2017年7月18日凌晨4时,CoinDash(Coin大师)发布重要公告通知,信息称昨夜黑客通过挟持Coin大师网站期间向用户发布虚假虚拟币收货地址,用自己的钱包地址取代Coindash的。当人们向Coindash投资时,实际上是把以太币汇给了黑客,而不是公司。由于交易量较大,在很短时间内潜在投资者已经向属于黑客的Coindash地址发送了43,438.45个以太币(大约740万美元)。
这次事件中受到损失的投资者请尽快向 CoinDash平台提交相关的交易信息表,以便CoinDash及时处理本次黑客攻击事件。目前给出的补偿策略是无论账户损失与否都像用户正常返还代币。
官网公告
信息提交地址如下:
https://docs.google.com/forms/d/13S2gbsO2eHcqk7MmAwLF9Ky1k4E7EUE9jnry79GR50U/viewform?ts=596cfbdf&edit_requested=true
这次事件的发生,不禁让人想起了,The DAO事件,这可以说的上是以太坊的丑闻,当然也直接导致了硬分叉。黑客利用智能合约的缺陷与漏洞,源源不断从1.5亿美金的以太币池中拿走资金,而且还所有无法阻止。
THE DAO事件原因分析:
1 智能合约代码不严谨,导致交易资金出现很大的漏洞。
https://docs.google.com/forms/d/13S2gbsO2eHcqk7MmAwLF9Ky1k4E7EUE9jnry79GR50U/viewform?ts=596cfbdf&edit_requested=true
2 后面为了解决修复智能合约,进行软分叉的尝试。最后失败的因素还是在一方面在于人们接受了去中心化理念后因为为了修复bug而导致变更不允许发生的变更,即理念冲突。第二方面在于,修复方案也和以太坊平台设计思路冲突,即该合约思路没问题但未收取gas。而通过软分叉升级可能会导致攻击者零成本利用软分叉来攻击整个体系。因而软分叉方案全部失败。
3 最后采用了硬分叉。虽然已经导致了以太坊直接撕裂成了ETH和ETC(旧版),但最后还是没能解决问题,因为会存在重放攻击。新链上的交易广播到旧链上,交易依然能够成功,因而造成使用混乱。
4 合约升级后依然还是存在漏洞,虽然封堵了withdrawalFor的漏洞,但是整个机制中依然存在问题。其原因还是在于检测员总是习惯一次检测一个功能,并假定调用安全子例程将会安全的如预期的操作。而很少系统性的测试并假定容易被攻击的可能性。
不断发生的安全事件,给很多热衷于区块链项目投资人敲响了警钟。
众所周知,以太坊本身的技术要比比特币强,修复了很多的bug并实现了智能合约技术,本身安全性更胜一筹,但却会不定时的发生各种安全事件,从一方面来说,我们可以看到区块链技术的整体发展还处于初步阶段,未来还有很大的发展空间,需要从技术应用层面和安全性上不断的完善和发展。另一方面,作为区块链项目的投资者,也要保持头脑的冷静,不是所有的区块链项目都有投资的价值及升值的空间。你想要10%的收益,别人可能想要得是你100%的本金。
网友评论