以太坊危机:Parity多重签名钱包漏洞事件浅谈
就11月7号被报道的Parity多重签名钱包漏洞事件,Github用户devops199 https://github.com/devops199 (ETH地址:0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 https://etherscan.io/address/0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 )作为一个以太坊新手意外地删除了合约,导致在7月20号之后的5513,743个ether被冻结,其中Polkadot https://polkadot.io/ 约有306,276个。Parity团队在官方博文中也写出了事件的过程和影响 https://paritytech.io/blog/security-alert.html 。对于此次多重签名钱包parity https://parity.io/ 发生的“合约自杀”和ether被冻结事件的漏洞,谈谈我自己的一些看法。
第一次听到Gavin Wood这个名字,是在去年我为Ethereum社区帮忙翻译黄皮书的时候。他那时身为Ethereum的CTO发表了以太坊黄皮书 http://gavwood.com/paper.pdf ,之后便是parity多重签名钱包,和Polkadot,中间也与他有过一次邮件通信。
回到漏洞这个问题,其实早在今年的7月20号,ParityMultisig (多重签名) 钱包就被爆出有漏洞,官方博文也解释了过程和影响 https://paritytech.io/blog/security-alert-high-2.html 。攻击者从三个高安全的多重签名钱包合约中盗取了约150,000个ether(市价约$2551万,ETH地址: 0xb3764761e297d6f121e79c32a65829cd1ddb4d32)。但是缓解的办法仅为“立即将包含多重数字签名钱包里面的所有资产移除到一个安全的账号”,却没有下一步的行动,以导致于这次的大祸。对于目前冻结的ether,官方目前还没给出解决方案。有些专业人士分析,“硬分叉”是一种返还资金的一种方式,但是将会引起一次争议,而且一些用户已经表示“拒绝”接受这样的分叉。广大用户希望能更早更好的听到合理的解决方案。
此次事件,对于区块链技术不是致命的打击,反而对区块链开发者是一个很好的警钟。此事件也不会阻挡和打乱国内外区块链开发者的部署,以及尽快实现区块链落地。在此也恭喜以太坊DEVCON3圆满成功 https://ethereumfoundation.org/devcon3/ (本人预约学生票成功,但是开会期间有课,以致于放弃购票)。
参与项目人员,可以查询自己的钱包是否受影响:https://affected.parity.io/。
名词解释
数字签名(DigitalSignature)
数字签名是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。就是除了信息的发送者之外,产生别人无法伪造的一段数字串,这段数字串也有效地证明信息的真实性,简单证明“我就是我”,也就是区块链技术中所称为的公钥和密钥。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。(详情可关注本公众号查看推文:平行区块链之数据篇:数字签名)。
数字多重签名(MultiSignature)
数字多重签名相对于数字签名来说,数字多重签名则是需要多个公钥和密钥来共同实现一个验证信息的方法。在区块链中,典型的多重签名合约有:gnosis 版本https://gnosis.pm/ ,zepplinos 版本http://www.lifeinbeta.org/2017/09/zepplinos-draft-white-paper-released/
parity 版本。https://parity.io/
作者简介
高天露
美国丹佛大学在读硕士研究生,
平行区块链特约作者,
主要研究方向为微电网和区块链。
E-mail:tianlu.jorden.gao@gmail.com
TIANLU GAO
Master student of University of Denver(inprocessing).His research interest covers microgrid and blockchain.
注:本文为平行区块链原创专栏文章,由于微信公众平台暂不支持导入外部链接,为方便您的阅读,文中所有相关链接已随关键词附上。欢迎转载,转载请注明文章来源及作者信息。