Ранее блог "Post-mortem" писал, что владелец криптокошелька "Parity", а именно компания Parity Technologies Ltd была предупреждена о программной ошибке Эфириума, которая в итоге сейчас привела к "заморозке" денежных средств на сумму в 212 млн долл. США.
Действительно поставщик программного обеспечения для криптовалютного кошелька компания Parity Technologies знала об уязвимости из-за которой было заморожено эфиров на общую сумму 212 млн и причём знала ещё в этом августе.
Как ранее сообщал британский ресурс специализирующийся на кибербезопасности "SC Media UK" заморозка средств произошла из-за случайных действий в кошельке Parity пользователя под ником Devops199, которому удалось создать из проблемной библиотеки (смарт-контракта) обычный кошелёк с мультиподписью, что имело своим результатом просто разрушительные последствия для большинства пользователей этого сервиса Parity.
И как ранее и сообщалось в блоге "post-mortem", сама компания признает, что пользователь популярного сервиса GitHub под псевдонимом "3esmit" ещё 3 августа этого года советовал компании изменить функцию initWallet, устанавливающую контроль над библиотекой, но сервис якобы не успел это сделать.
И вот согласно недавнего заявления компании Parity Technologies: "Соответственно, мы внесли предложенное ранее улучшение в библиотеку, которое запустилось бы автоматически, с помощью вызова функции initWallet. Выполняя ранее полученную рекомендацию, измененный код должен был быть запущен в регулярном обновлении в будущем".
Эта компания также заявила, что было только 2 способа избежать этого вредоносного кода. Под этим, в первую очередь подразумевается, что код смарт-контракта не включал в себя функциональные возможности для самоубийства или убийства бага (программной ошибки).
"Другой путь был для инициализации кошелька, который и был выбран, как было ранее предложено пользователем "3esmit" и это либо автоматическая инициализация посредством изменения кода и повторного запуска, либо инициализация вручную по контракту, запущенному этом в июле", - так следует из сообщения компании.
Компания также добавила, что они регулярно использует внешних аудиторов для проведения официальных аудитов смарт-контрактов контрактов, которые пишут их разработчики.
"Однако, вместо того, чтобы просто проводить больше аудитов, мы твердо убеждены в том, что для обеспечения большей безопасности кошельков потребуются более обширные и формальные процедуры и инструменты для запуска, мониторинга и тестирования контрактов. Мы считаем, что вся экосистема кошелька Parity в целом срочно нуждается в таких процедурах и инструментах для предотвращения повторов таких проблем в будущем, в частности, когда число и сложность смарт-контрактов увеличивается".
Parity Techolohies Ltd заявила, что глубоко сожалеет о том что случилось ранее и в настоящее время работает над несколькими предложениями по улучшению Ethereum (это так называемый EIP), что в итоге поможет разблокировать замороженные средства на кошельках. "Эти предложения по улучшению также будут касаться общих случаев блокированных средств".
Компания также предупредила, что у неё нет временного графика, что когда эти предложения по улучшению могут быть точно реализованы.
«Мы будем следовать воле сообщества нашего кошелька и проходить через обычный процесс EIP и это также касается любого другого усовершенствования протокола. Parity Technologies будет заниматься большой частью работ по разработке этих предложений и конструктивно работать с командой Фонда Развития "Ethereum" и сообществом в направлении дальнейшего усовершенствования уровня протокола", - говорится в сообщении.
Господин Старк Ридизель (Stark Riedesel), консультант по вопросам безопасности в компании Synopsys заявил нашему изданию "SC Media UK", что, по возможности, крупные суммы криптовалюты всегда должны храниться в простых кошельках, а не на кошельках смарт-контрактов.
"Это связано с тем, что простые кошельки не имеют прикрепленного к ним кода и, следовательно, представляют собой гораздо меньшую поверхность для атаки. Кошельки на смарт-контрактах, которые могут содержать большие суммы денег, должны быть тщательно проверены на предмет безопасности. Нынешнее отсутствие передового опыта и инструментов безопасности делает проверку довольно сложным и ручным процессом. Вероятно в будущем у нас может появиться сообщество защищенных библиотек (смарт-контарктов), но сегодня созданные сообществами библиотеки ещё недостаточно проверены", - заключил он.
Перевод специально для mmgp.ru
источник
https://text.ru/antiplagiat/5a12f95a5cb6b