Tags:
Node Thumbnail

Parity Wallet กระเป๋าเงินสำหรับ Ethereum ที่มีความสามารถในการสร้างกระเป๋าเงินแบบหลายลายเซ็น มีช่องโหว่เมื่อโค้ดกระเป๋าเงินเปิดทางให้แฮกเกอร์สามารถโอนเงินออกจากกระเป๋าไปได้

โค้ด Solidity ที่ Parity Wallet สร้างขึ้นมีฟังก์ชั่น initMultiowned และ initDaylimit โดยไม่ได้จำกัดการใช้งานเอาไว้ ทำให้แฮกเกอร์สามารถเรียกฟังก์ชั่นนี้และกำหนดให้กระเป๋าเงินกลายเป็นกระเป๋าของตัวเองได้ ตอนนี้โค้ดเวอร์ชั่นล่าสุดกำหนดให้เป็น only_uninitialized แล้ว

สำหรับผู้ใช้ Ethereum ทั่วไปหรือแม้แต่ผู้ใช้ Parity Wallet ที่ไม่ได้สร้างกระเป๋าเงินแบบหลายลายเซ็นไม่ได้รับผลกระทบจากช่องโหว่นี้

ตอนนี้มีรายงานเงินถูกขโมยแล้ว 150,000 ETH หรือประมาณหนึ่งพันล้านบาท ทาง White Hat Group สแกนดู Ethereum แล้วพบบัญชีที่มีช่องโหว่แบบเดียวกันรวมเป็นเงิน 377,000 ETH จึงนำเงินทั้งหมดไปเก็บไว้ในบัญชี 0x1dba1131000664b884a1ba238464159892252d3a และจะนำเงินคืนเจ้าของต่อไป

การแฮกด้วยช่องโหว่ในโค้ดของ Contract ใน Ethereum เคยเกิดขึ้นร้ายแรงที่สุดคือ DAO ที่เงินหายไปถึง 3.6 ล้าน ETH

ที่มา - The Register, Reddit

alt="upic.me"

Get latest news from Blognone

Comments

By: nessuchan
iPhoneAndroidWindows
on 20 July 2017 - 13:41 #998801
nessuchan's picture

กลุ่ม White hat น่านับถือมาก

By: sonkub
AndroidWindows
on 20 July 2017 - 14:03 #998807

คนที่โดน น่าจะนอนกันไม่หลับละตอนนี้
ไม่รู้ Parity Wallet จะชดเชยยังไง

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 24 July 2017 - 08:13 #999215
KuLiKo's picture

นี่แหละข้อเสียของกระเป๋าเงินดิจิตอล ต้องแก้ปัญหาระยะยาวให้ได้