2017年,以太坊生态爆发式增长,成为全球最大的去中心化应用平台,在这片繁荣之下,一场因智能合约漏洞引发的“资产冻结”事件,让整个社区深刻认识到去中心化技术背后的风险——这就是震惊业界的“Parity钱包多重签名库漏洞事件”,俗称“Parity丢失”,事件导致价值超3亿美元的以太坊及其代币被永久锁定,至今无法取出,不仅让无数投资者血本无归,更成为智能合约安全史上最沉重的教训之一。
事件背景:Parity钱包与多重签名库
Parity是以太坊生态中广受欢迎的开源钱包软件,用户可通过它管理以太坊及ERC-20代币,支持多重签名(Multi-Sig)功能——即需要多个私钥共同签名才能完成交易,常被团队、基金或高净值用户用于资产安全存储。
2017年7月,Parity团队发布了多重签名钱包的“标准库”(Standard Library),这是一个可被其他智能合约调用的基础模板,谁也没想到,这个看似安全的库会成为后续灾难的导火索。
第一次危机:2017年7月漏洞爆发与紧急修复
2017年7月19日,安全研究员发现Parity多重签名库存在严重漏洞:任何用户均可调用库中的“kill”函数,将多重签名钱包的所有权篡改为自己的地址,从而控制钱包内所有资产。
消息传出后,市场恐慌蔓延,大量用户紧急转移资产,但仍有多个钱包未能幸免,其中最著名的是“数字艺术基金会”钱包,内含31.5万个以太坊(当时价值约3000万美元),尽管Parity团队在漏洞发现后迅速发布修复版本,但仍有约15万个以太坊在漏洞被利用前被盗。
更糟糕的是,这次事件暴露了Parity团队在应急响应上的不足:他们未及时通知所有潜在受影响用户,且修复版本未能覆盖所有已部署的旧合约。
第二次危机:2017年11月“终极死亡”漏洞
第一次危机后,社区对Parity钱包的信任已受重创,但真正的灾难在4个月后降临。
2017年11月6日,一位用户(ID:devops199)在部署新的多重签名钱包时,误将Parity团队在第一次事件后发布的“可升级钱包”模板(版本1.5.2)的“所有权”转移到了一个随机地址,这一操作触发了模板中一个未修复的致命漏洞:一旦钱包的所有权被转移,该地址即可调用“initWallet”函数,将钱包的“所有者”设置为空地址(0x000…000)。
空地址意味着“无人拥有”,导致钱包的“kill”函数和“日常交易”功能均被永久禁用——钱包进入“终极死亡”状态,资产彻底被冻结。
这次事件的影响远超第一次:全球范围内共有超过5万个Parity多重签名钱包被锁定,涉及资产包括以太坊、ERC-20代币以及基于以太坊的各类代币,总价值超过3亿美元,其中包括Polkadot项目(当时名为Web3基金会)的20万个以太坊(价值约1.8亿美元)、新加坡对冲基金Scalar Capital的4800万美元资产,以及无数个人投资者的毕生积蓄。
应对与僵局:技术无解与法律困境
事件发生后,Parity团队、以太坊社区和法律机构展开紧急行动,但很快陷入僵局:
-
技术层面无解:由于钱包所有权被设置为空地址,且智能合约代码不可篡改(以太坊的“不可变性”原则),技术上无法恢复对钱包的控制,以太坊核心开发者曾提议通过“硬分叉”强制解锁资产,但这一方案违背了去中心化的核心精神,且可能引发社区分裂,最终被否决。
-
法律救济困难:受影响用户尝试通过法律途径追责,但Parity作为开源软件项目,其法律主体和责任边界模糊;而误操作的用户(devops199)虽非恶意,但拒绝承担赔偿责任,导致诉讼陷入僵局。
-
社区救助有限:Parity团队设立了专项基金,仅能补偿部分非“终极死亡”状态的损失,但对被彻底冻结的资产束手无策。
