以太坊錢包Parity存在重大安全漏洞，2.85億美元的以太幣被凍結

近日，Parity Technologies公司（Parity錢包幕後的公司）通知其客戶稱，由於7月20日之後創建的多重簽名錢包出現了嚴重的安全漏洞，致使客戶想要從受影響的錢包中轉移資金變得無法實現。

關於Ethereum（以太坊）和以太幣

以太坊（Ethereum）是一款能夠在區塊鏈上實現智能合約、開源的底層系統，使開發人員能夠建立和發布下一代分散式應用。 以太坊可以用來編程，分散，擔保和交易任何事物：投票，域名，金融交易所，眾籌，公司管理，合同和大部分的協議，知識產權，還有得益於硬體集成的智能資產。

而以太幣（ETH）則是以太坊（Ethereum）的一種數字代幣，被視為「比特幣2.0版」，採用與比特幣不同的區塊鏈技術「以太坊」（Ethereum），開發者們需要支付以太幣（ETH）來支撐應用的運行。和其他數字貨幣一樣，以太幣可以在交易平台上進行買賣。

2017年6月12日，以太幣價格突破400美元，創下歷史新高，從2017年2月份的8美元到6月15日的400美元，以太幣的價格已經增長了50倍，大有「接棒」比特幣繼續大漲的勢頭。

安全漏洞致使大量以太幣凍結

不可否認的現實是，在以太幣全球火爆的背後安全問題也開始日益突顯。早在4個月前，以太坊錢包Parity就曾遭遇黑客攻擊，並被竊取了15.3萬以太幣（約合3200萬美元）。近日，Parity也被曝存在嚴重安全漏洞，致使價值2.85億美元的以太幣被凍結，無法轉移。

據悉，此次安全問題是被一位普通用戶所發現並利用，該用戶試圖利用源代碼中的一個安全漏洞，隨機地移除進程中一些關鍵的庫代碼，致使共用的library合約被抹除，目前已經確認有930000個以太坊（價值2.8億美元）無法轉移。

據Parity的一名開發人員回應稱，

攻擊者可以將Parity錢包library（庫）合約變成一個普通的多重簽名錢包，並且通過調用initWallet函數將自身變成它的所有者。該問題應該是在UTC（世界標準時間）2017年11月6日下午02:33:47被偶然觸發的，隨後一名普通用戶利用了該安全問題，將庫變成了錢包（library-turned-into-wallet），並清理掉了庫代碼，致使大量的多重簽名合約變得不可用，因為它們的邏輯（所有的狀態修改功能）都在這個被刪除的庫中。

該公司承諾將在稍後發布更多有關此次事件的細節信息。

安全問題頻發的以太幣

其實，大家都知道，這已經不是以太坊第一次曝出存在安全漏洞。今年7月19日，多重簽名錢包Parity1.5及以上版本就曾出現過安全漏洞，致使15萬個以太坊ETH（以太幣）被盜，共計價值3000萬美元。

當時，Parity發言人表示，此次其旗下的以太坊錢包被盜主要是由一個名為wallet.so的多重簽名智能合約出現漏洞所導致的。黑客利用 wallet.sol 多重簽名合約中存在的漏洞，向受害者發起兩筆特定交易，藉此獲取該地址的所有權並迅速將裡面所有的資產轉移出來。

慶幸的是，當時Parity公司立即採取了緊急應對措施，並在白帽黑客的幫助下成功「挽回」了377,000 個即將被盜的以太幣。

此外，以太坊發生的最大的盜竊事件就當屬The DAO（眾籌超過1.5億美元的分散式自治組織）了。2016年6月，最大的眾籌項目The DAO遭遇黑客攻擊，損失超過6000萬美元價值的以太幣。

當時，TheDAO編寫的智能合約中存在一個splitDAO函數，攻擊者通過此函數中的漏洞重複利用自己的DAO資產，從而不斷地從TheDAO項目的資產池中分離DAO資產給自己。

以太坊團隊為了阻止黑客向交易所出售被盜取的以太坊，直接宣布以太坊網路分裂成原始區塊和新的區塊鏈。黑客盜取的以太坊不會出現在新的以太坊區塊鏈中，自此以太坊分裂成以太經典（原始鏈）和以太坊（新鏈）

本文翻譯自：https://latesthackingnews.com/2017/11/08/critical-bug-in-parity-ethereum-wallet-freezes-285-million/，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8346.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：