本週第二起以太幣遭駭事件出現!兩天前,以太坊社群才剛被盜走740萬美元,現又有價值3,000萬美元的以太幣遭竊。
由以太坊共同創辦人打造的Parity有漏洞
由乙太坊共同創辦人伍德(Gavin Wood)設計、號稱是「最快速、最安全的以太坊客戶端應用」的以太坊錢包Parity,在今日遭駭客攻擊,旗下用戶被竊取超過15萬個以太幣,價值約3,000萬美元。而這個損失金額還是搶救過後的結果,資料顯示,白帽駭客已經復原了37.7萬個原可能同樣遭竊的以太幣,否則災情可能更嚴重。
目前已知至少有三家近期透過以太坊進行首次代幣眾籌(ICO)的公司為最大受災戶,分別為區塊鏈賭場Edgeless Casino、檔案分享平台Swarm City和開發區塊鏈智慧合約的æternity blockchain。不過,目前僅有Swarm City公開確認遭駭消息,表示他們的乙太坊錢包中有44,055個以太幣(價值915萬美元)遭竊。
《The Silicon Angle》指出,近來以太坊攻擊事件頻傳,也是因為駭客瞄準有越來越多公司透過以太坊ICO,且金額皆相當可觀。例如,Edgeless Casino在ICO籌得約200萬美元。至於æternity blockchain,則在ICO募得近122,000個比特幣,很有可能也是這次駭客事件最大的受災戶。
Parity在遭盜的幾小時後,也在網站公告,提醒用戶「立刻」將以太幣轉到其他安全帳戶。
Parity說明,駭客是利用多重簽名錢包Parity 1.5最新版本中智慧合約的漏洞,盜取旗下用戶的以太幣。多重簽名錢包讓多人共同控管私人加密金鑰,一旦多數擁有金鑰的人同意交易,便可將以太幣從錢包中領出。駭客即是利用這個漏洞,讓系統以為其為該錢包的擁有者,盜取用戶帳戶中的以太幣。
萊特幣創始人Charlie Lee在Twitter上表示,如果連打造乙太坊智慧合約的Gavon Wood都沒辦法寫出安全的多重簽名錢包,那麼我們幾乎可以確定以太坊將成為駭客天堂。萊特幣為另一種電子加密貨幣、原理和比特幣類似。
If the creator of Solidity, Gavin Wood, cannot write a secure multisig wallet in Solidity, pretty much confirms Ethereum is hacker paradise. https://t.co/WAR3eltfWl
— Charlie Lee (@SatoshiLite) July 19, 2017
一周內,價值4千萬美元的以太幣遭竊
綜合本次Parity遭駭的3千萬美元,以及兩天前CoinDash遭駭的7百萬美元,本週以太坊社群累計已被盜取高達近4千萬美元。
去年,以太坊才發生史上損失金額最高的竊取事件。透過以太坊技術打造的創投基金公司The DAO,因為程式漏洞,遭駭客竊取高達價值5,300萬美元的以太幣。在那之後,The DAO將以太坊分成兩種版本,以沒收遭竊取的以太幣。由於該作法打破區塊鏈不可逆的特性,在當時引起激烈討論。
雖然虛擬貨幣越來越受歡迎,但若不能有效提高安全性,恐怕仍很難成為主流社會認可的新標準。
資料來源:Coindesk、MotherBoard、Futurism
