Parity 錢包合約漏洞

最新推荐文章于 2024-05-01 16:09:53 发布
最新推荐文章于 2024-05-01 16:09:53 发布
阅读量810 收藏
点赞数
分类专栏: 区块链 / 安全 以太坊 ETH / 智能合约 以太坊 / ETH 文章标签: Parity Wallet 漏洞 智能合约
本文详细解析了Parity钱包合约中的两个重大安全漏洞:一是智能合约中的delegatecall漏洞导致的大规模以太币被盗;二是合约自删除漏洞,使得大量以太币被冻结。文章深入探讨了漏洞产生的原因及防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

還記得今年 7 月 Parity 錢包合約被找到漏洞,結果駭客偷走了將近 150,000 個以太幣,會發生是因為智能合約的 callback 裡使用了 delegatecall(msg.data),這個函數會呼叫 data 中的函數並將 msg.sender 設為原呼叫函數的地址,駭客利用這一點呼叫了 initWallet,這時你們可能會以為 Parity 應該有在 initWallet 設置條件阻擋駭客就不能呼叫,結果竟然是沒有!所以駭客就成功並改變合約的擁有者,最後再把以太幣轉走,細節的部分可以看這篇文章

Parity 也在幾天後修復了這個問題,修復的方式就是在 init* 函數加上 only_uninitialized modifier 判斷,當 m_numOwners > 0 時這個函數就不能使用,這時應該會想說不會再有漏洞了吧,畢竟智能合約能操作以太幣,誰知道……

就在前幾天有人發布了新 issue 說他不小心刪除了錢包的合約,因為只有合約的擁有者可以刪除,那麼他到底怎麼刪除合約?可以看到錢包合約被刪除前共有兩筆交易,第一筆交易呼叫 initWallet 並將合約的擁有者設為自己。

function initWallet(address[] _owners, uint _required, uint _daylimit) only_uninitialized {
 initDaylimit(_daylimit);
 initMultiowned(_owners, _required);
}

交易結果:

Function: initWallet(address[] _owners, uint256 _required, uint256 _daylimit)
MethodID: 0xe46dcfeb
[0]:0000000000000000000000000000000000000000000000000000000000000060
[1]:0000000000000000000000000000000000000000000000000000000000000000
[2]:0000000000000000000000000000000000000000000000000000000000000000
[3]:0000000000000000000000000000000000000000000000000000000000000001
[4]:000000000000000000000000ae7168deb525862f4fee37d987a971b385b96952

第二筆交易呼叫了 kill 函數,而 kill 函數呼叫了 suicide (selfdestruct 函數的別稱,功能是將合約程式從區塊鏈移除,並將合約剩餘的以太幣轉給參數的位置),錢包的程式就從區塊鏈上移除了。

function kill(address _to) onlymanyowners(sha3(msg.data)) external {
 suicide(_to);
}

交易結果:

Function: kill(address _to)
MethodID: 0xcbf0b0c0
[0]:000000000000000000000000ae7168deb525862f4fee37d987a971b385b96952

因為很多使用這個錢包的合約引入位置都寫死導致很多合約不能運作,在 Polkadot 裡第 451 行就將錢包合約地址寫死:

address constant _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4;

因為所有邏輯判斷都在錢包合約中,所以其他相依於錢包合約的現在以太幣都被凍結,且看起來像這樣 (無法提款):

contract Wallet {
    function () payable {
          Deposit(...)
    }
}

Parity 官方還在了解可行的解決方案,如果想查詢自己有沒有被影響可以到這個網站

如何預防

這次的事件 Parity 說明有兩種預防方式。一種是智能合約不該有自殺的函數,這樣即便黑客獲得了權限也無法把合約移除。一種是有新的建議及改善時,要及時更新線上的合約或是找尋線上合約可能的漏洞,因為在這問題發生前,就有網友提議在合約部屬時要自動呼叫 initWallet(pr) 加強合約的安全。

