В Parity-Ethereum и OpenEthereum обнаружен критический баг

В популярном кошельке для Ethereum от Parity Technologies найдена серьёзная ошибка. Уже выпущены два патча с её исправлениями, пользователей призывают скорее обновиться.

 

Миф о приватности биткоина давно развенчан. На страже анонимности стоят такие криптовалюты, как Monero, Dash, Verge и Zcash (именно ее Эдвард Сноуден выделил как самую интересную криптовалюту из-за «действительно уникальных» характеристик приватности).

«Король» не страдает из-за такого распределения ролей — его верноподданные ценят его за другие качества. Кроме того, множество биткоин-миксеров, приложений для анонимизации, которые «перемешивают» монеты из различных транзакций и отправляют нужное количество монет (уже никак не привязанных к вашему кошельку) по указанному адресу, позволяют достигать высокого уровня анонимности даже при использовании биткоина.

Однако криптовалюта Ethereum все очевиднее занимает другую позицию в вопросе приватности, и это отчасти связано со спецификой его применения. Сегодня на блокчейне Ethereum работает 1763 децентрализованных приложения, многие из которых заинтересованы в приватности транзакционных данных.

В феврале 2020 года был сформирован консорциум Enterprise Ethereum Alliance (EEA), одна из главных задач которого — приспособить публичный блокчейн Ethereum для корпоративного использования. В начале мая EEA представил первые результаты работы — стандартизированную архитектуру Ethereum-приложений.

Тогда же исполнительный директор консорциума Рон Ресник рассказал, что «крупнейший внутренний спор» в EEA происходил вокруг аспекта приватности, а именно вокруг того, какое количество информации следует передавать в каждом конкретном случае.

 

Читайте также:  Блокчейн технологии в России, возможности и интеграция

 

Один из членов консорциума, финансовый холдинг JPMorgan Chase, внедрил в свой корпоративный блокчейн протокол доказательства с нулевым разглашением — Zero Knowledge Proof — который лежит в основе криптовалюты Zcash. EEA пока не представил стандартизированные механизмы для защиты приватности:

«Есть различные способы для реализации этой идеи: это может происходить в основной сети или оффчейн — или и там, и там», — сказал Ресник, также отметив, что JPMorgan активно участвует в разработках.

Тем временем еще 5 проектов готовы предложить Ethereum свои услуги по повышению приватности.

Секретное хранилище Parity

Второй по популярности клиент Ethereum — Parity — в мае представил функционал приватных транзакций, которые позволяют создавать зашифрованные смарт-контракты. Такие транзакции обладают характеристикой эксклюзивности, то есть доступ к их состоянию имеет лишь ограниченный круг одобренных участников, между которыми распределены ключи.

«Приватные транзакции по сути являются смарт-контрактами: и код, и состояние которых зашифрованы. Сначала транзакция отправляется оффчейн определенному количеству валидаторов (установленных контрактом), и все они должны прийти к соглашению относительно нового состояния, затем вы берете новое зашифрованное состояние с подписями всех валидаторов и обновляете состояние ончейн.

Разделение ключей осуществляется через криптографическую схему, которая позволяет ряду сторон… безопасно получать части ключа из места, которое мы называем секретным хранилищем», — пояснил разработчик Parity на Reddit.

Вывод в ончейн позволяет работать с контрактом в реальной основной сети, при этом не раскрывая его данные и состояние всем пользователям блокчейна. Ютта Штайнер, CEO Parity Technologies, отмечает, что новое ПО шифрует и хранилище, и код смарт-контракта, то есть при условии, что вы доверяете выбранным держателям ключа, «оно обеспечивает приватность любой транзакции, которую контракт моделирует и выполняет».

В мае Штайнер сообщала, что ПО секретных хранилищ уже тестируется в рамках партнерства с международной фармацевтической компанией, которая использовала его в цепочках поставок. А 25 июля Parity опубликовали руководство, описывающее, как настроить секретное хранилище с использованием трех нод.

«Я верю, что блокчейн силен сам по себе, но он становится еще интереснее, когда вы сочетаете его с другими криптографическими технологиями, позволяющими создать этот наконец-то идеальный анонимный компьютер, глобальный компьютер, на который вы можете положиться и который [при этом] быстрый», — сказала Штайнер в разговоре с Coindesk.

