上週發生的價值 15 億美元的 Bybit 駭客事件引發了加密社群的熱烈討論,一些業內人士聲稱以太坊的設計可能起了一定作用。由北韓 Lazarus 組織策劃的約 401,000 以太坊 (ETH) 被盜事件引發了人們的疑問:以太坊的複雜性是否使其生態系統特別容易受到複雜的攻擊,或者責任是否在其他地方。
據報道,駭客攻擊發生在從 Bybit 冷錢包到熱錢包的標準轉帳過程中。根據交易所官方聲明這種操縱使攻擊者能夠控製冷錢包並將資金轉移到私人地址。
加密貨幣行業的一些人提議回滾區塊鏈以追回被盜資金,這與2016 年 DAO 駭客攻擊的回滾類似,支持者認為這可以恢復信任並阻止未來的大規模攻擊。然而,首席開發人員蒂姆·貝科(Tim Beiko)很快就駁回了這些想法,稱其“在技術上難以解決”,並警告說,篡改賬本可能會破壞區塊鏈不變性的基本承諾。
以太坊是罪魁禍首嗎?
River Financial 創辦人、史丹佛大學 CS251 加密貨幣課程前助教 Alexander Leishman 對以太坊在該漏洞利用中所扮演的角色表示擔憂。他認為以太坊巨大的「攻擊面」可能為攻擊者的攻擊提供了便利。
Leishman 透過 X 指出:「ETH 的攻擊面非常巨大。可怕的東西。我很想看到有人準確解釋這裡發生的事情 […] ByBit 黑客事件讓我想起了我在斯坦福大學擔任加密貨幣課程 (CS251) 助教時的情景。期末考的一題要求學生找出 ETH 合約中刻意插入的 8 個錯誤。學生們找到了15個。
他還與比特幣更簡單的 UTXO 模型進行了比較,解釋說當你簽署比特幣交易時,狀態轉換就會發生,這通常在硬體錢包的螢幕上很清楚。相較之下,ETH 簽章不僅可以包括資金轉移,還可以包括調用複雜智能合約邏輯的命令。
他表示:「這絕對與以太坊有關…在以太坊中,你正在簽署資金流動和發送智能合約的命令(這可能導致資金進一步流動)——這是一種非常容易出錯的用戶體驗。 ETH 交易並不代表狀態轉換,它們代表觸發狀態轉換的命令。
並非所有人都認為以太坊的固有設計值得仔細檢視。 Fluent 研究員 Toghrul Maharramov 堅稱,該漏洞“與以太坊或 EVM 無關”,並表示這純粹是一次獨立於平台的駭客攻擊,專注於區塊鏈本身會分散人們對更相關安全錯誤的注意力。
同時,ETH 獨立教授兼 The Daily Gwei 創辦人 Anthony Sassano 的反駁更為有力,他表示 Bybit 駭客事件「與以太坊智能合約中的錯誤無關」。他否認以太坊的架構與交易所的違規行為之間有任何關聯,這反映了更廣泛的觀點,即真正的弱點在於 Bybit 的營運安全和錢包管理實踐。
利甚曼後來澄清說,他從未聲稱 Bybit 駭客攻擊是由以太坊代碼本身的直接錯誤造成的。 「哇,有道德的播客很敏感。我沒有在任何地方說過 Bybit 駭客攻擊是智慧合約錯誤的結果。我正在分享一個有趣的軼事,關於以太坊的複雜性如何導致難以檢測的安全問題,」他寫道。
相反,他的主要論點圍繞著當涉及以太坊智能合約時驗證交易的最終影響的困難。 Bybit 駭客攻擊是以太坊「智慧」合約模型的結果,這使得驗證多重簽章合約簽署的交易將觸發的狀態轉換變得非常困難。當交易是狀態轉換時,會安全得多。
截至撰寫本文時,ETH 交易價格為 2,705 美元。