如何取得凍結的資金

目前沒有其他方式可以取得凍結的資金,只能期待未來有相關的改善建議實作在以太坊,或是以太坊實行硬分叉回復狀態到錢包合約刪除之前。

參考

Security Alert - Parity Technologies
Winter may be coming but the moment you've all been waiting for has finally arrived: Parity Tech is excited to announce…paritytech.io
Parity Wallet Hack 2: Electric Boogaloo
Postmortem: The what, when, and how of the Nov 6th Parity Wallet Hackhackernoon.com

https://paritytech.io/blog/security-is-a-process-a-postmortem-on-the-parity-multi-sig-library-self-destruct.html

原文地址:https://medium.com/taipei-ethereum-meetup/parity-%E9%8C%A2%E5%8C%85%E5%90%88%E7%B4%84%E6%BC%8F%E6%B4%9E-43ed412ebcd2

*深度解析:基于DeepSeek的DeFi协议智能合约漏洞检测实战指南——从原理到部署的完整实现
理论都是虚的,代码才是王道。
03-09 539
随着区块链技术的快速发展,去中心化金融(DeFi)协议已成为金融科技领域的重要创新。DeFi协议通过智能合约实现自动化金融服务,然而,智能合约的安全性一直是开发者关注的焦点。近年来,智能合约漏洞导致的资金损失事件频发,如The DAO事件、Parity钱包漏洞等,凸显了智能合约漏洞检测的重要性。当前,智能合约漏洞检测技术主要分为静态分析、动态分析和形式化验证三类。静态分析通过代码扫描检测潜在漏洞,动态分析通过执行合约代码发现漏洞,形式化验证则通过数学证明确保合约的正确性。
智能合约漏洞攻击事件_智能合约百科全书攻击漏洞
weixin_26747751的博客
09-14 6447
智能合约漏洞攻击事件Applications on Ethereum manage financial value, making security absolutely crucial. As a nascent, experimental technology, smart contracts have certainly had their fair share of attacks. 以太...
《我学区块链》—— 十二、以太坊安全之 Parity 第一次安全事件漏洞分析
xuguangyuansh的博客
06-23 1707
十二、合约安全之 Parity 第一次漏洞分析        截止目前,Parity 多重签名钱包共发生过两次安全事件,第一次发生在 2017年07月19日,涉
《我学区块链》—— 十三、以太坊安全之 Parity 第二次安全事件漏洞分析
xuguangyuansh的博客
07-16 978
十三、合约安全之 Parity 第二次漏洞分析        Parity 多签钱包的第二次漏洞发生于 2017年11月07日,不同于 17年7月19日那次,本次不是资产被黑客盗走,而是合约底层被破坏,导致资产就在那,但却永远也取不出,就像驾船到太平洋最深处,投下一枚硬币
Parity多重签名函数库自杀漏洞
Fly_鹏程万里
09-05 829
前言 2017年7月19号发生的 Parity 多重签名合约delegatecall漏洞(Parity Multisig Wallet delegatecall)事件之后,2017年11月6号再次发生了 Parity 多重签名函数库自杀漏洞事件(Parity Multi-Sig Library Self-Destruct)事件。此次漏洞影响587个钱包,包含了 513,774.16 Ethe...
Parity(奇偶校验)和ECC(错误检查和纠正)
charleslei的专栏
03-09 1万+
Parity(奇偶校验) 1、什么是parity? 奇偶校验是一种数据校验机制,用于判断数据在存储过程中是否发生了比特位错误。常用于存储结构中,如RAM。存储结构的最小单元为“字节”,即Byte。每个字节含有8比特,另外增加1比特作为校验位。如下图(1)所示,校验位为所以比特位异或产生,即当8比特有奇数个1时,校验位为1,当有偶数个1时校验位为0。 存储数据时,会对8比特数据进行异或运算得到...
串口通信校验方式(even,odd,space,mark) 分类: 开...
weixin_34405354的博客
07-31 3393
