Разработчики анонимного альткоина Bitcoin Private (BTCP) подтвердили факт наличия в их криптовалюте премайна на 2,04 млн монет, «которые не должны были существовать в блокчейне».
23 декабря команда Coinmetrics опубликовала доклад, в котором пояснила, что разработчики Bitcoin Private в процессе интеграции данных из блокчейна биткоина допустили выпуск дополнительных монет, что привело к увеличению максимально допустимого объёма эмиссии.
Разработчики BTCP со своей стороны утверждают, что, получив эту информацию, они «немедленно инициировали расследование, чтобы определить, соответствуют ли заявления о наличии дополнительного объёма BTCP действительности». Расследование позволило установить, что заключения Coinmetrics были «математически верными», «однако на текущем этапе источник, назначение и выгодоприобретатель уязвимости команде Bitcoin Private неизвестны».
Также команда BTCP описывает последовательность событий, предшествовавших возникновению уязвимости, и возлагает вину на некого разработчика, который был нанят ими для выполнения определённой задачи. Когда работа была выполнена, он получил оплату и прекратил сотрудничество с командой, однако в написанном им коде обнаружился баг, который и был использован злоумышленником позднее для выпуска 2 млн монет BTCP в процессе форка.
«Поскольку мы использовали открытый код, а о выпуске монет форка было объявлено публично в Twitter, любое заинтересовавшееся лицо, имевшее достаточные знания в области блокчейн-разработки, могло проэксплуатировать уязвимость», – говорится в заявлении.
Команда BTCP подчёркивает, что не может однозначно сказать, были ли полученные таким образом монеты переведены на биржу или же продолжают удерживаться злоумышленником.
«Эта уязвимость могла быть использована только в процессе выпуска монет форка, который уже произошёл ранее в этом году. Таким образом, этот баг не может проявить себя повторно или использоваться в дальнейшем», – пишут разработчики.
Команда BTCP утверждает, что до публикации отчёта Coinmetrics ей не было известно о наличии уязвимости и фактах её эксплуатации. Согласно отчёту Coinmetrics, в настоящее время на скрытых адреса находится менее 20 000 монет BTCP, принадлежащих обычным пользователям. Оставшимися 1,7-1,8 млн монет на таких адресах располагает злоумышленник. Для решения проблемы команда BTCP решила провести хард форк, нацеленный на ликвидацию всех монет, хранящихся на скрытых адресах. «Хотя это приведёт к исчезновению 20 000 полноценных монет, мы считаем эту альтернативу более предпочтительной, чем сохранение 1,7-1,8 неполноправных монет в обращении. Также это позволит решить проблему избыточной эмиссии», – пишут они.
Кроме того, рассматривается вариант осуществления хард форка с целью удаления всех невостребованных монет, которых в блокчейне BTCP насчитывается около 12 млн. Такой подход позволит решить проблему избыточной эмиссии, но сохранит монеты, полученные в результате эксплуатации бага, за злоумышленником. Тем не менее, разработчики готовы рассмотреть и этот вариант, если он найдёт значительную поддержку в сообществе.
