Аналитики портала Messari опубликовали отчёт, в котором рассказали о серьёзном инфляционном баге блокчейн-протокола Stellar, задействованном в 2017 году, но прошедшем незамеченным более широким криптовалютным сообществом.
Проводя анализ предложения 50 ведущих крипто-активов, аналитики Messari обнаружили, что в апреле 2017 года злоумышленник смог проэксплуатировать баг в функции “MergeOPFrame::doApply” протокола Stellar и создать около 2,25 млрд XLM стоимостью приблизительно $10 млн в тот момент.
Неправомочная эмиссия составила около четверти всех монет в обращении по состоянию на апрель 2017 года, однако Stellar Development Foundation не предал огласке этот инцидент на должном уровне, отмечает Messari. Информация об адресах и транзакциях, имеющих отношение к багу, в настоящее время не отображается в обозревателях блокчейнов, но аналитики смогли обнаружить её через клиент Horizon в истории транзакций.
Полученные таким образом XLM были переведены на биржи и, вероятно, проданы в первой половине 2017 года. Stellar Development Foundation впоследствии принял решение об уничтожении соответствующего объёма XLM из резервов сообщества, чтобы сохранить паритет.
6 апреля основатель Stellar Джед Маккалеб лично представил предварительный фикс для бага, а двумя днями позднее состоялся ограниченный релиз патча. В официальный выпуск необходимые исправления были внесены только 30 апреля. На протяжении этих недель вектор атаки оставался открытым, в то время как разработчики проводили тестирование фикса на подконтрольном наборе нод.
«В апреле 2017 года Stellar был молодым проектом с открытым кодом, поддерживаемым небольшим сообществом преданных разработчиков. Мы дважды упоминали о баге в комментариях к релизу и недвусмысленно заявляли, что он был использован. Мы осознаём, что с тех пор Stellar стал значимым финансовым ПО, и наши стандарты разглашения информации изменились. После этого инцидента достойные такого внимания баги в протоколе не обнаруживались», – заявил представитель Stellar.
