澳大利亚加密货币公司Soar Labs正在接受警方调查,指控该公司在一笔商业合约中使用“软件后门”,将赔偿给另一家公司的数字货币收回了——显然,这已经涉及到欺诈交易了。
根据信息安全媒体集团(ISME)的报道,在一笔商业欺诈案件中,Soar Labs涉嫌将一笔660万美元的加密货币“收回”,受害方是Byte Power Party Ltd.——Byte Power Group Ltd.的子公司。Soar Labs是一家旨在改善交易效率的区块链钱包服务提供商,他们推出了自己的ERC20数字代币Soarcoin(SOAR)。
去年八月,Soar Labs宣布将购买Byte Power Party的49%股份。根据该协议,后者将在澳大利亚建立一个加密货币交易所,并推出大部分围绕SOAR数字代币的业务。
今年一月,Soar Labs指责Byte Power没有“在可控情况下出售Soarcoin代币”,导致价格下跌、引发亏损。此外,Byte Power也对总部位于新加坡的Soar Labs提起法律诉讼,称其采取了“鲁莽和疏忽行为”并违反协议。
上个月,Byte Power Group Ltd 与Soar Labs Pte Ltd就此前的纠纷达成了和解,后者表示将会把自己持有Byte Power Group Ltd子公司Byte Power Pty Ltd的股份转让给Byte Power Group Ltd,而且无需承担责任,这意味着Soar Labs需要支付一部分美元和一部分SOAR代币。
然而,就在SOAR完成了这笔大额交易之后,后门漏洞将价值660万美元的SOAR代币从对方钱包中窃取了。换句话说,Byte Power Pty Ltd的钱包里的SOAR代币已经消失,而且不知去向。
显然,这违背了加密交易不可逆、以及拥有代币不可访问的原则。此外,智能合约的约束也应该能够确保代币所有权不会发生可逆转转移——如果有逆转交易的需要,必须要做出澄清说明,比如Bancor协议有一个已知的后门,允许团队生产、冻结代币,或是进行逆向交易。但该团队解释说,这种方法对于使相当复杂的交易系统顺利运作是必要的。
Soarcoin的案例突显了智能合约的危险性,这是广大公众无法理解的。未经审计的智能合约包含可能导致损失或故意窃取资金的后门,但当下对加密货币的审计非常有限。
当Soar Labs的首席执行官Seth Lim被信息安全媒体集团质疑后门程序时,他竟然表示这是故意构建的,而且代码的开源性使得每个人都能够看到这个谬误。然而,这引出了一个问题:
“为什么Soar Labs没有通知Byte Power他们交易中有后门软件?”
就目前来看,Soar Labs持有能够将自己认证为智能合约的密钥。如果攻击者可以访问这些密钥,就可以使用零费用功能轻松转移SOAR令牌。 Soar Labs首席技术官兼联合创始人Neo Wenyuan为这一功能辩护说,零费用功能并不打算用作后门:
“我们希望重申,零费用交易功能只是在特殊情况下谨慎使用。例如,我们最近协助一个加密货币交易所恢复Soarcoin,一个黑客试图恶意攻击交易所主节点。”
这件事似乎也提醒了我们,寻找软件后门是非常困难的,因此对开源代码的审计非常重要,这也是加密货币市场中一个更大、更严峻的问题:开放源代码软件没有验证其真实性,没有第三方安全审计增加了这个问题。
Neo Wenyuan补充表示:
“在加密货币代码中找到后门非常困难,审计人员需要代码安全和高等数学北京,而大多数人根本不具备这样的能力。”
目前,澳大利亚法律机构是否会对Soar Labs提出正式指控仍有待观察。
文章翻自BTCmanager
