Gerade jetzt (19.07.2017, 22:00 Uhr MESZ) gibt es eine Warnung von Parity, dass es einen laufenden Exploit in ihrer Multisig-Wallet gibt.
Was ist die Ursache und der Mechanismus dieses Exploits?
Die Brieftasche hat eine Funktion freigelegt:
// constructor - just pass on the owner array to the multiowned and
// the limit to daylimit
function initWallet(address[] _owners, uint _required, uint _daylimit) {
initDaylimit(_daylimit);
initMultiowned(_owners, _required);
}
die für die Initialisierung der Brieftaschenbesitzer verantwortlich war. Der Autor vergaß jedoch, eine Prüfung einzuschließen, um festzustellen, ob die Brieftasche bereits initialisiert wurde, und erlaubte somit jedem, diese Funktion aufzurufen und das owners[]
Array vollständig zu überschreiben, wodurch er vollen Zugriff auf die Brieftasche erhält.
Badr Bellaj
Badr Bellaj
Igor Barinow