Violação do Ethereum Multisig Continua Causando Devastação

Explodiu ontem a notícia de uma violação maciça do sistema Ethereum, permitindo que hackers roubassem mais de 83,000 ETH (cerca de US$ 18 milhões) de três grandes carteiras multisig e os depositassem em uma única carteira.

Conforme relatado anteriormente pela Cointelegraph, a violação foi interrompida por um alerta de um grupo de hackers white hat que imediatamente drenou um número substancial de outras carteiras vulneráveis, protegendo mais de US$ 85 milhões em ETH.

Vulnerabilidade Multisig

O hacker explorou uma falha pouco conhecida no pacote de software do Parity que afeta o contrato de carteira multisig.

O hacker conseguiu enviar duas transações para cada um dos contratos e drenar todo o conteúdo.

A primeira transação, chamada initWallet, foi usada para que todas as funções públicas da biblioteca fossem chamáveis por qualquer pessoa usando delegatecall, incluindo initWallet, que então permitiu que o hacker alterasse o proprietário do contrato.

Os hackers então fizeram seu endereço o único proprietário e exigiam apenas uma confirmação para executar qualquer transação. Finalmente, eles puderam simplesmente enviar uma transação para uma carteira de sua exclusiva propriedade, e drenar todo o conteúdo da carteira.

O hack poderia ter sido evitado simplesmente não usando a função 'delegatecall' para permitir que todas as funções da biblioteca sejam invocadas externamente na carteira.

Impactos

As três carteiras escorridas pertenciam ao Edgeless Casino, æternity and Swarn City. Todos os três emitiram comunicados de imprensa indicando o impacto do hack.

O Edgeless Casino confirmou a perda de 26 793 ETH (US$ 5,6 milhões) que estão nas mãos do hacker. No entanto, o Edgeless procurou acalmar os ânimos, explicando sua política de diversificação após a ICO. O lançamento da plataforma ocorrerá como prometido no terceiro trimestre deste ano, no entanto, como medida de proteção, os jogadores serão forçados a comprar tokens da EDG para pagar em vez de ter permissão para jogar diretamente com a ETH.

A æternity também emitiu um comunicado de imprensa, detalhando suas perdas específicas (82K ETH) e também garantindo aos investidores que o lançamento do projeto continuará de acordo com o plano. A empresa também empregou uma ampla estratégia de diversificação com BTC e outras carteiras para proteger os fundos necessários para operações comerciais. Uma atualização no site, no entanto, afirmou:

"Juntamente com o advogado da æternity, contatamos as autoridades da polícia de Liechtenstein e apresentamos acusações. A polícia enviará o assunto à Interpol ".

A Swarn City afirmou que também sofreram uma perda total de 44.055 ETH. A empresa não abordou outros fundos disponíveis para o lançamento do projeto, embora eles reafirmaram seu compromisso de desenvolver a cidade de Swarn, afirmando:

A equipe da Swarm City Core está mais comprometida do que nunca com o desenvolvimento do Swarm City. O valor real de nosso token reside na comunidade e a tecnologia que os desenvolvedores estão criando. Os hackers black hat, vulnerabilidades e bugs não nos impedirão de criar a economia de compartilhamento descentralizada, nossa comunidade e o mundo anseia.

As três empresas estão em conjunto considerando quais ações tomarão contra Gavin Woods, o desenvolvedor por trás das carteiras efetuadas.

Tiro de advertência

O enorme hack está sendo visto por muitos como um tiro de advertência. A complexidade do sistema Ethereum, embora talvez seja o maior benefício, também apresenta riscos maciços para os fundos dos usuários. De acordo com Santiago Palladino da Zeppelin solutions:

"Este ataque, no entanto, deixa claro que é necessário um conjunto de melhores práticas e padrões no ecossistema Ethereum para garantir que esses padrões de codificação sejam implementados efetivamente e com segurança. Caso contrário, o bug mais inocente pode ter consequências desastrosas".

A comunidade Ethereal precisará criar novas formas de prevenir tais violações e proteger sua base de usuários se continuarem a obter suporte entre os grupos de criptomoedas. Esta brecha mais recente questiona a opinião de muitos que o Ethereum irá ultrapassar o Bitcoin como o veículo de escolha.