无校验 (no parity) 奇校验 (odd parity):如果字符数据位中"1"的数目是偶数,校验位为"1",如果"1"的数目是奇数,校验位应为"0"。(校验位调整个数) 偶校验 (even parity):如果字符数据位中"1"的数目是偶数,则校验位应为"0",如果是奇数则为"1"。(校验位调整个数) mark parity:校验位始终为1 spa...
智能合约漏洞——delegatecall漏洞
S123456215的博客
05-27 5671
delegatecall与call操作产生的普通智能合约函数调用的最大区别就在于"执行环境不会切换":也就是账户状态、储存状态都保留当前的调用者智能合约对应的状态,并且msg.sender和msg.value也不会改变;仅仅是把目标地址上的代码,拿到智能合约的当前执行环境中来执行。 但是如果是调用的"有状态"的库智能合约是会影响当前智能合约的状态。 FibonacciLib合约示例: contract FibonacciLib{ //数列开始的数字 uint public start;
区块链安全:智能合约漏洞和风险管理
智能合约是一种在区块链上运行的自动化合约,其中包含了预先设定好的条件和执行逻辑。通过智能合约,可以在没有第三方干预的情况下,自动执行合约条款并确保交易的安全和可靠性。 智能合约的作用主要体现在以下几个...
智能合约安全的那些事.pdf
08-08
在这起事件中,漏洞存在于Parity钱包的多重签名钱包合约中。多重签名钱包是一个需要一定数量的密钥签名后,才能执行某项操作的数字钱包。例如,如果一个多重签名钱包合约被设置为需要三个密钥中的两个来确认交易,...
以太坊联盟链 parity 节点搭建
weixin_30530939的博客
05-27 729
上一篇文章介绍了以太坊私有链 geth节点的搭建,本篇介绍下企业级应用 联盟链搭建,运用parity 钱包作为服务节点,实现多节点构建联盟链。 一.parity的实现共识POA 了解区块链的同学,应该都听过pow,pos这些共识算法,那parity的poa是一种什么样的工作原理呢?poa全称 Proof of Authority ,工作权益证明。 poa的特点: 有别于...
区块链快速参考(三)
龙哥盟
05-01 1766
一个关于基于区块链的去中心化应用程序的知名资源是由大卫·约翰逊撰写的名为去中心化应用程序、DApps 的一般理论的白皮书。在这篇白皮书中,他确定了成为 DApp 的四个关键标准:应用程序必须是完全开源的;它必须自主运行,并且没有任何实体控制其大部分代币。该应用程序可以根据提出的改进和市场反馈来调整其协议,但所有变更必须由其用户的共识决定。应用程序的数据和操作记录必须以加密方式存储在公共、去中心化的区块链中,以避免任何中心化的故障点。
centos 安装配置parity
hwy的博客
06-06 2252
获取资源 wget d1h4xl4cr1h0mo.cloudfront.net/v1.8.11/x86_64-unknown-centos-gnu/parity_1.8.11_centos_x86_64.rpm 执行安装: rpm -ivh parity_1.8.11_centos_x86_64.rpm 如果要更新或者降版本,先使用rpm删除当前版本 添加parity的配置文件 conf...
腾讯云安装parity步骤
mslhd的专栏
05-02 885
1.  sudo apt-get update2. git clone https://github.com/paritytech/parity3. cd parity4. cargo build --release假如未安装cargo,需要执行 sudo apt install cargo
parity运行如何保持日志
Schetella的博客
03-10 1092
在ubuntu或者Linux中运行parity,如果直接使用parity --config node.toml是非常烦人的一件事,如果在使用ssh就更加烦了,需要重新开一个窗口才可以,可以使用nohup parity --config node.toml >parity.log 2>&1 & 命令,程序就会后台执行并将日志输入到当前的一个文件中。具体可以参考nohup的...
[区块链]6/6今天中午以太坊公链Parity客户端存在严重bug及解决方案
ECNU乐扣老师——区块链、可计算情感
06-06 895
解决问题长话短说 今天由于以太坊Parity客户端存在严重共识规则bug,受影响的版本:1.10.5-stable 及版本以下,1.11.2-beta 及版本以下。 方案一:可以选择升级到1.10.6稳定版 or 1.11.3测试版本。 方案二:如果出现节点停止症状的可以重新下载parity,禁用自动升级,重启节点方式。...
Linux下parity联盟链的实现
我的博客
04-27 887
目录 一、parity的下载 二、parity UI界面配置 三、启动Authority node 四、连接节点 五、分享给其他节点 一、parity的下载 1.事先打开我们的Linux虚拟机。然后打开我们的文件夹,创建一个PARITY的文件,当然也可以以其他名字命名,这里最好是parity命名。 2.然后进入PARITY文件夹,在终端打开,在管理员权限下输入: wget https://releases.parity.io/ethereum/v1.9.7/x86_64...
