金色財經 區塊鏈6月11日訊 澳大利亞加密貨幣公司Soar Labs正在接受警方調查,指控該公司在一筆商業合約中使用“軟件後門”,將賠償給另一家公司的數字貨幣收回了——顯然,這已經涉及到欺詐交易了。
根據信息安全媒體集團(ISME)的報道,在一筆商業欺詐案件中,Soar Labs涉嫌將一筆660萬美元的加密貨幣“收回”,受害方是Byte Power Party Ltd.——Byte Power Group Ltd.的子公司。Soar Labs是一家旨在改善交易效率的區塊鏈錢包服務提供商,他們推出了自己的ERC20數字代幣Soarcoin(SOAR)。
去年八月,Soar Labs宣佈將購買Byte Power Party的49%股份。根據該協議,後者將在澳大利亞建立一個加密貨幣交易所,並推出大部分圍繞SOAR數字代幣的業務。
今年一月,Soar Labs指責Byte Power沒有“在可控情況下出售Soarcoin代幣”,導致價格下跌、引發虧損。此外,Byte Power也對總部位於新加坡的Soar Labs提起法律訴訟,稱其採取了“魯莽和疏忽行為”並違反協議。
上個月,Byte Power Group Ltd 與Soar Labs Pte Ltd就此前的糾紛達成了和解,後者表示將會把自己持有Byte Power Group Ltd子公司Byte Power Pty Ltd的股份轉讓給Byte Power Group Ltd,而且無需承擔責任,這意味著Soar Labs需要支付一部分美元和一部分SOAR代幣。
然而,就在SOAR完成了這筆大額交易之後,後門漏洞將價值660萬美元的SOAR代幣從對方錢包中竊取了。換句話說,Byte Power Pty Ltd的錢包裡的SOAR代幣已經消失,而且不知去向。
顯然,這違背了加密交易不可逆、以及擁有代幣不可訪問的原則。此外,智能合約的約束也應該能夠確保代幣所有權不會發生可逆轉轉移——如果有逆轉交易的需要,必須要做出澄清說明,比如Bancor協議有一個已知的後門,允許團隊生產、凍結代幣,或是進行逆向交易。但該團隊解釋說,這種方法對於使相當複雜的交易系統順利運作是必要的。
Soarcoin的案例突顯了智能合約的危險性,這是廣大公眾無法理解的。未經審計的智能合約包含可能導致損失或故意竊取資金的後門,但當下對加密貨幣的審計非常有限。
當Soar Labs的首席執行官Seth Lim被信息安全媒體集團質疑後門程序時,他竟然表示這是故意構建的,而且代碼的開源性使得每個人都能夠看到這個謬誤。然而,這引出了一個問題:
“為什麼Soar Labs沒有通知Byte Power他們交易中有後門軟件?”
就目前來看,Soar Labs持有能夠將自己認證為智能合約的密鑰。如果攻擊者可以訪問這些密鑰,就可以使用零費用功能輕鬆轉移SOAR令牌。 Soar Labs首席技術官兼聯合創始人Neo Wenyuan為這一功能辯護說,零費用功能並不打算用作後門:
“我們希望重申,零費用交易功能只是在特殊情況下謹慎使用。例如,我們最近協助一個加密貨幣交易所恢復Soarcoin,一個黑客試圖惡意攻擊交易所主節點。”
這件事似乎也提醒了我們,尋找軟件後門是非常困難的,因此對開源代碼的審計非常重要,這也是加密貨幣市場中一個更大、更嚴峻的問題:開放源代碼軟件沒有驗證其真實性,沒有第三方安全審計增加了這個問題。
Neo Wenyuan補充表示:
“在加密貨幣代碼中找到後門非常困難,審計人員需要代碼安全和高等數學北京,而大多數人根本不具備這樣的能力。”
目前,澳大利亞法律機構是否會對Soar Labs提出正式指控仍有待觀察。
文章翻自BTCmanager
