不明用户触发源代码漏洞 冻结以太坊钱包中的2.85亿美元
翻译:360代码卫士团队
本周一,一名身份不明的用户触发了Parity 以太坊钱包源代码中的一个bug,导致用户账户资金永久锁定。
Parity开发人员证实了此问题并发布补丁。该bug仅影响Parity多人签名钱包即将资金转移到新账户前要求从多名用户获取签名的账户。
并非所有的多签名钱包均受影响,只有从7月20日起至今的钱包受影响。
问题存在于遭黑客利用的另外一个漏洞的补丁中
Parity app开发人员在安全警告中指出,这个bug实际存在于此前用于修复Parity 缺陷的一个补丁(7月20日发布)中。这个补丁修复了黑客于7月19日利用的一个安全缺陷,黑客借该漏洞从多人签名钱包中窃取了当时价值300万美元的钱款。
多人签名钱包因其运作方式而备受企业青睐。企业指定多人看管账户。多人签名钱包还用于首次代币发行中,它类似于现实生活中的首次公开发行集资活动。也就是说多数受影响钱包可能属于企业或多个金融机构。
Pastebin上的一个帖子列出了71个受影响账户,持有超过93万以太坊或近2.85亿美元。受影响钱包的数量和实际的损失可能更多。
其中一个受影响账户属于一款以太坊appPolkadot,它是由Parity钱包兼以太坊核心开发人员GavinWoods开发的。Polkadot证实这个bug影响其中一个存储价值近9000万美元以太坊的多人签名钱包。
代号为 “Devops199”的GitHub用户表示发现并不小心触发了这个bug。
Comae技术公司的安全研究员MattSuiche已公布对近期发现的Paritybug的分析。这个bug显然存在于由Parity底层钱包技术使用的一个库中。
目前尚不清楚Parity团队将如何解锁多人签名钱包。其中一种方法是硬分叉整个以太坊货币来应用解锁受影响的变更。虽然这是一个有效的做法,但硬分叉并不能让所有用户满意,因此Parity仍在查找其它解决方案。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/unknown-user-triggers-bug-that-freezes-285mil-inside-ethereum-wallets/