритет выступил с официальными объяснениями, паника уступила место недоверию, пострадавшие пользователи были в растерянности.

В текущей версии кошелька Parity Multisig было уязвимое место, что привело к краже 30 млн $. Еще 180 млн $ было спасено группой безопасности white hat hacker и после проведения операции суммы вернули законным владельцам. После атаки Parity разработала новую версию кошелька, которая только пополнила список уязвимых мест. Некоторых пользователей выразили гневные комментарии в адрес разработчиков Parity за безответственное отношение к чужим капиталам, неудачные обновления. Витающий на слуху факт, что атака была делом рук новичка, также не сыграло в пользу компании.

Представители Parity отвечали осторожно, завуалированно и без четкой определенности. Кто может обвинить их в попытках успокоить бурю? Однако рядовой пользователь, взлянув на фразу «насколько нам известно», скорее всего согласится с точкой зрения, что ситуация вышла из под контроля разработчиков.

Как результат, мы видим всплески негодования среди противников Parity и Ethereum. Примером может послужить заявление Чарли Ли, создателя Litecoin.

Пользователей можно условно разделить на два фронта: первые обвиняют разработчиков смарт-контракта, а вторые считает, что вина лежит на управляющих компании. Некоторые лица даже готовы биться об заклад, что именно сыграла злую шутку с цепочкой Эфириум. Обычно, это заканчивается тем, что обвинитель получает встречное заявление о том, что это скорее практика кодирования и незавершенность цикла разработки.

Последствия

Около 154 млн $ на данный момент застряли в подверженных атаке кошельках. Поскольку интеллектуальные контракты в Ethereum подлежат изменениям, а исходный код не защищен мерами безопасности, единственный способ вернуть средства - принятие жестких изменений для сети Ethereum. В противном случае, счета в Эфириуме так и останется замороженными, что соответственно вызвало волну обеспокоенности владельцев. Неофициальные опросы показывают разделение 50/50 между сторонниками и противниками жестких перемен. На заметку, аналогичные подобные изменения разбили Ethereum на две воюющие коалиции.

Существует несколько технических возможностей того, как может работать такая жесткая система кода, в том числе реализация EIP 156 или повторная установка исправленной версии библиотеки. Однако это спорная проблема, которая возвращает все, что обсуждалось в отношении последующей помощи DAO Hackand.

Послесловие

Крупные игроки не спешат с предложениями «забрать или оставить», ожидая более подробных сведений от Parity. Поскольку фонды были фактически заморожены, а не украдены, разработчикам не давали ограничений по срокам, хотя некоторые из них считают растущее недовольство пользователей более сложным испытанием.

Используемый Фондом Web3 multisig для принятия вкладов Polkadot, также созданный Гэвином Вудом, пострадал больше остальных самой. К счастью, данный кошелек не содержал всех средств. Следовательно, компания утверждает, что их первоначальная карта предстоящих транзакций не была затронута. На данном этапе сотрудники находятся в процессе оценки потерь, поиска возможных решений, хотя представители выражают спокойствие и уверенность в решении этой задачи.

Платформа Iconomi и ее система хранения также заявляют о своей безопасности. 35 миллионов долларов были сохранены с использованием поврежденного контракта, заблокированы до разрешения сложившегося конфликта. Но, все цифровые данные пользователей, хранящиеся на платформе, в безопасности, процесс функционирования платформы остается неизменным. Разработчики Iconomi настроены позитивно. Они заявляют, что экосистема Эфириума уже доказала свою способность быстро реагировать и адаптироваться к неожиданным задачам.

В свою очередь, платформа Cappasity также дала гарантии пользователям, что сама платформа и сохраненный там контент являются безопасными, а функциональность платформы остается неизменной. Несмотря на то, что средства были сохранены в поврежденном мультисессионном кошельке Parity. Воссоздание режима доступа было возобновлено в привычном режиме и мгновенно переключено на другой аналогичный кошелек. Похоже, Cappasity был полностью готов к вызову, ведь официальные партнеры компании смогли бы при необходимости компенсировать заблокированные средства. Команда также провела собственное расследование падения, сделав вывод, что существует большая вероятность того, что это был преднамеренный взлом.

В итоге мы наблюдаем за мудрыми решениями ведущих игроков, так как они не разместили все средства в одной ячейке. Это, по-видимому, самая лучшая стратегия, поскольку Blockchain все еще является развивающейся отраслью, и ей приходится проходить через взлеты и падения, чтобы разработать лучшие и безопасные стратегии.



Cryptonews © 2018

Информационное агентство
(св-во о регистрации СМИ ЭЛ № ФС 77 - 72715, выдано 23 апреля 2018 г. Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций)