Эфир, белые шляпы, вот это все

Утренний кофе на террасе у меня сегодня начался не с кофе, а с Medium Daily Digest

В который раз ловлю себя на мысли, что никак не могу привыкнуть к новизне, которая окружает меня в блокчейн-матрице буквально по-всюду. Возможно, я плохо учил историю в школе, или школа (внезапно) осталась в чудовищно далеком прошлом, но повороты, происходящие тут сейчас чуть ли не каждую неделю, явно пугают мою лошадь. 

Вот например, кусок статьи Haseeb Qureshi (дружище, i'd like to ask you a permission to place the full translation, but don't have time to Make a full of it, so just forgive me for this cite)

Around 12:00 PST, an unknown attacker exploited a critical flaw in the Parity multi-signature wallet on the Ethereum network, draining three massive wallets of over $31,000,000 worth of Ether in a matter of minutes. Given a couple more hours, the hacker could’ve made off with over $180,000,000 from vulnerable wallets.

В районе 12:00 (станд. тихоок. время) неизвестный воспользовался критической уязвимостью кошелька с мультиподписью Parity для сети Ethereum, и в течение нескольких минут опустошил три массивных кошелька на сумму более $31,000,000 (по курсу Ether на тот момент). Если бы у хакера была еще пара часов, он мог списать с подверженных уязвимости кошельков более $180,000,000.

But someone stopped them.

Но кто-то остановил его.

Having sounded the alarm bells, a group of benevolent white-hat hackers from the Ethereum community rapidly organized. They analyzed the attack and realized that there was no way to reverse the thefts, yet many more wallets were vulnerable. Time was of the essence, so they saw only one available option: hack the remaining wallets before the attacker did.

Как только начал бить тревожный колокол, стремительно организовалась группа доброжелательно настроенных хакеров (white-hat) из сообщества Ethereum. Они проанализировали способ атаки и пришли к выводу о невозможности вернуть похищенное, а также о подверженности угрозе еще большего количества кошельков. Время было критически важным и они увидели только один способ действия: взломать оставшиеся кошельки до того как хакер сделает это сам.

By exploiting the same vulnerability, the white-hats hacked all of the remaining at-risk wallets and drained their accounts, effectively preventing the attacker from reaching any of the remaining $150,000,000.

Используя ту же уязвимость, белыше шляпы взломали все остающиеся под угрозой кошельки и слили их балансы, защитив от атаки оставшиеся $150,000,000.

Yes, you read that right.

Да, вы все правильно прочитали.

UPDATE:

Вынужден признать, что, как это обычно бывает, фрагмент оригинального поста не является самым интересным и полезным в исходной публикации. Дальше там проводится неплохой анализ причин, по которым случаются подобные факапы в контрактах Ethereum. Я просто сейчас занимаюсь переводом очень годной бумаженции по EOS, и вижу довольно много перекликающихся мест. Рекомендую к прочтению всю статью автора, вот я к чему клоню. Вот, например, ниже там:

A common saying in cybersecurity is “attack is always easier than defense.” Blockchain sharply multiplies this imbalance. It’s far easier to attack because you have access to the code of every contract, know how much money is in it, and can take as long as you want to try to attack it. And once your attack is successful, you can potentially steal all of the money in the contract.

Широко известно утверждение в сфере кибер-безопасности гласит: “атаковать всегда проще, чем защищаться”. Блокчейн значительно усиливает этот дисбаланс. Гораздо проще организовать атаку хотя бы потому, что у вас есть доступ к коду каждого контракта, и знание его текущего баланса, и у вас есть столько времени на подготовку атаки, сколько вам необходимо. А как только атака успешно проведена, вы можете потенциально украсть все деньги, находящиеся в контракте.

Imagine that you were deploying software for vending machines. But instead of a bug allowing you to simply steal candy from one machine, the bug allowed you to simultaneously steal candy from every machine in the world that employed this software. Yeah, that’s how blockchain works.

Представьте, что вы установили софт (программу) в автомат по продаже конфет. Если в программе есть ошибка, позволяющая стащить конфету из одного автомата, она позволит злоумышленнику стащить конфету из _каждого_ автомата, в котором установлен ваш софт. Да, именно так работает блокчейн.

У меня всё.