“史诗级”漏洞？研究机构爆出Stellar 22亿XLM的通胀漏洞

加密货币研究机构Messari的最新研究显示，当前市值排名第八的加密货币协议Stellar在2017年4月遭遇了一个22.5亿XLM的重大通胀漏洞，但此漏洞却几乎没有任何报道。

在对排名前50加密资产的供应量进行研究时，Messari团队发现：

·2017年，一名攻击者利用Stellar协议“MergeOPFrame :: doApply”函数中的并发漏洞，创建了价值约1000万美元的22.5亿恒星币XLM。

·2017年4月，这部分非法增发的XLM占流通供应量的近25％，但恒星发展基金会（SDF）却没有对此事件进行公开披露，似乎也没有任何媒体此前报道过这个漏洞，以及SDF随后决定从社区储备中销毁等量的XLM以抵消非法增发。

·用户无法在Stellar Expert或其他区块浏览器上访问受影响的地址和相关的错误记录，但Messari研究团队却通过Horizon客户端（Stellar生态系统的API服务器）的交易历史记录跟踪到了历史交易。

·Messari发现，攻击者非法增发的XLM被转移到了交易所，并可能在2017年上半年的加密市场上涨中出售。

在Messari的研究结果发布以前，Stellar的代表对Messari做出以下声明：

“2017年4月，Stellar还是一个新兴的开源项目，拥有一个规模较小但专注的开发者社区。因此，在我们的发布说明中公布漏洞是完全合理的——这也是你们如何接触这些用户的原因。事实上，我们以前在发布说明中提到过这个漏洞两次。我们非常清楚这个漏洞已经被攻击者利用了。从那以后，我们采取了额外的步骤，销毁恒星币来保证“真实”供应，以便XLM持有者不会被稀释，我们预计的总供应量仍能保持准确。我们认识到Stellar现在已经成为了重要的财务软件，我们的披露标准也已经提高以匹配这一现实情况。从那时起就没有明显的漏洞发生了，如果有，我们会尽快在修补漏洞后进行详细披露。正如我们上个月在2019年路线图中所宣布的那样，我们已经承诺在今年年底之前对所有SDF的恒星币进行全面记账，并且有关这个旧漏洞的更多详细信息将会是我们工作的一部分。 ”