Billetera Parity Multisig hackeada, o ¿cómo es?

Fondo

Las carteras de firma múltiple son contratos inteligentes diseñados para administrar criptoactivos con el consentimiento de múltiples propietarios de billeteras. Este tipo de billeteras generalmente permite establecer límites diarios de retiro, votar por retiros, votar por cambios de propiedad, etc.

Con el gran aumento en los precios de cifrado este año, muchas personas ahora tienen cantidades significativas de criptoactivos. Vale la pena tomarse la seguridad más en serio y poner sus activos, o al menos la mayoría de ellos, en una billetera multigrado es un buen paso hacia eso. Eso mejora la seguridad de un proceso que mueve muchos fondos con bastante rapidez. Si posee una billetera de billetes múltiples, necesita varias "firmas" para sacar fondos de la billetera. De hecho, estas firmas significan claves privadas múltiples.

Esta alternativa al valor de retención en cuentas simples de usuario apareció en 2012. Las billeteras multigarrillo son especialmente favorecidas por las startups de criptomonedas y otros grupos, ya que son una salvaguarda contra los ataques de piratas informáticos dirigidos a los titulares de activos. Esto se debe a que permiten que algunas de las cuentas de los propietarios se vean comprometidas mientras se mantiene el control total del dinero. Por supuesto, también ayuda contra los empleados furtivos que podrían querer huir con el dinero. Por esta razón, las billeteras multidisco también son una forma popular de almacenar la criptomoneda generada en ICO.

Muchos años atrás Gavin Wood, el cofundador de Ethereum y CTO estableció EthCore, una organización sin fines de lucro que desarrolla software para la infraestructura de Ethereum, que más tarde cambió su nombre a Parity Technologies. Uno de sus productos es Parityun cliente de Ethereum que proporciona una interfaz web para el software subyacente del nodo Ethereum. Permite al usuario acceder a las funciones básicas de la billetera Ether y Token, y también interactuar con contratos inteligentes implementados en la cadena de bloques de Ethereum. La billetera Parity está diseñada para integrarse a la perfección con todos los tokens estándar, así como para administrar transferencias de Ether. Es compatible con Ubuntu, OSX, Docker y Windows. La amplia gama de opciones que ofrece la billetera Parity la hizo extremadamente popular en la comunidad cripto.

Ataque

Multisigs se distribuyen a los usuarios como código fuente de contrato inteligente: cada vez que alguien quiere obtener uno, toman el código actual del repositorio, implementan el contrato en Ethereum Blockchain, luego establecen los propietarios, colocan los fondos, etc. Cada billetera es una instancia separada del código.

En el caso de la Parity, algunos de los elementos esenciales de la lógica del contrato, incluida la función de retiro que permite extraer fondos, se colocaron en una biblioteca. Una biblioteca es un contrato inteligente ya implementado que utilizan todos los Parity Multisig existentes (a partir de una versión determinada). Tal separación de códigos puede ser teóricamente buena: por ejemplo, reducir los costos del gas para los usuarios que tienen que implementar menos código. Desafortunadamente, también significa que, si la biblioteca se rompe de alguna manera, afectará a cada contrato que dependa de ella. Y no se incluyeron contingencias.

Del 6 al 8 de noviembre, se descubrió que era posible inicializar la biblioteca como una billetera, reivindicando los derechos del propietario, incluido el derecho a matarlo del todo. Todos los contratos dependientes desplegados se convertirían en inserviblesDespués de matar a la biblioteca, el atacante sondeó varias multisigs desplegadas para intentar cambiar la lista de propietarios y retirar los fondos, volviendo sobre los pasos del exploit de julio. Entre eso y el problema de GitHub reclamando incompetencia, la cuestión de los motivos del atacante sigue sin estar clara.

De acuerdo a crypto eli5, Se han congelado 151 carteras, con saldos de 513,743 ETH o $ 152 millones en total. Tecnologías Parity anunció que 573 billeteras han sido afectadas y su saldo total es desconocido.

