导语:近日,Parity Technologies公司(Parity钱包幕后的公司)通知其客户称,由于7月20日之后创建的多重签名钱包出现了严重的安全漏洞,致使客户想要从受影响的钱包中转移资金变得无法实现。
近日,Parity Technologies公司(Parity钱包幕后的公司)通知其客户称,由于7月20日之后创建的多重签名钱包出现了严重的安全漏洞,致使客户想要从受影响的钱包中转移资金变得无法实现。
关于Ethereum(以太坊)和以太币
以太坊(Ethereum)是一款能够在区块链上实现智能合约、开源的底层系统,使开发人员能够建立和发布下一代分布式应用。 以太坊可以用来编程,分散,担保和交易任何事物:投票,域名,金融交易所,众筹,公司管理,合同和大部分的协议,知识产权,还有得益于硬件集成的智能资产。
而以太币(ETH)则是以太坊(Ethereum)的一种数字代币,被视为“比特币2.0版”,采用与比特币不同的区块链技术“以太坊”(Ethereum),开发者们需要支付以太币(ETH)来支撑应用的运行。和其他数字货币一样,以太币可以在交易平台上进行买卖。
2017年6月12日,以太币价格突破400美元,创下历史新高,从2017年2月份的8美元到6月15日的400美元,以太币的价格已经增长了50倍,大有“接棒”比特币继续大涨的势头。
安全漏洞致使大量以太币冻结
不可否认的现实是,在以太币全球火爆的背后安全问题也开始日益突显。早在4个月前,以太坊钱包Parity就曾遭遇黑客攻击,并被窃取了15.3万以太币(约合3200万美元)。近日,Parity也被曝存在严重安全漏洞,致使价值2.85亿美元的以太币被冻结,无法转移。
据悉,此次安全问题是被一位普通用户所发现并利用,该用户试图利用源代码中的一个安全漏洞,随机地移除进程中一些关键的库代码,致使共用的library合约被抹除,目前已经确认有930000个以太坊(价值2.8亿美元)无法转移。
据Parity的一名开发人员回应称,
攻击者可以将Parity钱包library(库)合约变成一个普通的多重签名钱包,并且通过调用initWallet函数将自身变成它的所有者。该问题应该是在UTC(世界标准时间)2017年11月6日下午02:33:47被偶然触发的,随后一名普通用户利用了该安全问题,将库变成了钱包(library-turned-into-wallet),并清理掉了库代码,致使大量的多重签名合约变得不可用,因为它们的逻辑(所有的状态修改功能)都在这个被删除的库中。
该公司承诺将在稍后发布更多有关此次事件的细节信息。
安全问题频发的以太币
其实,大家都知道,这已经不是以太坊第一次曝出存在安全漏洞。今年7月19日,多重签名钱包Parity1.5及以上版本就曾出现过安全漏洞,致使15万个以太坊ETH(以太币)被盗,共计价值3000万美元。
当时,Parity发言人表示,此次其旗下的以太坊钱包被盗主要是由一个名为wallet.so的多重签名智能合约出现漏洞所导致的。黑客利用 wallet.sol 多重签名合约中存在的漏洞,向受害者发起两笔特定交易,借此获取该地址的所有权并迅速将里面所有的资产转移出来。
庆幸的是,当时Parity公司立即采取了紧急应对措施,并在白帽黑客的帮助下成功“挽回”了377,000 个即将被盗的以太币。
此外,以太坊发生的最大的盗窃事件就当属The DAO(众筹超过1.5亿美元的分布式自治组织)了。2016年6月,最大的众筹项目The DAO遭遇黑客攻击,损失超过6000万美元价值的以太币。
当时,TheDAO编写的智能合约中存在一个splitDAO函数,攻击者通过此函数中的漏洞重复利用自己的DAO资产,从而不断地从TheDAO项目的资产池中分离DAO资产给自己。
以太坊团队为了阻止黑客向交易所出售被盗取的以太坊,直接宣布以太坊网络分裂成原始区块和新的区块链。黑客盗取的以太坊不会出现在新的以太坊区块链中,自此以太坊分裂成以太经典(原始链)和以太坊(新链)