以太坊錢包Parity存在重大安全漏洞,2.85億美元的以太幣被凍結
近日,Parity Technologies公司(Parity錢包幕後的公司)通知其客戶稱,由於7月20日之後創建的多重簽名錢包出現了嚴重的安全漏洞,致使客戶想要從受影響的錢包中轉移資金變得無法實現。
關於Ethereum(以太坊)和以太幣
以太坊(Ethereum)是一款能夠在區塊鏈上實現智能合約、開源的底層系統,使開發人員能夠建立和發布下一代分散式應用。 以太坊可以用來編程,分散,擔保和交易任何事物:投票,域名,金融交易所,眾籌,公司管理,合同和大部分的協議,知識產權,還有得益於硬體集成的智能資產。
而以太幣(ETH)則是以太坊(Ethereum)的一種數字代幣,被視為「比特幣2.0版」,採用與比特幣不同的區塊鏈技術「以太坊」(Ethereum),開發者們需要支付以太幣(ETH)來支撐應用的運行。和其他數字貨幣一樣,以太幣可以在交易平台上進行買賣。
2017年6月12日,以太幣價格突破400美元,創下歷史新高,從2017年2月份的8美元到6月15日的400美元,以太幣的價格已經增長了50倍,大有「接棒」比特幣繼續大漲的勢頭。
安全漏洞致使大量以太幣凍結
不可否認的現實是,在以太幣全球火爆的背後安全問題也開始日益突顯。早在4個月前,以太坊錢包Parity就曾遭遇黑客攻擊,並被竊取了15.3萬以太幣(約合3200萬美元)。近日,Parity也被曝存在嚴重安全漏洞,致使價值2.85億美元的以太幣被凍結,無法轉移。
據悉,此次安全問題是被一位普通用戶所發現並利用,該用戶試圖利用源代碼中的一個安全漏洞,隨機地移除進程中一些關鍵的庫代碼,致使共用的library合約被抹除,目前已經確認有930000個以太坊(價值2.8億美元)無法轉移。
據Parity的一名開發人員回應稱,
攻擊者可以將Parity錢包library(庫)合約變成一個普通的多重簽名錢包,並且通過調用initWallet函數將自身變成它的所有者。該問題應該是在UTC(世界標準時間)2017年11月6日下午02:33:47被偶然觸發的,隨後一名普通用戶利用了該安全問題,將庫變成了錢包(library-turned-into-wallet),並清理掉了庫代碼,致使大量的多重簽名合約變得不可用,因為它們的邏輯(所有的狀態修改功能)都在這個被刪除的庫中。
該公司承諾將在稍後發布更多有關此次事件的細節信息。
安全問題頻發的以太幣
其實,大家都知道,這已經不是以太坊第一次曝出存在安全漏洞。今年7月19日,多重簽名錢包Parity1.5及以上版本就曾出現過安全漏洞,致使15萬個以太坊ETH(以太幣)被盜,共計價值3000萬美元。
當時,Parity發言人表示,此次其旗下的以太坊錢包被盜主要是由一個名為wallet.so的多重簽名智能合約出現漏洞所導致的。黑客利用 wallet.sol 多重簽名合約中存在的漏洞,向受害者發起兩筆特定交易,藉此獲取該地址的所有權並迅速將裡面所有的資產轉移出來。
慶幸的是,當時Parity公司立即採取了緊急應對措施,並在白帽黑客的幫助下成功「挽回」了377,000 個即將被盜的以太幣。
此外,以太坊發生的最大的盜竊事件就當屬The DAO(眾籌超過1.5億美元的分散式自治組織)了。2016年6月,最大的眾籌項目The DAO遭遇黑客攻擊,損失超過6000萬美元價值的以太幣。
當時,TheDAO編寫的智能合約中存在一個splitDAO函數,攻擊者通過此函數中的漏洞重複利用自己的DAO資產,從而不斷地從TheDAO項目的資產池中分離DAO資產給自己。
以太坊團隊為了阻止黑客向交易所出售被盜取的以太坊,直接宣布以太坊網路分裂成原始區塊和新的區塊鏈。黑客盜取的以太坊不會出現在新的以太坊區塊鏈中,自此以太坊分裂成以太經典(原始鏈)和以太坊(新鏈)
本文翻譯自:https://latesthackingnews.com/2017/11/08/critical-bug-in-parity-ethereum-wallet-freezes-285-million/,如若轉載,請註明原文地址: http://www.4hou.com/info/news/8346.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
TAG:信息安全 |