an image on a post on parity

Apa itu Parity wallet?

Parity Multisig wallet dilancarkan sebagai kontrak Ethereum, dan direka bentuk untuk mengurus aset kripto dan memerlukan kebenaran daripada beberapa pemilik wallet tersebut. Wallet jenis ini (multisig) kebiasannya menetapkan had mengeluarkan aset harian, undi untuk mengeluarkan aset, undi untuk pemindahan hak milik, dan sebagainya. Parity wallet dicipta oleh Gavin Woods, yang juga pengasas dan CTO Ethereum. Gavin menubuhkan EthCore, sebuah organisasi non-profit yang membuat software untuk infrastruktur Ethereum, yang kini dikenali sebagai Parity Technologies.

Apa yang membuatkan Parity wallet pilihan yang popular dalam kalangan komuniti matawang kripto adalah kebolehan pengguna untuk akses fungsi wallet Ether dan token lain, pada masa sama berinteraksi dengan smart contract yang dilancarkan di platform Ethereum. Parity wallet juga boleh digunakan di sistem Ubuntu, OSX, Docker dan Windows.

Pada bulan Julai yang lalu, seorang penggodam mengeksploitasi kod dalam kontrak Parity wallet dan berjaya mencuri Ether yang bernilai dalam USD$30 juta pada waktu itu. Berikutan kejadian itu, Parity wallet telah mengeluarkan versi baru library, iaitu pangkalan data yang menyimpan elemen-elemen asas dalam kontrak, termasuk withdraw function yang membolehkan simpanan dikeluarkan. Semua Parity Multisig wallet yang baru dan dikeluarkan selepas 20 Julai akan merujuk kepada library itu.

Serangan terbaru

Namun begitu, kontrak baru itu didapati mempunyai kecacatan dalam kod keselamatannya. Pada 7 November, akaun Twitter Parity Technologies mengeluarkan tweet mengenai seorang pengguna yang mengeksploitasi isu tersebut dan mengeluarkan kod library.

Menurut Parity dalam kenyataan berkaitan, “…kontrak library Parity wallet boleh diubah menjadi Multisig wallet dan pengguna boleh menjadi pemiliknya dengan menggunakan initWallet function“. Dan itu adalah apa yang berlaku. Dalam kenyataan yang sama Parity menerangkan bahawa isu itu muncul tiba-tiba pada 6 November, dan sejurus selepas itu, penyerang tersebut ‘membunuh’ kod tersebut, menghilangkannya dan menyebabkan keseluruhan kontrak multisig (withdraw function) tidak boleh digunakan, memandangkan ia di dalam library yang sudah lenyap. 

Selepas itu, penyerang cuba mencari beberapa multisig wallet untuk menukar senarai pemilik dan mengeluarkan simpanan dalamnya, seperti apa yang berlaku semasa serangan bulan Julai yang lalu.

Kesan serangan

Kesan daripada serangan itu, keseluruhan simpanan dalam multisig wallet yang dikeluarkan selepas 20 Julai tidak boleh di akses. Sebanyak 151 alamat dan baki sebanyak 513,743 Ether atau USD$153 juta terlibat dalam serangan itu. Senarai penuh boleh di akses di bawah dan antara pemilik yang terjejas termasuk Polkadot, projek yang dipegang oleh Gavin Woods dan Parity Technologies sendiri, dan juga Iconomi.

https://gist.github.com/banteg/f61d256d12158b8c344d7889266f43b5#file-parity-nov6-csv

Namun begitu, menurut kedua-dua Polkadot dan Iconomi, projek mereka tidak begitu terjejas memandangkan mereka tidak meletakkan kesemua simpanan di situ.

Pengajaran daripada serangan ini

  1. Memandangkan ini bukan kali pertama serangan seperti ini berlaku, ia menunjukkan bahawa sangat sukar untuk membuat smart contract dan memastikan ia berjalan dengan lancar. Teknologi yang digunakan adalah sangat baru dan sudah pasti akan ada penemuan baru dari segi kod yang mempunyai risiko atau tahap keselamatan yang perlu ditambah baik. Bak kata pepatah Mat Salleh, “it’s a steep learning curve”. Kod yang digunakan adalah sesuatu yang sangat kompleks, dan tiada siapa tahu tahap keselematan kod itu sehinggalah sesuatu seperti ini berlaku.
  2. Lebih banyak peluang terbuka untuk mencipta aplikasi atau alat yang boleh memastikan infrastruktur smart contract lebih selamat dan menyeluruh.
  3. Risiko seperti ini boleh berlaku di mana-mana sahaja seperti online wallet, platform pertukaran dan kod-kod asal matawang kripto. Penting untuk pengguna mempunyai kesedaran tentang risiko menggunakan teknologi baru seperti ini.

LEAVE A REPLY

Please enter your comment!
Please enter your name here