Ошибка в кошельке Parity заморозила монеты Ethereum на $150 миллионов

6 ноября пользователь devops199 написал в github Parity: «Я случайно его убил»:

Речь шла о MultiSig кошельке Parity. Давайте разберемся кого убили, кто виноват и что делать…

Что такое кошелек Parity?

Parity — довольно популярный неофициальный кошелек. На официальном сайте https://parity.io/ написано, что это «самый быстрый и наиболее защищенный способ работы с блокчейном Ethereum». Быстрый — да, но вот с защитой, похоже, проблемы… Если вы еще хотите установить Parity — вот инструкция.

В отличие от медленного официального клиента geth, Parity намного быстрее синхронизирует блокчейн, например его часто используют майнинг-пулы. Подробнее про отличия geth и Parity.

Что такое MultiSig-кошелек?

MultiSig кошелек — это смарт-контракт (программа в сети Ethereum), которая дает доступ к средствам сразу нескольким пользователям. Подробнее про смарт-контракты. В MultiSig кошельках прописываются такие параметры, как:

 

Читайте также:  Честные отзывы о eToro или Сбербанк что-то знает

 

  • Список пользователей, имеющих доступ к выполнению транзакций (переводов).
  • Правила, указывающие сколько человек должны подписать транзакцию для ее выполнения.
  • Способ подтверждения и отправки запроса в сеть Ethereum и т.д.

Например, 3 совладельца компании держат общий счет. Они могут договориться, что подписей двух человек достаточно, для отправки денег. Это очень удобно, ведь никогда не надо ждать третьего, да и потом кто-то может случайно потерять или забыть свой ключ…

Кстати, в случае MultiSig кошелька, мошенникам намного сложнее действовать, ведь украсть ключ одного пользователя будет недостаточно.

Очень часто для создания кошельков с мультиподписью используется программное обеспечение Parity, в частности, многие компании, которые проводят ICO используют MultiSig кошелек Parity. Подробнее про работу MultiSig кошельков.

Что произошло?

Комментарий специалиста в области смарт-контрактов Вячеслава Карпенко:

Если говорить простым языком: все кошельки Parity использовали одну и ту же внешнюю библиотеку (смарт-контракт). Сначала эту библиотеку «поимели» тем, что можно было ее вызвать из кошелька, переопределив владельца. Компания сделала новую библиотеку, но у нее наружу торчал вызов самоуничтожения. И некто случайно (или не случайно) отправил библиотеке эту команду… В результате все кошельки, что использовали библиотеку остались без библиотеки! Соответственно средства на них скорее всего навсегда потеряны.

На самом деле библиотеке забыли определить владельца после того, как выпустили новую версию, в результате некий «экспериментатор» сначала сделал себя владельцем, а потом приказал ей самоуничтожиться…

19 июля 2020 года была обнаружена первая уязвимость в MultiSig кошельке Parity. Тогда злоумышленник украл 153 000 ETH (± $30.5 млн. на то время). Компания Parity объявила о «критическом» уровне угрозы и попросила всех пользователей кошелька отправить ETH на другие безопасные адреса.

6 ноября 2020 года история повторилась. «Заплатка», которая была сделана, оказалась ненадежной. В этот раз деньги были не украдены, а заморожены навсегда! Всего 513 000 ETH (более $150 млн). Parity опять объявила «критический» уровень угрозы: «Мы анализируем данный вопрос и скоро предоставим детальное пояснение сложившейся ситуации».

Как мы писали в своем канале Telegram:

Представьте, что в центре города (например, на Красной Площади в Москве) находится огромное хранилище денег. И вот подходит к нему парнишка и жмёт красную кнопку, которая отправляет деньги в другое измерение. Теперь их все видят, но никто никогда не сможет их взять. Все знали, что такая кнопка есть, но никто никогда и не думал её нажимать, т.к. не предполагали, что разработчики не повесили на неё замок…

Кто потерял монеты Ethereum?

Полный список контрактов, средства которых были заморожены доступен в Google Docs. В основном это ETH компаний, которые проводили ICO!

Больше всех потерял стартап Polkadot — https://polkadot.io/ По предварительной информации, не менее 306 000 ETH ($92 млн)!

Другой проект Musiconomi — https://musiconomi.com/ Потерял более 16 000 ETH ($5 млн).

Iconomi — https://www.iconomi.net/ Потерял чуть менее 115 000 ETH ($34 млн).

