Недавно разработчики Биткоина обнаружили баг, позволявший создавать новые монеты. К счастью, его исправили до того, как кто-то смог воспользоваться этой уязвимостью. Но вот незадача: в кодах биткоин-форков этот баг остался. Он-то и позволил хакерам взломать сервис Pigeoncoin.
Баг в алгоритме Биткоина давал возможность создавать суперблок и наполнять его липовыми транзакциями. Это похоже на атаку 51%, только без необходимости контролировать большую часть хэшрейта. Баг устранили, добавив проверку транзакций на дублированные входы, но только в алгоритме Биткоина. Разработчики, в течение двух последних лет форкавшие код Биткоина, понятия не имели о существовании этого эксплойта. Но наконец ружье, висевшее на стене, выстрелило.
Козлом отпущения стала платформа Pigeoncoin, занимающая аж 1122 место в списке Сoinmarketcap. Разработчики сервиса подтвердили, что 26 сентября 2018 года хакер создал 235 миллионов токенов PGN. Это не самый громкий взлом в истории (всего на $15 тыс.), но показательный: злоумышленник смог напечатать четвертую часть находящихся в обращении монет. Это много!
Какие выводы можно сделать из этой истории? Их всего два. Во-первых, не стоит быть слишком доверчивым и обязательно перепроверять даже такие, казалось бы, верные штуки, как алгоритм Биткоина. Во-вторых, побыстрее исправить ошибку в коде платформ, если вы форкали Биткоин для создания своего сервиса.