This post is also available in: Français Deutsch Português English

На прошлой неделе стало известно, что независимо разрабатываемый кошелёк MyDashWallet был атакован хакером, которому удалось отправить приватные ключи пользователей на внешний сервер. Когда уязвимость раскрылась, участники Dash Core Group помогли разработчику исправить приведшую к ней ошибку.

Взлом стал возможен из-за того, что кошелёк разрабатывался на базе другого кода, который ранее тоже был взломан. В целях предосторожности всем, кто пользовался MyDashWallet с 13 мая 2019 по 12 июля 2019, стоит немедленно перевести свои средства в более безопасное место, поскольку их приватные ключи могут быть известны злоумышленникам.

“В апреле 2018 года в MyDashWallet были внесены изменения для загрузки внешнего скрипта с хостингового сайта со скриптами GreasyFork. Это обычная практика, но она не считается безопасной, особенно с учётом того, что загружалась не определённая версия скрипта, а самая новая. 13 мая 2019 года хакер взломал аккаунт автора этого скрипта Jixun Moe на GreasyFork и добавил в скрипт код, чтобы отправить приватные ключи пользователей на внешний сервер. Внесённые изменения были обнаружены 12 июля 2019, когда хакер использовал приватные ключи, чтобы вывести средства пользователей. Кошелёк MyDashWallet не поддерживается Dash Core Group, и сама сеть Dash не подвергалась атаке.”

Как написал Филипп Энджелхорн при поддержке Леона Уайта на форуме Dash, “небезопасный код, внедрённый в MyDashWallet не замечали целый год — из-за недостаточно эффективной проверки кода третьими лицами”. Он подчеркнул, что в будущем “весь код, который работает с приватными ключами, должен проходить тщательную проверку, прежде чем ему доверят средства пользователей”, и что “стоит отказаться от хранения файлов ключей локально в пользу аппаратных кошельков и брать пример с MyEtherWallet”.

Dash Core Group предупреждает пользователей и помогает разобраться с ситуацией

Во-первых, Dash Core Group помогает снизить риск появления подобных уязвимостей в собственном коде, гарантируя, что “всё программное обеспечение, выпускаемое Dash Core Group, обладает открытым кодом и до релиза подвергается жёстким проверкам качества”. ПО с открытым кодом действительно подвержено уязвимости со стороны третьих лиц, поскольку любой может взять этот код и изменить его на своё усмотрение. Однако, открытость кода также является и плюсом, поскольку любой может найти эту уязвимость и заявить о ней, что невозможно с приватным кодом — там могут быть ошибки, но они не афишируются.

Во-вторых, Dash Core Group “помогает разработчику разобраться с этой проблемой и собирает всю необходимую информацию для передачи в правоохранительные органы”, как пояснил Майкл Зейц на форуме Dash. Даже несмотря на то, что уязвимость не имеет никакого отношения ни к ним, ни к блокчейну Dash, они всё равно работают над безопасностью работающих с Dash приложений и участников сообщества, и помогают решать возникающие сложности. Это также является преимуществом и причиной, по которой многие сторонние биржи и организации выбирают работу с Dash: они всегда могут обратиться к людям из Dash Core Group и задать вопросы.

Децентрализованные системы требуют осознанного отношения пользователей

В основу работы криптовалюты был заложен открытый код и децентрализация, чтобы ни один человек, ни группа не могли захватить контроль. Благодаря этому сеть остаётся доступной для каждого, но также это даёт возможность разрабатывать и использовать сторонние продукты, которые не всегда проходят должное тестирование. Любой пользователь может использовать проверенное и надёжное ПО, однако он также может стать жертвой плохо продуманных приложений или даже вредоносного ПО. Поэтому пользователям, которые хотят получить децентрализацию и прилагающиеся к ней преимущества использования криптовалюты, стоит быть осторожными и осознанно подходить к использованию тех систем, которые, возможно, не были должным образом протестированы, и принимать дополнительные меры, чтобы защитить себя и свои средства.