 

Читайте также:  Стратегия усреднения в торговле — советы по ее использованию

 

Будут ли разработчики ETH исправлять ошибку?

Дело в том, что ошибку исправить не так просто. В интервью Coindesk Martin Holst Swende глава отдела безопасности Ethereum Foundation сказал, что единственным вариантом спасения замороженном Эфира может стать хард-форк.

В сети сразу начали обсуждать: будут ли разработчики выполнять очередной форк эфира, чтобы исправить ошибку и разморозить средства. Есть вероятность, что теперь нас будет ждать новый Ethereum Classic.

Комментарий создателя Ethereum Виталика Бутерина:

«Я сознательно воздерживаюсь от комментариев по вопросам кошельков…»

Иными словами: «Сами виноваты, мы не будем исправлять ваши ошибки».

Очевидно, Parity стоит изменить слоган на заглавной странице.

Выводы

  1. Данное событие может в очередной раз подорвать авторитет ICO на платформе Ethereum.
  2. Как теперь жить тем стартапам, которые потеряли все свои средства? Вероятно, эти проекты обречены.
  3. Жизнь ничему не учит разработчиков Parity. Кстати, создатель LTC Charlie Lee еще после июльского провала написал, что Ethereum — рай для хакеров.
  4. ETH — скам. Бежим продавать Эфир. Или нет? Вообще, если подумать, только что произошло изъятие монет из обращения. При общем количестве 95 596 498 ETH было навеки заморожено 0.5%. Немало. А если посмотреть на криптовалютные биржи, то у ETH, как всегда, День Сурка… 1ETH=300$

Подписывайтесь на наш канал в Telegram: там идут ссылки на новые статьи, а также небольшие новости и заметки (иногда еще веселые картинки).

P.S. Фраза «I accidentally killed it.» уже стала легендой, даже футболки выпускают.

Секретные контракты Enigma

Enigma — протокол приватности для создания децентрализованных приложений с функционалом секретных контрактов, который позволяет делиться чувствительной информацией с третьими сторонами, не ставя данные под угрозу и защищая их от правительственной слежки или разоблачения в результате хакерской атаки или утечки.

Сооснователь Enigma Кан Кисагун считает, что Ethereum-стартапы, развивающие решения в сфере голосования, геолокации, соцмедиа и идентичности, страдают от радикальной прозрачности блокчейна, тогда как технология Enigma «позволяет создавать по-настоящему децентрализованные безопасные приложения, решая проблему приватности».

По мнению членов проекта, «критически важным компонентом для успеха “смарт-экономики” и блокчейна» является способность децентрализованных приложений анализировать данные, сохраняя их полностью приватными.

Решение, предлагаемое Enigma, — это решение второго уровня, оффчейн-сеть с использованием «секретных контрактов», которые скрывают данные от нод сети. В механизме секретных контрактов реализована концепция «безопасных вычислений» — набор технологий, позволяющий производить вычисления с использованием зашифрованных данных.

«Это можно представить как черный ящик. Вы отправляете любые данные, они попадают в черный ящик, а обратно выходит только результат. Настоящие данные никогда не разглашаются — ни вовне, ни компьютерам, которые осуществляют вычисления внутри», — рассказывает Гай Зюскинд, сотрудник Медиа-лаборатории MIT и CEO Enigma.

Enigma шифрует данные, расщепляя их на несколько компонентов и рандомно распределяя их по сотням нод сети. Затем каждая нода выполняет вычисления на основе полученного ею блока данных, и в итоге только сам владелец данных может объединить результаты вычислений, расшифровав их с использованием ключа дешифровки.

Оз Натан, участник команды Enigma, считает, что гарантированная приватность будет стимулировать пользователей приложений раскрывать больше личной информации:

«Никто не хочет отдавать свои данные какой-то компании, не зная, что они будут делать с ней», — говорит Натан.

Секреты с временной блокировкой

Kimono — это проект приватности, который стремится совместить шифрование с теорией игр. Он был создан в мае, на 36-часовом Ethereum-хакатоне, прошедшем в Аргентине.

Kimono использует схему разделения секрета Шамира — криптографический алгори, который позволяет делить информацию между участниками так, что расшифровка возможна при объединении данных от всех участников, и сочетает ее с системой стимулов, которая отвечает за то, чтобы участники раскрывали данные в установленное время. Если пользователи пытаются обмануть систему, подделав данные или раскрыв их слишком рано, они штрафуются.

