153,000 эфиров ушли в свободное плавание к неизввестному хакеру "благодаря" уязвимости в кошельке Parity.. Подвержены версии кошелька 1.5 и выше.
Вкратце - программист умного контракта запилил (публичную) функцию проверки кошелька на владельца, но забыл проверить, не инициализирован ли уже кошелек, давая возможность кому угодно перезаписать список владельцев кошелька.. Ну хакер и перезаписал, и перевел, всё просто.
Вот уязвимый код, если кому интересно
// constructor - just pass on the owner array to the multiowned and
// the limit to daylimit
function initWallet(address[] _owners, uint _required, uint _daylimit) {
initDaylimit(_daylimit);
initMultiowned(_owners, _required);
}
Вот кошель хакера https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32
Пострадали
- Edgeless Casino
- Swarm City
- æternity blockchain
Сейчас, после получения информации, кошелек разграбляют "White Hats" - законопослушные хакеры, и выводят деньги себе, что бы не досталось "плохим парням", но там уже намного меньше денег...
В общем, сейчас произошла ровно та же схема, что и раньше, при разграблении The.DAO, что, как мы помним, привело к хардфорку и разделению эфира на ETH и ETC. Что будет сейчас? Виталик утверждает, что хардфорка не будет, так что посмотрим)
Ссылки по теме: Заявление Parity (англ), заявление Swarm City (англ), заявление Aeternity (англ), ForkLog (рус)
