公式ブログの発表によるとParity Walletのマルチシグコントラクトの脆弱性が発見され、当該ウォレットに保管されていたETHが移動できなくなり、”凍結”されてしまった模様。本件の脆弱性の影響を受けるのは、今年6月20日以降に実装されたParity Wallet内のマルチシグウォレットに資産を保管しているユーザー。
Parity Technologiesのプロジェクトで、先日トークンオークションにおいて48万以上のETHを集めたPolkadotのウォレットも影響を受けている。
Unfortunately, our multi-sig is among those frozen. @ParityTech is working on the situation and will provide updates when available.
— Polkadot (@polkadotnetwork) November 7, 2017
Parity Walletは6月19日にも脆弱性が発見されており、翌日20日にその修正が行われた。公式ブログの説明によれば、修正済みのコードにも別の問題が残されており、それが原因で日本時間11月6日11:33:47PMにマルチシグウォレット資産の凍結が引き起こされた。
マルチシグコントラクトが保存されているライブラリーコードが消去されてしまったため、マルチシグコントラクトが使えない状態になっているとParity Technologiesは說明している。
(※11月10日追記)
コンセンサスベイスの志茂氏がTwitterで解説して下さっていますので、引用させて頂きます。
parityのmutisig wallet コントラクトが使っているライブラリ・コントラクトのオーナーを変えられるバグがあり、ある人がライブラリ・コントラクトのオーナーになって、ライブラリをkillした。
— Hiroshi Shimo(志茂 博) (@hiroshi_shimo) November 8, 2017
そしたら、ライブラリに依存するmutisig walletが機能しなくなり、etherが動かせなくなった。
コードによる説明は、またの機会に。— Hiroshi Shimo(志茂 博) (@hiroshi_shimo) November 8, 2017
英語になりますが、以下のStackExchangeでも今回のParityの脆弱性に関する投稿と回答がありました。
solidity – Explanation of Parity Library Suicide – Ethereum Stack Exchange
特定のアドレスが今回の脆弱性の影響を受けているかどうか確認したい方は以下の公式ツールをご利用下さい。
今回のParityマルチシグウォレットの脆弱性は584のウォレットに影響している模様。特定のアドレスが影響を受けているか否かは以下の公式ページから確認できる。https://t.co/gzSv8NKf2Z pic.twitter.com/cZA4l6IzZn
— indiv (@indiv_0110) November 9, 2017
Security Alert – Parity Technologies
anyone can kill your contract · Issue #6995 · paritytech/parity · GitHub
Ethereum Account 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 Info