Ranljivost v Parity Walletu hekerjem omogočila krajo 30 milijonov dolarjev
Matej Huš
19. jul 2017 ob 23:52:11
Podjetje Parity je sporočilo, da je v njihovi programski opremi za digitalno denarnico za kriptovalute Parity Wallet 1.5 ranljivost. Označena je z najvišjo stopnjo resnosti, to je kritično, vsem uporabnikom pa svetujejo, da sredstva nemudoma premaknejo drugam. Za nekatere je opozorilo prišlo prepozno, saj so vsaj s treh naslovov odtujili že za 30 milijonov dolarjev valute ethereuma.
To je že druga velika tatvina v svetu digitalnih kriptovalut v kratkem času. Obetavnemu start-upu CoinDash so med prvo ponudbo žetonov (ICO), kar je dandanes popularen način financiranja zagonskih podjetij z digitalnimi valutami, vdrli na spletno stran. Napadalci so spremenili naslov, ki je bil objavljen za investitorje, in vpisali svojega. Nič hudega sluteči investitorji so jim vplačali za 10 milijonov dolarjev, preden so odkrili vdor. Kaj točno je šlo narobe, še ugotavljajo, nekatere špekulacije pa kažejo na manipulacijo z DNS-strežniki. Napadalci naj bi v imenu CoinDasha kontaktirali upravljavca strežnikov in zahtevali preusmeritev strani na naslov, kamor so postavili klonirano stran z lažnim naslovom. CoinDash je sporočil, da bodo vplačila do objave vdora upoštevali, kakor da bi bila prispela.
Današnja vest pa je še bistveno resnejša, napad pa precej bolj dovršen. Kot je razvidno na Etherscan.io, so iz treh denarnic ukradli kar za 30 milijonov dolarjev ethra. Manual Aráoz špekulira, da gre verjetno za denarnice velikih projektov: Edgeless Casino, Swarm City in Aeternity blockchain. Ustanovitelj Parityja Gavin Wood je potrdil, da se je napad zgodil.
Zadnji pretresi ponujajo tudi priložnost za nove prevarante, ki bodo verjetno ljudem začeli množično sporočati, da so njihove denarnice napadene in da naj za preveritev vpišejo svoje zasebne ključe oziroma naslova. Kot pojasnjujejo strokovnjaki, je Parity Wallet v nevarnosti le, če uporabljamo multisig. Denarnica MyEtherWallet je varna, ogroženi so le tisti, ki uporabljajo Parity Wallet 1.5 z multisig, kar je na voljo od 19. januarja letos. Kdor od tedaj ni uporabljal denarnice, je načeloma varen. Vseeno pa velja biti previden in morebiti vseeno previdno prestaviti sredstva kam drugam.