Parity Wallet กระเป๋าเงินสำหรับ Ethereum ที่มีความสามารถในการสร้างกระเป๋าเงินแบบหลายลายเซ็น มีช่องโหว่เมื่อโค้ดกระเป๋าเงินเปิดทางให้แฮกเกอร์สามารถโอนเงินออกจากกระเป๋าไปได้

โค้ด Solidity ที่ Parity Wallet สร้างขึ้นมีฟังก์ชั่น initMultiowned และ initDaylimit โดยไม่ได้จำกัดการใช้งานเอาไว้ ทำให้แฮกเกอร์สามารถเรียกฟังก์ชั่นนี้และกำหนดให้กระเป๋าเงินกลายเป็นกระเป๋าของตัวเองได้ ตอนนี้โค้ดเวอร์ชั่นล่าสุดกำหนดให้เป็น only_uninitialized แล้ว

สำหรับผู้ใช้ Ethereum ทั่วไปหรือแม้แต่ผู้ใช้ Parity Wallet ที่ไม่ได้สร้างกระเป๋าเงินแบบหลายลายเซ็นไม่ได้รับผลกระทบจากช่องโหว่นี้

ตอนนี้มีรายงานเงินถูกขโมยแล้ว 150,000 ETH หรือประมาณหนึ่งพันล้านบาท ทาง White Hat Group สแกนดู Ethereum แล้วพบบัญชีที่มีช่องโหว่แบบเดียวกันรวมเป็นเงิน 377,000 ETH จึงนำเงินทั้งหมดไปเก็บไว้ในบัญชี 0x1dba1131000664b884a1ba238464159892252d3a และจะนำเงินคืนเจ้าของต่อไป

การแฮกด้วยช่องโหว่ในโค้ดของ Contract ใน Ethereum เคยเกิดขึ้นร้ายแรงที่สุดคือ DAO ที่เงินหายไปถึง 3.6 ล้าน ETH

ที่มา - The Register, Reddit