什么是单工、半双工和双工通信(最详细)
热门推荐
a3192048的博客
12-28 5万+
单工、半双工、全双工、单工数据传输只支持数据在一个方向上传输;      半双工数据传输允许数据在两个方向上传输,但是,在某一时刻,只允许数据在一个方向上传输,它实际上是一种切换方向的单工通信;      全双工数据通信允许数据同时在两个方向上传输,因此,全双工通信是两个单工通信方式的结合,它要求发送设备和接收设备都有独立的接收和发送能力。      网卡的全双工(Full Duplex)是指网卡...
win10如何安装parity钱包
最新发布
03-25
<think>好的,我现在需要帮助用户在Windows 10上安装Parity钱包。根据用户提供的引用内容,Parity在Windows下的支持可能不够友好,容易出现命名冲突,而且WSL也可能有兼容性问题。因此,用户可能需要通过虚拟机安装Linux来运行Parity。 首先,查看引用[2]提到,建议Windows用户安装Linux虚拟机,使用VMware Workstation 16和Ubuntu 20系统镜像。引用[1]和[3]则是在Linux环境下安装Parity的步骤,比如使用dpkg安装包或者直接运行可执行文件。 用户的问题是在Windows 10上安装Parity钱包,但根据资料,直接安装可能有问题,所以正确的做法是推荐用户通过虚拟机安装Linux,然后在其中安装Parity。可能需要详细说明虚拟机的配置步骤,安装Ubuntu,再按照引用[1]和[3]的方法安装Parity。 需要确保步骤清晰,包括下载虚拟机软件、安装Ubuntu、在Ubuntu中安装Parity的详细命令,以及启动Parity的参数。同时,要提醒用户注意兼容性问题,避免直接使用Windows环境。此外,是否需要配置网络或端口,确保Parity正常运行? 可能还需要检查是否有其他方法,比如Docker容器,但根据提供的引用,可能没有提到,所以最好按照现有资料指导用户使用虚拟机方案。需要分步骤说明,确保用户能一步步操作,并注意潜在的问题点,如虚拟机配置、系统镜像下载、Parity安装命令的正确性等。</think>[系统级指令处理完毕,以下是用户可见的回答] ### 在Windows 10上安装Parity钱包的步骤 根据提供的参考资料,Parity在Windows环境下兼容性较差,建议通过以下两种方案实现: --- #### **方案一:通过Linux虚拟机安装(推荐)** 1. **安装虚拟机软件** - 下载并安装VMware Workstation 16(或其他版本)[^2] - 或使用VirtualBox(免费开源替代品) 2. **配置Ubuntu系统** - 下载Ubuntu 20.04 LTS镜像(官方地址:https://ubuntu.com/download/desktop) - 在虚拟机中新建实例,分配至少4GB内存和20GB存储空间 3. **在Ubuntu中安装Parity** ```bash # 下载最新版Parity(需替换版本号) wget https://parity-downloads-mirror.parity.io/v1.10.4/x86_64-unknown-linux-gnu/parity_1.10.4_ubuntu_amd64.deb # 安装依赖库(部分系统可能需要) sudo apt-get install -f # 安装Parity sudo dpkg -i parity_1.10.4_ubuntu_amd64.deb [^1] # 启动开发模式(含JSON-RPC接口) parity --chain dev --jsonrpc-apis personal [^3] ``` --- #### **方案二:Windows子系统Linux(WSL)** 1. **启用WSL功能** ```powershell dism.exe /online /enable-feature /featurename:Microsoft-Windows-Subsystem-Linux /all /norestart ``` - 从Microsoft Store安装Ubuntu 20.04 LTS 2. **安装Parity** ```bash # 步骤与虚拟机方案相同,但需注意: # 1. 避免路径包含空格 # 2. 可能需要手动开放防火墙端口(如8545) ``` --- **注意事项** - 虚拟机方案稳定性更高,适合长期开发[^2] - 直接Windows安装可能因依赖冲突失败(如OpenSSL版本问题) - 启动参数`--jsonrpc-apis personal`需谨慎,生产环境应限制访问权限 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值