Команда разработчиков стартапа Parity Technologies сообщила об обнаружении ошибки, позволяющей злоумышленникам нарушить работу экосистемы Ethereum через отправку общедоступной ноде Parity Ethereum в версии 2.2.9-стабильная или 2.3.2-бета RPC-запроса, который вывел бы ее из строя.
Риску подверглись провайдеры инфраструктуры нод, использующие протокол JSONRPC: Infura, myetherwallet, MyCrypto и т. п. Разработчики отметили, что выявленной ошибкой не пытались воспользоваться и она не угрожала сохранности средств пользователей. Однако для уменьшения риска нарушения работы сети и потери доступа к децентрализованным приложениям всем было рекомендовано как можно быстрее обновить ноды с помощью новой версии ПО.
The fix is out—please update your nodes ASAP. https://t.co/t2bJLNuyZV
While the vulnerability only directly affects Parity Ethereum nodes that serve JSONRPC as a public service (e.g., Infura, MEW, MyCrypto, etc), we recommend everyone to update their nodes immediately.
— Parity Technologies (@ParityTech) February 3, 2019
Напомним, что в ноябре 2017 года в 587 кошельках пользователей Parity были заблокированы средства на $160 млн. Воспользовавшийся найденной в библиотеке смарт-контракта уязвимостью, неизвестный назначил себя “владельцем” библиотеки и уничтожил этот компонент, необходимый для нормальной работы мультисиг-кошелька.
Месяц назад фонд Ethereum Foundation выделил Parity Technologies грант в размере $5 млн для поддержки компании в разработке решений для блокчейн-сети Ethereum. А ранее разработчики проекта запустили бета-версию стека технологий с открытым кодом Substrate 1.0, который позволит “радикально ускорить развитие технологии блокчейн в децентрализованных приложениях” за счет создания кастомизированных блокчейнов.