Опечатка в коде официального кошелька Zerocoin позволила украсть криптовалюты на $648 тыс

16 февраля 2017 года группа разработчиков Zerocoin нашла баг в официальной реализации Zerocoin. Оказалось, что в коде присутствует опечатка — единственный лишний символ, случайно добавленный при наборе на клавиатуре. Из-за этой опечатки была возможность проводить транзакции без соответствующей траты монет. То есть можно было перечислять деньги, не снимая их с кошелька.

К сожалению, опечаткой в коде уже воспользовались нечистые на руку и не имеющие совести персонажи, которые увели с кошельков Zerocoin криптовалюты в эквиваленте на $648 тыс.

Разработчики определили конкретное место в коде, в котором есть опечатка, и в течение 24 часов выпустили патч, так что больше подобное не повторится. По крайней мере, из-за этой конкретной ошибки больше невозможно будет сгенерировать деньги.

Разумеется, от ошибки никто не пострадал напрямую. Все монеты остались в кошельках у всех пользователей. Правда, из-за несанкционированной чеканки монет немного снизилась их курсовая стоимость. Но это естественный и знакомый процесс для всех, кто живёт в национальных государствах, бесконтрольно печатающих национальную валюту. В криптосистеме такое случается только в результате бага, а в национальных государствах это происходит постоянно как нормальное явление.

Все майнинг-пулы и биржи были немедленно предупреждены о необходимости обновить программное обеспечение.

Разработчики Zerocoin отмечают, что злоумышленник (или злоумышленники) провели атаку большой сложности, что говорит о его (или их) высокой квалификации. В частности, злоумышленник предпринял несколько шагов для маскировки атаки — он (или она) создал множество аккаунтов для обмена и осторожно распределял монеты по счетам и выводил их в течение нескольких недель.

По оценке разработчиков, хакеру удалось создать около 370 000 монет. Почти все они были проданы (обналичены), за исключением примерно 20 000 монет, которые разошлись по рынку. Если посчитать обналиченные 350 000 по сегодняшнему курсу, то это будет примерно $648 тыс. Но во время обналички курс временами был выше примерно на 10-20%, так что бессовестному пользователю при особенной удаче удалось заработать примерно $700 тыс.

Самое печальное, что в странах вроде РФ злоумышленнику даже не грозит наказание. Тут сразу несколько причин. Во-первых, криптовалюта ZCash не считается официльным платёжным средством на территории Российской Федерации. То есть это вообще не деньги, а некие «фантики», имеющие виртуальную ценность. Во-вторых, в данном случае нет потерпевшей стороны. Непонятно, кто должен писать исковое заявление и заявлять об ущербе. У всех пользователей кошельки остались нетронутыми, то есть никаких монет не было похищено. Ну и последнее: хотя нечестному и аморальному пользователю не грозит никакое наказание, его личность всё равно вряд ли удастся установить, потому что он (или она) грамотно использовал технологии анонимизации в интернете.

Разработчики подчёркивают, что выявленный баг никак не повлиял на анонимность криптовалюты и устойчивость системы. Более того, именно критографическая стойкость системы помогла выявить расход лишних монет. То есть этот баг лишь подтверждает, что Zerocoin — исключительно стойкая и прочная система, в которой невозможно генерировать «лишние» монеты. Произошло исключение, которое подтверждает правило.

 

Сомневаюсь что это все из -за одной лишний буквы в коде. Там какой то баг был.
Или просто хакеры кошелек пересоздали под свои нужды, в теории такое может быть.

 

Если в команде условно три человека, то они физически просто не могли все более тщательно перепроверить
Только код попал в массы и все, брешь обнаружилась. Наверное им стоит задуматься над расширением штата тестеров, для предотвращения подобного в будущем.

 

Да как то их код вроде солидный аудит прошли. Или это все так , макароны на уши были.

 

В этой загадочной истории мне остался непонятен момент "перевода монет без снятия с кошелька" ...
Даже при наличии ошибки в коде как это может происходить без подтверждений сети ?

 

Ну тут наверное он просто левый майнинг монет включил в кошельке.

 

Это еще более непонятно: программный клиент бумажника предназначен только для осуществления платежей и никакой майнинг там не предусмотрен в принципе, разве что - POS-майнинг, но этот вариант подразумевает движение монет с кошелька.

 

Чувакам определённо не надо было экономить на людях для проверки кода

 

Вот это вот красиво:

верьте нам! Никто не пострадал! Исключительно стойкая и прочная система, в которой невозможно генерировать лишние монеты т.е. их только нагенерили на полляма с лишним баксов - но невозможно! Стойкая и прочная система.

Цирк с коняшками.

 

ну по сути дела ни у кого ничего не украли,а просто намайнили.

 

Ну как бы в любом кошелке , даже в битке есть функция майнинга в самом кошелке. Ну тут думаю нужно глубоко копать.

 

Ну только вопрос сколько их там намайнили. может больше чем официально монет вышло в свет.

 

ну говорят про 350000 монет,причём ему ещё и подфартило продать по цене на росте

 

Ну это по данным разработчика. А сколько по факту нам некто не скажет. Не факт что это сами разработчики и не делали. В тихую выпускали монеты. Потом кто то видимо заметил ...

 

Да нет нигде такого ! Не выдумывайте небылиц ...
Единственный кошелек с функцией POW-майнинга был у LTC на самом ее старте, потом этого функционала не стало.

 

там вроде по обозревателю всё отследили

 

Да ладно. Ладно биткойн он уже старые. Но вон можете кошелек червонца включить и в нем майнить монеты

 

Ну да, а еще они не упоминают тот нюанс что то что они там какую то заплатку выпустили еще не значит что проблема решена. Теперь всем остальным дружно нужно переустановить кошелек, как минимум.

 

Ну теперь новый софт просто наверное не даст таким монетам в сеть попасть. Так скоро и до вилки может дело дойти. Как в эфире было. Забыл как называлось.

 

хардфорк.

 

Точно. Сейчас думаю хардфорк будет там.

 

Через это проходят многие форки, но хорошо когда ХардФорк проходит планово а не так через обнаруженную дыру
Репутацию после такого могут уже не восстановить