Devops199
Unos 587 monederos digitales han sido congelados desde el 6 de noviembre, cuando un usuario no identificado borró accidentalmente la biblioteca de códigos necesaria para utilizar los monederos recién creados dentro de Parity Technologies, un popular proveedor de los mismos.Una auditoría oficial de Parity descubrió que exactamente 513.774,16 ether fueron congelados como resultado del código borrado, dijo la compañía el lunes. Esa cantidad de éter tenía un valor de unos 162 millones de dólares al cierre de esta edición. Unos 573 titulares de carteras se vieron afectados por la criptomoneda congelada. Puede que eso no suene bien, pero los investigadores estimaron inicialmente que el problema era mucho peor, afectando potencialmente hasta 280 millones de dólares de ether. Sin embargo, Parity ha negado desde el principio estas estimaciones. «Esta es una oportunidad de aprendizaje (aunque dolorosa) para nuestra compañía, para nuestros colaboradores y para la comunidad que está con nosotros», dijo la compañía en un comunicado. Y continuaba: «De cara al futuro, (…) trabajaremos junto a la comunidad para hacer que la infraestructura principal sea más segura».
Técnicamente, las bifurcaciones duras no son tan difíciles de hacer; para la mayoría de los usuarios parecerían una actualización de software. Pero pueden ser controvertidos dentro de las comunidades de blockchain. Algunos entusiastas temen que las bifurcaciones frecuentes comprometan la integridad y el apoyo externo a Ethereum y reduzcan potencialmente el valor de ether.Los desafíos de una bifurcación dura «son más de naturaleza política que técnica», dijo Swende a EthNews. Parity está contemplando la posibilidad de presionar para que la bifurcación dura se incluya en una próxima actualización de seguridad denominada EIP156 que ya cuenta con un amplio apoyo.
El hack de ethereum
30 millones de dólares: Ether reportado como robado debido a una brecha en la cartera de ParityLa compañía de codificación de contratos inteligentes Parity ha emitido una alerta de seguridad, advirtiendo de una vulnerabilidad en la versión 1.5 o posterior de su software de cartera.
Hasta el momento, la compañía ha informado del robo de 150.000 ethers, por valor de 30 millones de dólares, datos confirmados por Etherscan.io. Según ha informado la startup, el problema es el resultado de un fallo en un contrato específico de múltiples firmas conocido como wallet.sol. Sin embargo, los datos sugieren que el problema fue mitigado, ya que 377.000 éteres que eran potencialmente vulnerables al problema fueron recuperados por hackers de sombrero blanco.
En las redes sociales, notables especialistas en blockchain ya están opinando sobre la situación, con el creador de Proof of Existence, Manual Araoz, sugiriendo que las direcciones comprometidas podrían pertenecer a notables propietarios.
Hackeo del juego parity
Hace unos días la firma Parity Technologies fue noticia porque alguien ha activado accidentalmente una vulnerabilidad en la popular Parity Wallet que bloqueó 280 millones de dólares en Ether, incluyendo 90 millones de dólares recaudados por el fundador de Parity Technologies, Gavin Woods.
Parity Technologies, que está detrás de la popular Parity Wallet de Ethereum, anunció el incidente que fue causado por una grave vulnerabilidad en sus carteras «multifirma» creadas después de este 20 de julio. Los propietarios de las carteras afectadas no podrán mover sus fondos.
«Tras la corrección del problema original de multi-firma que había sido explotado el 19 de julio (visibilidad de la función), el 20 de julio se desplegó una nueva versión del contrato de la biblioteca de Parity Wallet. Sin embargo, ese código seguía conteniendo otro problema: era posible convertir el contrato de la biblioteca Parity Wallet en un monedero multi-sig normal y convertirse en su propietario llamando a la función initWallet. Parece que ese problema se desencadenó accidentalmente el 6 de noviembre de 2017 02:33:47 PM +UTC y, posteriormente, un usuario suicidó la biblioteca convertida en cartera, borrando el código de la biblioteca que, a su vez, hizo que todos los contratos multisig fueran inutilizables, ya que su lógica (cualquier función de modificación de estado) estaba dentro de la biblioteca.»
Hackeo de la paridad de wingo
Hoy hemos sido testigos del segundo mayor hackeo, en términos de ETH robados, en la historia de la red Ethereum. A partir de las 12:19 pm UTC, ([la cuenta del atacante]https://etherscan.io/address/0xb3764761e297d6f121e79c32a65829cd1ddb4d32#internaltx) había drenado 153.037 ETH de tres contratos multi-sig de alto perfil utilizados para almacenar los fondos de las ventas de tokens anteriores. El problema fue reportado inicialmente por el equipo de Parity, ya que el contrato de cartera MultiSig afectado era parte de la suite de software de Parity.
Esta función fue probablemente creada como una forma de extraer la lógica del constructor del monedero en una biblioteca separada. Esto utiliza una idea similar al patrón de bibliotecas proxy del que hablamos en el pasado. El contrato del monedero reenvía todas las llamadas a funciones no coincidentes a la biblioteca usando delegatecall, en la línea 424 de Wallet:
Esto hace que todas las funciones públicas de la biblioteca puedan ser llamadas por cualquiera, incluyendo initWallet, que puede cambiar los propietarios del contrato. Desafortunadamente, initWallet no tiene comprobaciones para evitar que un atacante lo llame después de que el contrato haya sido inicializado. El atacante aprovechó esto y simplemente cambió la variable de estado m_owners del contrato a una lista que contenía sólo su dirección, y que requería sólo una confirmación para ejecutar cualquier transacción:
