こんにちは。 

今回は、有名なマルチ署名ウォレットのParityと現在トークンセール開催中のARトークンに関してです。

Parityの資金が凍結したというショッキングなニュースがありましたので、ICO参加者は是非、お読みください。 

Parityマルチシグウォレットの保管資金が一時的に凍結

イーサリアムの保管や取引に使われる有名なウォレットであるParityに新たな重大な脆弱性が発覚しました。

過去に発覚したマルチシグの脆弱性の修正に続いて、別の脆弱性が含まれていたことが偶然、発覚したようで、

2017年7月20日以降に作成されたマルチシグウォレットに保管された資金に一時的にアクセスができなくなりました。

Parityの公式ブログでは以下の発表があっています。

セキュリティーアラート

重大度:クリティカル

影響を受ける製品:パリティウォレット(マルチシグウォレット)

要約:標準マルチシグ契約のParity Walletライブラリ契約の脆弱性が見つかりました。

影響を受けるユーザー:7月20日以降に展開されたParity Walletで作成された複数の署名付きウォレットの資産を持つユーザー。

更新:私たちは、昨日の事件が、ユーザーやコミュニティ全体、特に問題を取り巻くすべての憶測に大きなストレスと混乱を招いていることを非常に残念に思います。私たちは引き続きその状況を調査し、すべての可能な意味と解決策を模索しています。ブロックチェーンと関連技術は、コンピュータサイエンスの先駆的な分野です。私たちの使命は、分散されたWebに動力を与えるソフトウェアを構築することです。

あなたのウォレットが影響を受けているかどうか心配している場合は、作成したこのウェブサイトにアクセスして、影響を受けるアカウントのリストを提供してください。私たちはこの問題の影響を受けたユーザーと連絡を取っています。あなたが影響を受けていて手を差し伸べたい場合は、community @parity.ioまでご連絡ください。

7月19日(機能の可視性)に悪用された元のマルチシググ脆弱性の修正に続いて、新しいバージョンのParity Walletライブラリ契約が7月20日に導入されました。残念なことに、そのコードには当時発見されていなかった別の脆弱性が含まれていました。パリティウォレットのライブラリ契約を通常のマルチシグマウォレットに変えて、initWallet関数を呼び出すことでその所有者になる可能性がありました。この脆弱性は、 2017年11月6日02:33:47 PM + UTCに誤って起動されその後ユーザーがライブラリに入れられたウォレットを削除しライブラリーコードを消去し、ロジック(何らかの状態変更機能)がライブラリーの中にあったため、すべてのマルチSIG契約を使用不能にし、資金凍結しました。

機能的に7月20日以降に配備されたすべての従属マルチ・シグ・ウォレットは、次のようになりました。

contract Wallet {    function () payable {          Deposit(...)    }}

これは、現在、マルチファンクションウォレットから資金を引き出すことができないことを意味します。

我々は状況を分析しており、まもなく詳細を更新する予定です。

Parity公式ブログより:https://paritytech.io/blog/security-alert.html

主な原因としては、2017年7月にその脆弱性からイーサリアムのハッキングにあった過去があり、この対策として7月19日に行ったバグの修正に不備があったことが挙げられています。

この時の対応に問題が依然として残っており、今回偶然にも新たな脆弱性が見つかる結果となりました。

これにより、ウォレットは一時的に凍結し、513,743ETH、約152百万ドルに及んだといいます。

573のウォレットが影響を受けています。

Cappasity のトークンセールでの対応

Cappasity 社のトークンセールは、11月21日まで開催されていますが、以下のような発表が公式よりありました。  

Cappasityプラットフォームとそこに保存されているコンテンツは安全であり、プラットフォームの機能は影響を受けず、すべての機能は通常通りです。検出された脆弱性は、私たちのクラウドセールのBTC財布、他の会社の口座または現在の事業活動に影響を及ぼしませんでした。

残念なことに、私たちのクラウドセールのETH財布は、影響を受けたParityマルチシグ契約を使用していました。ウォレットには現在アクセスできず、状況が解決されるまでアクセスできない状態になります。詳細はこちらをご覧ください。私たちの財布はリストの9番目です。

当社のICOでは、暫定財布を介して資金を受領し、資金送金の有効性が確認された後、メイン財布に送金します。この手順は、追加のセキュリティを提供するために必要です。現時点では、私たちは通常モードでクラウドセールを実行しています。しかし、当社はパリティ・テクノロジーズから状況に関するさらなる情報が提供され、状況が解決するまで、メインETHウォレットへの資金送金を停止しました。

コンテンツやプラットフォーム自体には当然影響をうけませんし、機能は問題ありません。

しかし、現在、Cappasity社では今回の騒動により合計3264 ETH(〜$ 1M)の資金が凍結されています。これに対して同社は以下のように述べています。

この状況が計画されたマイルストーンの達成にどのように影響しますか?

