BTC News 24/7

Все самые свежие новости о Криптоиндустрии

Курс Bitcoin к USD

Привет, мир!

Добро пожаловать в WordPress. Это ваша первая запись. Отредактируйте или удалите её, затем пишите!

Благотворительные пожертвования в биткоинах растут

Благотворительные пожертвования в биткоинах растут

Fidelity Charitable, американский благотворительный фонд, недавно объявил, что их пожертвования в биткоинах значительно выросли – до 9 млн долларов по итогам первых двух кварталов этого…

LG запускает блокчейн-платформу на базе Corda в Южной Корее

LG запускает блокчейн-платформу на базе Corda в Южной Корее

Компания LG CNS, подразделение южнокорейского гиганта электроники LG, объявила о целенаправленном развитии блокчейн-технологий на конференции в Сеуле. Глава LG CNS представил публике финансовую блокчейн-платформу. Она базируется на…

Компания «Делойт», СНГ и платформа Waves изменят будущее блокчейна

Компания «Делойт», СНГ и платформа Waves изменят будущее блокчейна

Компания «Делойт», СНГ и блокчейн-платформа Waves — один из крупнейших разработчиков блокчейн-решений, подписали меморандум о стратегическом партнерстве. Основной задачей партнерства является предоставление клиентам комплексных решений…

Нападение на Parity: как это произошло?

Нападение на Parity: как это произошло?

Нападение на Parity: как это произошло?

Атака на популярный у многих проектов Ethereum-кошелек была осуществлена благодаря уязвимости в коде в версии Parity 1.5 и выше. Разработчик криптокошелька из Zeppelin Solutions Сантьяго Пальядино в своем блоге пошагово разобрал действия хакеров.

Киберпреступники отправили по две команды/транзакции к каждому из затронутых контрактов. С помощью первой команды хакеры получили эксклюзивный доступ к multisig-кошельку, с помощью второй — перевели средства на нужные им адреса.

Чем же была первая транзакция?Судя по записям в WalletLibrary, первая транзакция взывала к команде initWallet. Вероятно, эта команда была создана для извлечения логики конструктора кошелька в отдельную библиотеку. Идея аналогична той, что используется в шаблонах proxi-библиотек. Контракт кошелька получает такую команду и пересылает все непомеченные команды в библиотеку с помощью команды delegatecall. Таким образом, все публичные математические задачи у библиотеки могут быть вызваны кем угодно, в том числе с помощью команды initWallet, которая способна поменять собственника контракта. В свою очередь команда initWallet не защищена от того, чтобы кто угодно мог ее инициировать. В случае с Parity хакер обнаружил эту уязвимость и изменил переменную в коде контракта, в которой указывались собственники контракта, а также изменил требования к подтверждению транзакций, сократив число подтверждений до одного. После этого он отправил все средства на счет, контролируемый злоумышленником. Команда была авторизована автоматически, поскольку злоумышленник значился уже единственным владельцем multisig-кошелька.

cryptoadmin

Следующий пост

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

code

Яндекс.Метрика