Злоумышленники воспользовались уязвимостью системы мультиподписей в криптовалюте Bitcoin SV для кражи пользовательских активов.
Как поясняет сооснователь Blockstream Грегори Максвелл, разработчики Bitcoin SV удалили существующий механизм мультиподписи биткоина P2SH и в результате были вынуждены создавать собственную схему. Таким образом появилось решение electrumsv или «накопитель мультиподписи». Он представляет собой скрипт, который должен обеспечивать одобрение транзакций при наличии установленного или превосходящего числа подписей. В действительности, согласно Максвеллу, условием исполнения скрипта было наличие установленного или меньшего числа подписей, включая нулевое значение.
«В результате эти скрипты не предоставляли вообще никакой защиты и могли быть запущены при помощи отправки пары нулей», – пишет он, добавляя, что разработчики, вероятно, не протестировали решение на большом количестве подписей из-за его громоздкости.
Максвелл отмечает, что разрабатываемые в индивидуальном порядке скрипты биткоина требуют такого же внимания, как и прочие криптографические функции, и призывает не пользоваться механизмами непонятного происхождения. Он также заявляет, что эксплойт, если он не был заложен преднамеренно, можно было легко обнаружить путем простейших методик тестирования, как и не допускать его изначально, если бы разработчики решили сохранить испытанную схему мультиподписей биткоина.
По информации в китайских СМИ, по крайней мере один пользователь потерял из-за этой уязвимости 600 BSV ($97 000).
