Специалисты аналитической компании Messari рассказали о серьёзном инфляционном баге в блокчейне Stellar, использованном в 2017 году для создания 2,25 миллиарда XLM (на тот момент около $10 млн). Отчёт об инциденте опубликован на сайте компании 27 марта.

Аналитики обнаружили, что в апреле 2017 года злоумышленники воспользовались багом в функции ‘MergeOPFrame::doApply’ протокола Stellar и создали около 2,25 млрд XLM, что на тот момент составляло почти четверть всех токенов, находившихся в обращении. Монеты были переведены на биржи, а затем, вероятно, распроданы. После обнаружения бага, Stellar уничтожила эквивалентное количество токенов XLM из своих резервов, чтобы избежать путаницы и сохранить паритет.

В отчёте отмечается, что участвовавшие в инциденте адреса кошельков и соответствующие транзакции не отображаются ни в Stellar Expert, ни в других обозревателях блокчейнов, но легко обнаруживаются с помощью API Horizon.

Специалисты Messari считают, что Stellar намеренно скрыла как саму проблему, так и её последствия. В ответ на обвинения, представитель Stellar возразил, что описанный баг и связанный с ним инцидент дважды упоминались в примечаниях к релизам протоколов, а политика огласки подобных происшествий компании с тех пор изменилась:

«В апреле 2017 года Stellar был молодым проектом с открытым исходным кодом и небольшим, но преданным коммьюнити разработчиков. На тот момент достаточно было сообщать о багах в комментариях к релизу. […] Мы упоминали об этом баге дважды и чётко дали понять, что он был использован. […] Мы понимаем, что с тех пор Stellar стал серьёзным финансовым ПО, и наши стандарты раскрытия информации повысились соответственно. За это время значимых инцидентов не случалось, но если бы они произошли, мы бы раскрыли информацию во всех подробностях сразу после исправления ошибки».

Stellar также отметила, что в дорожной карте на 2019 год, опубликованной в прошлом месяце, она обязалась до конца года провести полный учёт всех токенов XLM, который также будет включать подробную информацию об этом инциденте.

Напомним, вчера американская криптовалютная биржа Coinbase запустила образовательную программу для пользователей, желающих изучать протокол Stellar. После просмотра обучающих видео и успешного прохождения финальных тестов, участники программы получат вознаграждение на сумму до $50. Всего на программу Coinbase выделила 100 миллионов долларов.