<?php wp_title('|', true, 'right'); ?>

ผู้ให้บริการกระเป๋า Parity ถูกค้นพบช่องโหว่ เหรียญ ETH มูลค่านับ $150 ล้านถอนออกไม่ได้

ผู้ให้บริการกระเป๋าเก็บเหรียญ Ethereum แบบ multi-sig ได้ออกมาประกาศว่าพวกเขาค้นพบช่องโหว่ร้ายแรงที่ส่งผลทำให้เหรียญของผู้ใช้งานมูลค่านับร้อยล้านดอลลาร์ต้องติดค้างอยู่ในระบบ ไม่สามารถถูกถอนออกมาได้ โดยการค้นพบครั้งนี้ถือเป็นปัญหาครั้งที่สองต่อจากครั้งแรก ที่มีการแฮคกระเป๋าดังกล่าวเกิดขึ้นเมื่อเดือนมิถุนายนที่ผ่านมา ส่งผลทำให้เหรียญมูลค่านับ 30 ล้านดอลลาร์ถูกขโมยไป

Parity ค้นพบช่องโหว่ภายใน 5 เดือน

ผู้ใช้งาน Ethereum บนกระเป๋าดังกล่าวต้องตกใจหลังจากที่พบว่าทางนักพัฒนาออกมาประกาศถึงช่องโหว่ทางด้านความปลอดภัย ซึ่งมีระดับความร้ายแรงถึงขีดสุดที่ทำให้กระเป๋าแบบ multi-sig ไม่สามารถใช้งานได้ และทำให้เหรียญ ETH มูลค่านับร้อยล้านของผู้ใช้งานถูกล็อคไว้ไม่สามารถถอนออกมาได้ ซึ่งดูเหมือนว่าความพยายามในการกอบกู้ชื่อเสียงหลังจากถูกแฮคไปไม่นานนี้ต้องลงเอยด้วยปัญหาซ้ำสอง

ภายหลังจากการถูกแฮค ทาง Parity ได้ทำการซ่อมแซมช่องโหว่ตรงจุดนั้น โดยทางการติดตั้ง library contract ตัวใหม่ที่ควรจะช่วยแก้ไขปัญหาดังกล่าว ทว่าตัวแก้ไขที่พวกเขาติดตั้งไปนั้นดูเหมือนว่าจะนำพาช่องโหว่ตัวใหม่ที่ทำให้ library contract ในกระเป๋า Parity ถูกเปลี่ยนเป็นกระเป๋าแบบ multi-sig ธรรมดา ซึ่งนั่นหมายความว่าผู้ใช้งานธรรมดาสามารถที่จะใช้ฟังค์ชัน initWallet เพื่อเข้าควบคุมกระเป๋านั้นๆได้

เหรียญในกระเป๋าแบบ Multi-sig ถูกค้างไว้ไม่สามารถถอนออกมาได้

โดยอ้างอิงจากบล็อกของทาง Parity พวกเขาได้ออกมาอธิบายว่า

“ดูเหมือนว่าปัญหานี้ถูกเปิดขึ้นมาโดยไม่ได้ตั้งใจเมื่อประมาณวันที่ 6 พฤศจิกายน 2017 สามทุ่มครึ่ง และส่งผลให้ library ของผู้ใช้งานถูกเปลี่ยนเป็น wallet และลบข้อมูล library code ออกหมดจนทำให้ contract ของ multi-sig ทั้งหมดไม่สามารถใช้งานได้ เนื่องจากว่าคำสั่งสำคัญของมันอยู่ใน library”

โพสดังกล่าวได้ทำการสรุปว่า “นี่หมายความว่าจะไม่มีใครสามารถถอน ETH ออกจากกระเป๋าแบบ multi-sig ได้” โดยหากคิดเป็นจำนวนความเสียหายจะอยู่ที่ประมาณ 152 ล้านดอลลาร์ในรูปแบบ Ether โดยมีรายงานจากบริษัทสตาร์ทอัพ Polkadot ที่กล่าวว่าพวกเขาไม่สามารถเข้าถึง Ether ของพวกเขาได้

ก่อนหน้านี้บริษัทใหญ่ๆบางบริษัทต้องสูญเสียเงินจากการแฮคกระเป๋า multi-sig ของ Parity ที่เกิดขึ้นเมื่อประมาณวันที่ 19 กรกฎาคม โดยบริษัทเหล่านั้นประกอบไปด้วย Aeternity, Edgeless Casino และ Swarm City ซึ่งบริษัทหลังสุดสูญเสีย Ether ไปกว่า 44,000 ETH แม้ว่าจะไม่มีรายงานว่าผู้ใช้งานทั่วไปถูกขโมยเหรียญจากการแฮคในครั้งนั้นด้วยหรือไม่