Parity Wallet ผู้พัฒนากระเป๋าเงินแบบหลายเจ้าของที่เพิ่งมีช่องโหว่เมื่อกลางปีที่ผ่านมา ตอนนี้ช่องโหว่ใหม่กลับร้ายแรงกว่าเดิม เพราะผู้ใช้กระเป๋าเงินแบบ multi-sig ทั้งหมดของ Parity Wallet ไม่สามารถถอนเงินออกมาได้
ปัญหานี้เกิดขึ้นจาก Parity สร้างไลบรารีไว้ที่ 0x863DF6BFa4469f3ead0bE8f9F2AAE51c91A907b4 เพื่อให้กระเป๋าเงินของผู้ใช้อื่นๆ มาเรียกโค้ดไปใช้งานได้ แต่ contract นี้กลับไม่ได้ initialize แสดงความเป็นเจ้าของไว้ แม้ว่าจะทำงานได้ดีอยู่ตลอดร้อยกว่าวันที่ผ่านมา แต่เมื่อผู้ใช้ GitHub ที่ชื่อ devops199 ส่งคำสั่ง initWallet เขาก็กลายเป็นเจ้าของไลบรารีกลางนี้ทันที
ข่าวร้ายกว่านั้นคือหลังจาก devops199 ได้เป็นเจ้าของไลบรารีแล้ว เขาสั่ง kill ไลบรารีในชั่วโมงต่อมา ทำให้ไลบรารีนี้ถูกลบออกจากสายโซ่และไม่สามารถเรียกใช้งานได้โดยกระเป๋าเงินอื่นอีกต่อไป ผู้ใช้ hlogeon ระบุว่าเขาทดสอบ kill กระเป๋าเงินที่อ้างถึงไลบรารีนี้แล้วก็ไม่สามารถดึงเงินกลับออกมาจากกระเป๋าเงินได้ สภาวะนี้ทำให้เงินจำนวนมากที่อยู่ใน multi-sig ที่อ้างถึงไลบรารีเดียวกันทำงานไม่ได้ ถอนเงินไม่ออก
ทาง Parity ระบุว่ากำลังวิเคราะห์สถานะการณ์อยู่ และแนะนำให้อย่าเปิดกระเป๋าเงิน multi-sig เพิ่มเติมอีก
ตัวเลขเงินทั้งหมดที่อยู่ในกระเป๋าที่อ้างถึงไลบรารีนี้ยังไม่แน่นอน Patrick McCorry นักวิจัยระบบเงินจากเทคโนโลยีเข้ารหัสลับคาดว่าไม่ต่ำกว่า 616,000ETH หรือประมาณ 5,000 ล้านบาท ขณะที่ทาง Motherboard คาดว่าจะรวมถึงหมื่นล้าน
ที่มา - Parity Tech, Motherboard, TechCrunch