Reacción general

La incredulidad fue la primera sensación y la más común experimentada por los miembros de la comunidad cripto. ¡Oh, querían ocultar esta cantidad de alrededor de $ 154 millones bloqueados debido a las acciones supuestamente al azar de un novato! No solo ha aplastado la constante recuperación de Parity después del notorio hack en juliopero también hizo que algunos usuarios consideren que el límite de seguridad falla y si Parity lo ha alcanzado.

La primera reacción a los fondos que se congelaron fue puro pánico: solo seis meses después del pirateo de julio la repetición parecía imposible, aunque los miembros más razonables de la comunidad al menos comenzaron a considerar la criptomoneda como prioridad. Tan pronto como Parity brindó explicaciones oficiales, el pánico dio paso a la desconfianza, ya que los usuarios afectados se encontraron perdidos.

Parity Technologies: ACTUALIZACIÓN: Un usuario explotó un problema y, por lo tanto, eliminó el código de la biblioteca, ya que parece desconocer las consecuencias.- Parity Technologies (@ParityTech) 7 de noviembre de 2017

Parity afirmó recientemente que tratan los temas de seguridad y protección en serio, entonces, ¿cómo podría suceder tal cosa? Una de las principales preocupaciones es que el error había existido durante un tiempo antes del accidente. Afectó a las carteras creadas después del 20 de julio de 2017, es decir, después de una revisión impulsada por el hack.

Parity Technologies: Esto congeló fondos en todas las billeteras multi-sig de Parity desplegadas después del 20 de julio. Estamos analizando la situación y lanzamos más detalles en breve. - Parity Technologies (@ParityTech) 7 de noviembre de 2017

Se explotó una vulnerabilidad en la versión actual de la billetera Parity Multisig, lo que llevó a que se robaran $ 30 millones y otros 180 millones rescatados por un grupo de hackers de sombrero blanco, y posteriormente se devolvió a los propietarios legítimos. Luego del ataque, Parity Tech implementó una nueva versión de la billetera que, como resultado, introdujo otra vulnerabilidad. Esto llevó a algunos usuarios a quejarse por la despreocupación de Parity con respecto a sus fondos y al proceso de depuración fallido antes del lanzamiento de la actualización. El hecho de que el exploit fue iniciado probablemente por un novato torpe (como él mismo ha afirmado), tampoco le da crédito a la compañía.

Parity responde de la manera más cuidadosa, evitando cualquier certeza. ¿Quién puede culparlos por tratar de calmar el tumulto? Sin embargo, un usuario que vea frases como "a nuestro leal saber y entender" cree que los desarrolladores no controlan la situación en absoluto.

Parity Technologies: Actualización: a nuestro leal saber y entender, los fondos están congelados y no se pueden mover a ninguna parte. El total de ETH que circula en las redes sociales es especulativo. - Parity Technologies (@ParityTech) 7 de noviembre de 2017

Como resultado, vemos una flotabilidad mejorada entre los oponentes de Parity y Ethereum, por ejemplo, de Charlie Lee, creador de Litecoin.

Charlie Lee: Estaba firmemente en contra del hardfork de DAO por esta razón de riesgo moral. Ethereum ya no es un código imparable como se anuncia en su sitio web. ¿Cuánto en $ /% es suficiente para hacer un HF? ¿Y quién decide? Ya no hay pagos no censurables. https://t.co/i3RyIPqo32 - Charlie Lee (@SatoshiLite) 8 de noviembre de 2017

Los atacantes se dividen en dos partes casi iguales: aquellos que culpan a los desarrolladores del contrato inteligente y aquellos que creen que toda la compañía es culpable. Sin mencionar algunas voces que afirman que la arquitectura Ethereum (como los contratos inteligentes inmutables) es la culpable. Por lo general, reciben la contrademanda de que son las prácticas de codificación y la madurez del ciclo de desarrollo las que tienen la culpa.

