多重签名的以太坊钱包Parity宣布了一个重大漏洞,该漏洞导致了价值超过1.5亿美元的以太坊资金被冻结。这个关键漏洞会使多重签名的智能合约无法使用,造成上亿美元的以太坊资产被冻结。

今年七月Parity才刚刚遭遇黑客攻击,至少有15万个以太坊被盗,Parity的名誉严重受损,并一直在努力修复名誉,已经帮助用户追回了一些被黑客盗取的以太坊。而现在又爆出第二个重大漏洞,对Parity来说可谓是糟糕至极。

以太坊钱包Parity发现第二个关键漏洞 价值超1.5亿美元的ETH被冻结

被盗事件之后,Parity针对该漏洞发布了一个修补程序,部署了多重签名智能合约来解决第一次的漏洞。但现在又发现新的代码里存在另外的漏洞,Parity的多重签名系统库出了问题,别人可以通过初始化钱包获得所有权。

Parity团队在一篇博客文章中解释了新的漏洞:

这个问题被发现于2017年11月6下午02:33:47,一个用户卸载了钱包,并清空了缓存,这导致了多重签名智能合约无法使用,因为它的程序逻辑存在缓存库中。

这个帖子总结说,这意味着目前资产无法从钱包中被转移出来,在消息传出之后,目前已经有价值1.5亿美元的以太坊被冻结,包括Polkadot在内的一些公司也报告说他们的资产被冻结无法转出。

在7月19日发生的黑客攻击中,一些企业,比如Aeternity、EdgelessCasino和SwarmCity等被攻破,损失了44000个以太坊。尽管目前还没有正式的详细报道,但用户的资金这个时候被盗,让这些炫耀曾为以太坊公共设施提供了大量建设帮助的钱包,打了自己的脸。

Parity钱包已经在一些社交媒体的报道中被抹黑,若此次被冻结的资产再次被盗,将被看成是一种“投机”行为。虽然“尽我们所知”这句话可能无法再激发起用户的信任,但Parity目前正在调查此事,并承诺不久后发布另外一个更新。