Informando el aprieto de paridad de ethereum: ¿qué sigue?

Sicario se filmó en apriete y a los tiros (Mayo 2019).

Anonim

Después de que un actor no identificado "accidentalmente" desencadenara una serie de errores que destruyeron aproximadamente $ 150 millones en valor de la moneda digital, el mundo espera una respuesta sustantiva: ¿esta vulnerabilidad es una anomalía? Un "te lo dije"? ¿O una oportunidad de humildad para asegurar la red de Ethereum?

¿Qué sucedió?

El 6 de noviembre, "Devops199", un supuesto programador amateur, desencadenó una cadena de errores en Parity, una popular billetera digital para Ethereum. Estos errores afectaban a las cuentas de múltiples firmas, o "cuentas múltiples": "billeteras" que requieren que múltiples usuarios firmen con sus claves antes de poder transferir los fondos. . El lugar al que se conectan estas carteras se conoce como un contrato de "biblioteca".

  1. Según Parity, un intento de corregir una vulnerabilidad que permitió a los piratas informáticos robar $ 32 millones de billeteras con varias identidades en julio de 2017 creó inadvertidamente una segunda vulnerabilidad en el contrato de la biblioteca. Esto permitió a Devops199 obtener la propiedad exclusiva de la biblioteca que cada billetera de firma múltiple usó para su código.

  2. Después de que Devops199 se dio cuenta de lo que había sucedido, "mató" (eliminó) el código. Desafortunadamente, esto bloqueó todos los fondos en carteras multidireccionales de forma permanente, sin posibilidad de acceder a ellos.

  3. Debido a la funcionalidad de la cadena de bloques actual, $ 150 millones en éter (ETH), la moneda comerciable que alimenta la plataforma Ethereum, ahora se destruye efectivamente y es inaccesible para cualquiera.

Entre las víctimas de este error se encuentran varias ICO recientemente exitosas que optaron por almacenar sus fondos en una billetera Parity debido a su opción multigrado y la compatibilidad con varias carteras de hardware.

Respuesta de paridad (hasta ahora)

El 7 de noviembre, los tweets en la cuenta oficial de Twitter de Parity reconocieron la vulnerabilidad y confirmaron que los fondos afectados están congelados y no se pueden mover a ningún lado.

Un día después, el 8 de noviembre, Parity informó el error y explicó que, de hecho, era posible convertir el contrato de la Biblioteca de Monedas de la Paridad en una billetera común y convertirse en el propietario de la misma, que es exactamente lo que hizo Devops199. Parity ahora tiene una herramienta para verificar si un usuario / billetera se ha visto afectada por la vulnerabilidad.

Historia de Hacks de Parity

Esta no es la primera vez que Parity ha sido víctima de un ataque de seguridad. Los contratos de multidirección de Parity fueron previamente objeto de tres robos por un total de 150,000 éter en julio de 2017 (el segundo hack más grande después del fiasco de DAO). Y las pérdidas podrían haber sido exponencialmente más altas. Sin embargo, el "White Hat Group", una colección de hackers y activistas, pudo intervenir y drenar la mayoría de las otras billeteras antes de que pudieran verse comprometidas también.

Las futuras carteras multi-sig creadas en todas las versiones de Parity Wallet no tienen exploits conocidos.

- Publicación oficial del sitio web Parity tras el truco del 19 de julio

Jeff Coleman, experto en tecnologías de cadena de bloques y actualmente investigador y asesor de L4 Ventures, describió la respuesta de Parity al ataque del 19 de julio de 2017 como sido "preocupante, por decir lo menos."

Coleman le dijo a Bitcoin Magazine que sus preocupaciones principales se centraban en la respuesta inadecuada de Parity y su tendencia a restarle importancia al compromiso, eligiendo en su lugar culpar a un gran número de causas externas:

Culpaban observadores por no encontrar el error antes de ser explotado; culparon a los observadores por la falta de incentivación; y culpó al lenguaje Solidity por no bloquear el acceso por defecto a las funciones que [el equipo paritario] no protegió.

Además, notó que Parity parecía estar culpando a la complejidad de la billetera bien auditada (que aún creían segura) de la que originalmente habían modificado su código. Y también que Parity no se responsabilizó por su propio control de calidad y procedimientos de auditoría inadecuados.

S. O. S.?

Los desarrolladores de la comunidad están tratando desesperadamente de encontrar una solución al problema de la Paridad. Coleman cree que "desde una perspectiva tecnológica, no hay nada mejor que un hard fork [un cambio no compatible con versiones anteriores del protocolo de Ethereum] para restaurar los fondos destruidos. "

Después del truco de DAO en 2016, la Fundación Ethereum ya había aceptado un duro tenedor para restaurar los fondos perdidos, con el entendimiento común de que se trataba de una especie de" mulligan ": una solución única para una cadena de bloques joven y en desarrollo. . Este escenario, sin embargo, dividió la cadena de bloques de Ethereum en dos partes y creó Ethereum Classic, la cadena de bloques original de Ethereum, respaldada por una comunidad que se opone vehementemente a editar el historial de transacciones para restaurar los fondos perdidos.

El uso de horquillas duras como intervenciones para "corregir" escenarios del peor de los casos como este es muy controvertido, especialmente porque las cadenas de bloques están destinadas a ser inmutables. Por lo tanto, es difícil convencer a la comunidad Ethereum para que use un tenedor duro para rescatar a un equipo de un error. Mientras que muchos reconocen simpatía por cuentas más pequeñas que almacenan ETH personal, el sentimiento no es tan comprensivo para los 300,000 ETH que pertenecieron al Proyecto Polkadot, proyecto asociado con el equipo Parity.

Arseny Reutov, un investigador de seguridad de aplicaciones para la empresa de seguridad blockchain positivo. com, afirmó el sentimiento de esta comunidad, al tiempo que reconoció que los tenedores rígidos pueden ser soluciones. Sin embargo, está de acuerdo en que Ethereum no puede simplemente tenedor duro en cualquier momento que haya un problema en la red. Él cree que los blockchains deberían esperar "más y más robos e incidentes de alto perfil", y que el problema radica en la plataforma infantil misma de Ethereum, específicamente, en el lenguaje de programación de solidez nativo.

Si un Hard Fork no es la respuesta, ¿entonces qué es?

Tanto Coleman como Reutov creen que la clave para obtener el apoyo comunitario necesario para restaurar los fondos es combinar la situación de Paridad con situaciones similares en las que se han perdido fondos debido a varios tipos de errores. Como ejemplo, Coleman hizo referencia a los detallados en EIP 156: "Recuperación de éter en clases comunes de cuentas atascadas". "

Coleman también señaló que en cualquiera de estos casos, debe ser" completamente inequívoco quiénes eran los propietarios originales de los activos."Los cambios necesarios podrían hacerse y empaquetarse juntos en una" bifurcación planificada ya planeada, como la próxima bifurcación de Constantinopla. "

Aun así, restaurar fondos es problemático. Los desarrolladores centrales de Ethereum deben discernir qué fondos afectados por errores serán devueltos a los usuarios. ¿Se devolverán todos los fondos o solo unos pocos elegidos, o será una experiencia de aprendizaje de ~ 500,000 ETH?