У трех блокчейн-стартапов украли $34 млн из-за уязвимости кошелька Ethereum
Это второй по величине инцидент, после первого Ethereum раскололся надвое
В среду злоумышленники вывели около 153 000 единиц криптовалюты эфириум ($34 млн по вчерашнему курсу $227,18 за один эфир) у трех компаний, бизнес которых ведется с использованием технологии блокчейна. Компании держали деньги в специальном кошельке для эфириума под названием Parity, и для вывода денег злоумышленники воспользовались его уязвимостью. Программный код позволял переопределить владельца кошелька. После того как злоумышленники получили над ним контроль, им осталось лишь перевести деньги. Производитель Parity признал проблему и выпустил обновление программы.
Первая из пострадавших компаний, Aeternity (разрабатывает технологию специальных умных контрактов на технологии блокчейна), подтвердила кражу 82 000 эфиров из 102 000 единиц этой криптовалюты, которые она привлекла в ходе одного из инвестиционных раундов (см. врез). У второго проекта, блокчейн-казино Edgeless, вывели 26 793 эфира. Она также получила их от инвесторов. Третья компания – Swarm City (децентрализованная торговая площадка) лишилась 44 055 эфиров, сообщила она в своем блоге. В среду курс эфира падал до $191, но быстро восстановился.
Это второй по масштабу вывод денег в истории Ethereum (блокчейн-платформа, на базе которой создана одноименная криптовалюта), пишет исследователь Zeppelin Solutions Сантьяго Палладино. Первый приключился год назад и закончился для нее не самым лучшим образом.
В июне прошлого года проект DAO привлек $160 млн в эфирах, из которых $43,9 млн (или 3,6 млн эфиров) вывел неизвестный. Но сам злоумышленник не счел это взломом: для вывода денег он использовал умные контракты – одну из особенностей эфира, которая, например, отличает его от биткоина. Это специальные программы, которые описывают условия и результат сделок. А сами сделки и проверка выполнения их условий проходят без участия человека. Поэтому хакер нашел изъян в работе самого DAO (он платил эфиры за выполнение определенного программного кода) и воспользовался им. Он уточнял, что проконсультировался со своей юрфирмой и та заверила его, что подобный шаг полностью законен. Курс эфира тогда падал более чем на 20% – с $15,4 до $12,2.
Во что вложить криптовалюту
Первичное размещение валюты (initial coin offering, ICO) – это особый вид сбора средств компанией с использованием криптовалют, напоминающий размещение ценных бумаг на бирже. В обмен на биткоины или эфириумы вкладчики получают от компании токены – криптовалюту, которую можно обменять на продукт компании, проводящей ICO. В июне несколько крупных бирж криптовалют приостанавливали транзакции эфиров. Причина – в ажиотаже вокруг ICO стартапа Status (мессенджер на блокчейне). Проект набрал около 300 000 единиц на $100 млн, но из-за особенностей архитектуры криптовалют сеть Ethereum была не способна обработать транзакции.
Сообщество Ethereum тогда оказалось не в восторге. Казалось бы, деньги ушли безвозвратно: ведь суть блокчейна предполагает, что пользователь уверен в неизменности данных из-за того, что в каждый блок данных встраивается вычисленная контрольная сумма предыдущего, блоки выстраиваются в связанную цепь и невозможно ни изменить блок в ее середине, ни извлечь его – это неминуемо обнаружится при проверке последующих блоков. Путем специальной процедуры блокчейн в 2016 г. все же откатили назад и вернули деньги пострадавшим. Но с этим решением согласились не все. «Законность всех транзакций под вопросом – ведь если блокчейн обратим, то можно изменить любую из них», – написала группа приверженцев старых правил в «декларации независимости» альтернативной ветки блокчейна Ethereum Classic. На его базе и появилась одноименная сестринская криптовалюта. Ее капитализация, правда, сильно уступает основной ветке: $155,5 млн против $2,5 млрд.
Но в этот раз подобное не повторится, заверил в своем twitter-аккаунте создатель блокчейна Ethereum Виталик Бутерин. Тогда и сумма была больше, и сам Ethereum был менее зрелым, пишет он. Откат назад нельзя реализовать, не ущемив права независимых участников, и он маловероятен, соглашается разработчик умных контрактов на Ethereum из компании Block Notary Игорь Баринов. В отличие от прошлогоднего DAO нынешняя ошибка является тривиальной (хотя речь снова идет о легитимной возможности кошелька) и у злоумышленников есть возможность безнаказанно уйти с украденными деньгами, полагает он. Вероятность отката минимальна, соглашается старший инвестиционный аналитик венчурного фонда Runa Capital Константин Виноградов: капитализация эфира за год существенно возросла и нынешние $30 млн уже рассматриваются как локальный инцидент. Украденные деньги вернуть тоже не получится, указывает Виноградов. Для предотвращения подобных ситуаций он рекомендует пользоваться проверенным и популярным софтом (а Parity таковым, по словам Виноградова, не являлся), хранить деньги в нескольких кошельках. Они, кстати, могут быть не программными, а физическими (например, в виде флеш-карты), и тогда можно считать, что деньги в безопасности.
Представитель Ethereum в России Влад Мартынов не ответил «Ведомостям».