加密货币研究机构Messari的最新研究显示,当前市值排名第八的加密货币协议Stellar在2017年4月遭遇了一个22.5亿XLM的重大通胀漏洞,但此漏洞却几乎没有任何报道。
在对排名前50加密资产的供应量进行研究时,Messari团队发现:
·2017年,一名攻击者利用Stellar协议“MergeOPFrame :: doApply”函数中的并发漏洞,创建了价值约1000万美元的22.5亿恒星币XLM。
·2017年4月,这部分非法增发的XLM占流通供应量的近25%,但恒星发展基金会(SDF)却没有对此事件进行公开披露,似乎也没有任何媒体此前报道过这个漏洞,以及SDF随后决定从社区储备中销毁等量的XLM以抵消非法增发。
·用户无法在Stellar Expert或其他区块浏览器上访问受影响的地址和相关的错误记录,但Messari研究团队却通过Horizon客户端(Stellar生态系统的API服务器)的交易历史记录跟踪到了历史交易。
·Messari发现,攻击者非法增发的XLM被转移到了交易所,并可能在2017年上半年的加密市场上涨中出售。
在Messari的研究结果发布以前,Stellar的代表对Messari做出以下声明:
“2017年4月,Stellar还是一个新兴的开源项目,拥有一个规模较小但专注的开发者社区。因此,在我们的发布说明中公布漏洞是完全合理的——这也是你们如何接触这些用户的原因。事实上,我们以前在发布说明中提到过这个漏洞两次。我们非常清楚这个漏洞已经被攻击者利用了。从那以后,我们采取了额外的步骤,销毁恒星币来保证“真实”供应,以便XLM持有者不会被稀释,我们预计的总供应量仍能保持准确。我们认识到Stellar现在已经成为了重要的财务软件,我们的披露标准也已经提高以匹配这一现实情况。从那时起就没有明显的漏洞发生了,如果有,我们会尽快在修补漏洞后进行详细披露。正如我们上个月在2019年路线图中所宣布的那样,我们已经承诺在今年年底之前对所有SDF的恒星币进行全面记账,并且有关这个旧漏洞的更多详细信息将会是我们工作的一部分。”