Consecuencias

Alrededor de $ 154 millones siguen atascados en las carteras que se vieron afectadas. Dado que los contratos inteligentes en Ethereum son inmutables, y no se incluyeron medidas de alivio en el código, la única forma de reclamar los fondos parece ser una bifurcación dura de la red Ethereum. De lo contrario, el éter permanecerá en los contratos afectados para siempre. Esto causó más discordia en la comunidad Ethereum. Encuestas no oficiales en Twitter muestran aproximadamente 50/50 de partidarios y oponentes a la iniciativa, ya que la bifurcación anterior finalmente dividió a Ethereum en dos redes enfrentadas.

Hay varias posibilidades técnicas de cómo puede funcionar un tenedor tan duro, incluida la implementación EIP 156 o poniendo una versión fija de la biblioteca en su lugar. Sin embargo, este es un tema controvertido, que trae de vuelta todo lo que se ha discutido en lo que respecta a el DAO Hack y el rescate posterior.

Partes afectadas

Los jugadores principales no se apresuran con las proposiciones de "tómalo o déjalo", esperando más detalles de Parity. Como los fondos en realidad se congelaron, no se los robaron, el desarrollador no es presionado por los límites de tiempo, aunque algunos considerarán que el creciente descontento de los usuarios será la prueba más difícil.

Sin embargo, la mayoría de las empresas afectadas por el exploit ya han publicado declaraciones para consolar a los clientes y garantizar que, de una forma u otra, se resuelva el problema.

El multigrado utilizado por la Web3 Foundation para aceptar contribuciones para Polkadot, también establecido por Gavin Wood, fue el más grande de los afectados, poniendo el ETH en él más allá del acceso. Afortunadamente, la billetera multigrado afectada no contenía todos los fondos. Por lo tanto, la compañía afirma que su hoja de ruta original no se ha visto afectada. Todavía están en el proceso de evaluar la pérdida y buscar posibles soluciones, pero parecen bastante tranquilos y seguros del futuro.

La plataforma Iconomi y su sistema de almacenamiento también pretende ser seguro. $ 35 m se almacenaron utilizando el contrato afectado de Multigás Parity y permanecerán bloqueados hasta que se resuelva la situación. Pero todos los activos digitales de los usuarios almacenados en la plataforma son completamente seguros y el funcionamiento de la plataforma no se ve afectado. Los desarrolladores de la plataforma se mantienen positivos. Ellos declaran que el ecosistema de Ethereum ya ha demostrado ser capaz de responder rápidamente y adaptarse a desafíos inesperados.

La plataforma Cappasity también asegura alos usuarios que la plataforma y el contenido almacenado allí son seguros, y la funcionalidad de la plataforma no se ve afectada. A pesar de que los fondos recaudados hasta ahora durante su crowdsale han sido almacenados en una billetera de multigrado Parity afectada, la compañía mantiene la confianza. El crowdsale ha sido reanudado en modo regular, habiendo cambiado rápidamente a otra billetera multigrado después del ataque. Parece que Cappasity estaba completamente preparado para el desafío: los socios existentes de la compañía podrían compensar los fondos bloqueados, si fuera necesario. El equipo también realizó su propia investigación sobre el ataque, llegando a la conclusión de que hay una gran probabilidad de que se trate de un ataque deliberado (la evidencia se proporciona al final del primer informe oficial de la compañía).

En general, vemos que los jugadores líderes actuaban sabiamente, ya que no ponían todos sus huevos en una sola canasta. Esta parece ser la mejor estrategia posible, ya que Blockchain sigue siendo una industria naciente, y tiene que pasar por varios altibajos para elaborar las mejores y más seguras estrategias.

El artículo está escrito por Collis Aventinus, un experto en Blockchain en Modern Token.