Parityライブラリ自己破壊、何が起きたか、どう防げたか

f:id:CoffeeTimes:20171116005613p:plain

Parityのバグについて昨日、凍結された資金を持つPolkadotの見解を書きました。

そして今日、Parity側の見解がでました。

以下になります。

 

ーーー

116 02:33:47 UTC)にParityマルチシグウォレットの「ライブラリ」スマートコントラクトコードに脆弱性が匿名ユーザによって発見されました。

 

このユーザは脆弱性を利用し、自らをライブラリコントラクトのオーナーとなったのちち、このコンポーネントを破棄しました。Parityのマルチシグウォレットはこのコンポーネントに依存しているため、合計513,774.16 Ether(およそ190億円)および他のトークンを保持する587個のウォレットがブロックされました。ライブラリコンポーネントを破棄した後、ユーザ名「devops199」と名乗るアカウントはgithubにこの内容をあげました。https://github.com/paritytech/parity/issues/6995

 

パリティウォレット(UI)の他のすべての機能には、同様の脆弱性はありません。(

スタンダードのアカウント、非マルチシグアカウントにもありません)

 

影響を受けたユーザには連絡しており、まだ届いていない場合はcommunity@parity.ioまでご連絡ください。この問題が、プロジェクト・資金の将来に対して不安を抱かせてることを認識していて、実行可能な策を模索する努力をしています。

悪用が行われて以来、チーム全体で多くの議論や分析を行ってきました。この記事では、問題に関連する要因を明らかにし、質問や苦情への対応を書いていきます。

 

 

ウォレットのライブラリは監査されていなかったのか?

オリジナルの “Foundation” マルチシグウォレットコードは、Ethereum Foundationの開発チーム(



via : http://coffeetimes.hatenadiary.jp/entry/2017/11/16/005652