2017 年時,由乙太坊共同創辦人 Gavin Wood 所設計的以太坊錢包 Parity,因為錢包多重簽名的漏洞,導致高達 15 萬枚以太幣(當時價值約 3,000萬美元)被竊。昨日,PeckShield 發推文表示其中一個駭客錢包地址轉移了 990 枚 ETH 到混幣器 Tornado Cash。
(背景補充:PeckShield |《2020數位貨幣反洗錢報告》傳統途徑遭打擊,暗網流入虛擬貨幣交易所漸長)
區塊鏈安全公司 PeckShield 在昨日晚間在推特發文表示,2017 年盜竊以太坊錢包 Parity 的一個駭客地址目前出現異動,鏈上數據顯示標記為駭客地址中的 990 枚 ETH 已經被轉移到混幣器 Tornado Cash。
註:Tornado Cash 它允許用戶存入以太幣,並透過另一個帳戶提款,打破兩個錢包在鏈上的關聯。提高追蹤資金的難度
In 2017, Parity lost over 150,000 $ETH (~ $30m at that time, ~$300m at the present time) to hackers who exploited a vulnerability in its multi-sig software wallet.
on December 27, 2020, the hackers converted ~300 $ETH to #renBTC. https://t.co/mKWftyLghD— PeckShieldAlert (@PeckShieldAlert) March 14, 2022
被竊取超過 15 萬枚以太幣
據了解,由乙太坊共同創辦人 Gavin Wood 所設計的以太坊錢包 Parity,在 2017 年遭駭客攻擊,旗下用戶被竊取超過 15 萬枚以太幣( 當時價值約 3,000萬美元),是以太坊上最大的駭客事件之一。
根據 Parity 當時的說明,該漏洞是出現在 Parity Wallet 中的多重簽名(multi-signature,multi-sig)功能中。原本該功能是用來保障以太幣的存取安全,由以太坊社群共同開發,卻在經由 Parity 重組後出現了漏洞,允許駭客重設錢包的所有權,還可變更錢包的使用參數,影響了當時所建立的多簽錢包。
成功保住 37 萬枚以太幣,否則災情恐更嚴重
值得注意的是,這個損失金額還是經白帽駭客搶救過後的結果。Parity 指出,當時約有 596 個 Parity Wallet 錢包含有該漏洞,但駭客只掌控了其中的 3 個,其他的則被白帽駭客藉由同一漏洞暫時接管,並宣稱會把錢包的掌控權還給原來的主人。
讓項目方成功保留了 37.7 萬枚,原可能因同樣原因遭竊的以太幣,否則災情可能會更嚴重。
案件之後,Parity 宣布已修補漏洞,並宣布未來針對合約程式所進行的任何修改都由邀請Solidity 專家來檢驗,並反省 multi-sig 在變更、撰寫與除錯上的程序,希望加強保護用戶資產。
