打造知名以太幣錢包Parity Wallet的Parity Technologies周二(11/7)指出,Parity Wallet的多重簽名(multi-signature,multi-sig)功能含有一安全漏洞,且在周一(11/6)被一名使用者無意間觸發,只要是在7月20日以後建立的多重簽名錢包都遭到凍結。儘管Parity並未公布遭到凍結的以太幣數量,但研究人員估計這批以太幣可能價值2.8億美元。
今年7月駭客才透過Parity Wallet的安全漏洞,自3個錢包中盜走了價值超過3000萬美元的逾15萬個以太幣。接著Parity便在7月20日釋出新版Parity Wallet以修補該漏洞。
然而,Parity發現,新版Parity Wallet還是存在另一個問題,使用者可藉由呼叫initWallet功能指派自己成為錢包的主人並將函式庫錢包轉成多重簽名錢包。之後該名使用者還可以呼叫kill()以移除函式庫程式碼,並造成所有的多重簽名合約無法使用。
此一漏洞影響了所有於7月20日之後所建立的多重簽名錢包,因為這些錢包再也無法使用該函式庫,存放於當中的以太幣亦動彈不得。
觸發該漏洞、代號為devops199的使用者指出,Parity Wallet所部署的多重帳號錢包仰賴的是位於某個地址的函式庫,他讓自己成為基於該地址的合約所有人,且不小心將該函式庫刪除了。
安全研究人員Matt Suiche則估計,這個偶然被觸發的漏洞凍結了價值超過2.8億美元的以太幣,其中有9000萬美元為Parity創辦人Gavin Woods所有。
Parity則說還在分析此一狀況,很快就會揭露更多的細節並釋出更新。
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-02