→同社のプロジェクトの開発にはエンジェル投資家から資金を調達しています。Cappasityは総額で1.8百万ドル以上を調達しています。同社の既存のパートナーは、凍結した資金が必要になった場合にこれを補うことができます。私たちはすでに、エンジェル投資家やVCから多くのスマートマネーの提供を受けています。

既存の調達資金や準備金から補填することができると述べています。とはいえ、多少の影響は考えられます。

Cappasity社による今回の凍結の見解

Cappasity社によると今回の凍結の一部始終に関して以下のような見解が述べられています。

ARトークンチームの152百万ドルの凍結の理由に関する意見:

私たちの内部調査は、devops199の部分についての行動が意図的であることを実証しています。11月6日の17日、04:02:51 PM + UTCに、彼らはARTokenのスマート契約のexecute(address _to、uint256 _value、bytes _data)を呼び出しようとしました:https://etherscan.io/tx/0xfdca7bf55048d2d53d3851fe988a67cac7e67e9757c3d1aaf294db358c728ea3

同じユーザー(Nov-06-2017 04:01:46 PM + UTC)は、Polkadotのスマート契約の実行(..)と呼ばれ、その凍結された資金は合計で9000万ドルを超えています:

https://etherscan.io/tx/0xbf13ed4c9a​​f0e56b066f368f09d102be0d185d309f491a19c84bda0ae95ec9fa

Polkadotウォレットhttps://etherscan.io/address/0x3bfc20f0b9afcace800d73d2191166ff16540258

前日:changeOwner(アドレス_from、アドレス_to)kill(アドレス_to)関数が呼び出されました。

すべてのトランザクションをトラッキングしているときは、それらが慎重であることを認識しています。

https://etherscan.io/address/0xae7168deb525862f4fee37d987a971b385b96952

したがって、事故ではないと考える傾向があります。これは意図的なハッキングだと考えています。

近い将来に状況がうまく解決されなければ、法執行機関に連絡することが正しい次のステップであると考えています。

最近ではPolkadotという大規模なICO(約165億円を調達した)においては、Parityウォレットに100億円以上資金を保管しており、かなり重大な影響を受けています。

ICOではマルチシグウォレットを資金の保管先として選択する企業が多い故、今回の影響は大きいです。

ARトークンの受け取りへの影響は?

トークンの受け取りに関しては以下のように発表がありました。

重要:ARtoken貢献者は、パリティのバグの影響を受けません

誤解を避けるために、パリティマルチシグとの契約はARトークンのリリースには影響しないことを明確にし、すべての人が時間通りに、すなわち11月22日以降にトークンを受け取ることになります。

私たちは通常モードでクラウドセールを実行しており、昨日から別のETHウォレットを使用しています。

考慮すると、現在の状況で最新の動向を当社の資金が最も近い将来において未凍結するために、我々は待っています。この事件は、ARtokensをリリースするという当社のコミットメントに決して影響しません。

ロードマップの開発と実装は影響を受けていません。私たちのパートナーは、必要になったときに財政的な橋渡しをする用意ができています。現時点では、この措置は不要です。

パリティテクノロジーズとイーサリアム財団の今後の発展についてはまた、お知らせいたします。

 

トークンセールとトークンの配布、開発には特に影響はありませんので参加者はご安心ください。

まとめ

マルチシグウォレットを使用するプロジェクトはたくさんありますので今回の影響は一時的とはいえ、大きかったかもしれません。

ICOではこうした関係するトラブルはつきものですので、ICOに積極的に参加している方は要注意です。

トラブルの際に、トークンセールを行っている会社側の対応にも注意してプロジェクトの参加を行うようにしましょう。

なお、ARトークンセールは、通常運転しており参加できます。現在は、既存の参加者からのリンクからのみ参加できます。

参加はこちらから

関連リンク

Parity公式サイト

Cappasity公式サイト

Cappasity ARトークンセールサイト

My profile 

0x71CBD5dad1ADe3E98D10a4B785f7776D54B8c833

https://bitcointalk.org/index.php?action=profile;u=1140780;sa=summary