«Мы считаем концепцию временно́й блокировки важным примитивом (базовый элемент, использующийся для построения более сложных решений), и мы хотели бы усовершенствовать ее и довести до такого уровня, когда она будет действительно децентрализованной и бестрастовой», — сказал Феридан Мерт Целеби, один из создателей Kimono.

По его мнению, схема стимулов может быть расширена так, чтобы время было не единственной переменной, которая «высвобождает» секрет: он также может раскрываться после определенного события или после ряда условий, выполненных на блокчейне.

В настоящий момент ПО запущено в тестовой сети Ethereum — Rinkeby.

EIP 1024

Предложение по усовершенствованию Ethereum EIP 1024 принадлежит разработчику Топу Алаби и представляет собой еще один способ шифрования данных.

«EIP 1024 позволяет генерировать пару ключей шифрования, используя ваш приватный ключ Ethereum. Затем эта новая пара ключей шифрования может использоваться для безопасной пересылки данных на любой Ethereum-адрес», — рассказал Алаби в разговоре с CoinDesk.

При этом, в случае принятия этого предложения, оно будет распространять свое влияние на всю сеть Ethereum.

«Это означает, что разработчики приложений не должны беспокоиться о том, чтобы разрабатывать механизмы для различных реализаций шифрования — они могут просто заниматься своим приложением», — говорит Алаби.

По его мнению, решение проблемы приватности обеспечит приток «следующего миллиарда пользователей на блокчейн»:

«В мире блокчейна, где ваши публичные и приватные ключи по сути являются вашей цифровой идентичностью, необходим способ передавать чувствительную информацию так, чтобы она не могла подвергаться цензуре со стороны какого-либо централизованного органа», — подчеркивает Алаби.

Как открыть MyEtherWallet

MyEtherWallet — это самый удобный ETH кошелек, способный заключать смарт контракты. Таким образом, неудивительно, что большинство людей используют его для хранения своих токенов.

Это онлайн-кошелек, но он также предоставляет поддержку автономного и аппаратного кошелька, что означает, что пользователи могут создавать приватные ключи для различных способов хранения Ethereum. Это делает его отличным универсальным кошельком.

 

Читайте также:  Топ самых популярных криптовалют, кроме Биткоина. Как технология или инвестирование

 

Вот как открыть кошелек MyEtherWallet:

1. Перейдите на сайт https://www.myetherwallet.com/create-wallet и зарегистрируйтесь.

Вас встретят несколько напоминаний о безопасности и возможность создать новый кошелек. Выбираем «By Keystore File».

2. Создайте пароль.

Используйте комбинацию букв, цифр и символов, чтобы сделать его максимально сложным. Незамедлительно запишите свой пароль и, если возможно, сделайте несколько копий записи. Затем нажмите «Далее».

3. Загрузите и сохраните файл хранилища ключей (keystore).

Сделайте это по соображениям безопасности. Как известно, в криптовалюте никогда не должно быть слишком много мер предосторожности.

Смотрите статью: Как обезопасить свои крипто-инвестиции

Сохраните файл хранилища ключей в безопасном месте и нажмите «Продолжить».

Сохранив ключ в безопасном месте, мы видим окошко, говорящее что кошелек создан успешно.

4. Используйте свой файл хранилища ключей, чтобы открыть свой кошелек.

Есть много способов разблокировать ваш кошелек, но для простоты давайте придерживаться только что полученного файла — файла хранилища ключей (keystore). Выберите и вставьте свой закрытый ключ или загрузите файл хранилища ключей, чтобы разблокировать свой кошелек.

Вводим пароль.

6. Получаем номер кошелька

Когда вы войдете в систему, сервис предложит вам выбрать сеть, монету (например Ethereum или любой другой ERC-20 токен) и номер кошелька (адрес для взаимодействия).

Ставим галочку, соглашаемся с условиями.

7.Поздравляем, вы только что открыли свой полнофункциональный кошелек Ethereum. В следующий раз, когда вы захотите получить к нему доступ, зайдите на сайт www.myetherwallet.com , нажмите «Просмотр информации о кошельке» в правом верхнем углу и снова авторизуйтесь.

Теперь осталось только наполнить ваш кошелек. Если у вас уже есть некоторые токены, то отправьте их на ваш публичный адрес.

Рекомендуется сначала отправить малую сумму для проверки того, что все приходит.

Понравилась статья? Поделиться с друзьями: