以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

路印交易所前端問題的解刨報告_PRI

Author:

Time:1900/1/1 0:00:00

昨晚,StarkWare產品負責人AvihuLevy和其團隊的產品經理兼研究員LouisGuthmann報告了一個路印交易所前端生成EdDSA密鑰對的邏輯漏洞。我們已經確認了該漏洞的確存在。

漏洞

在路印交易所的前端代碼中,我們對用于生成用戶EdDSA密鑰對的種子進行了一次額外的哈希處理。不幸的是,這次哈希導致用戶的EdDSA密鑰對實際被限制在了一個32位整數空間。這個漏洞導致黑客可以通過窮舉,找出所有用戶的EdDSA密鑰對。這是個嚴重的安全問題。

對用戶資產安全的影響

以太坊L2交易協議路印推出其區塊瀏覽器Loopring V2 Explorer:11月3日消息,以太坊L2交易協議路印(Loopring)宣布推出其區塊瀏覽器LoopringV2Explorer,用戶現在可以查詢LoopringL2區塊數據,以及下載或導出交易數據。[2021/11/3 6:28:57]

路印協議使用EdDSA密鑰對用戶的鏈下請求做簽名—因為EdDSA對零知識證明更加友好。這些鏈下請求包括訂單和鏈下提現。

如果用戶的EdDSA密鑰對泄露,黑客就可以在路印交易所的訂單簿上用非常低的價格出售用戶的資產,并作為交易對手方來獲利。

路印協議日交易量創歷史新高:路印協議(Loopring)日交易量創歷史新高,路印協議發布官方推特稱,事實證明加密貨幣劇烈波動性加上超高的gas費是二層解決方案成功的秘訣。

路印協議將于2021年1月7日0點啟動流動性挖礦,將基于3種指標分發170萬個LRC,分別是為AMM提供流動性、交換和交易量和為訂單薄提供流動性。[2021/1/4 16:23:47]

黑客還可以進行鏈下提現,但是用戶的資產只會被提現到用戶的地址,而不是黑客指定的其他地址。這是路印協議設計中的一個安全保障,正好是用來處理此類密鑰泄露的情況。

路印交易所上線區塊鏈爭議裁決協議Kleros原生代幣PNK:據官方消息,路印交易所(LoopringExchange)宣布上線PNK-ETH交易對,PNK是區塊鏈爭議裁決協議Kleros發行的原生代幣。此前消息,區塊鏈爭議裁決協議Kleros宣布啟動一站式去中心化內容管理平臺KlerosCurate,該平臺無需許可,任何人可創建基于任何主題的去中心化列表,采用經濟激勵措施納入多個不同角色維護該列表。去中心化的交易所、市場、社交媒體或文件存儲庫以去中心化的方式創建和管理列表,并由社區完成所有這些工作。[2020/6/29]

用戶的以太坊賬戶是安全的

這個漏洞和用戶的以太坊地址或其ECDSA密鑰對無關。路印協議和路印交易所不訪問也無法訪問用戶的以太坊密鑰。

漏洞和路印協議、中繼無關

這次發現的漏洞是個網頁端的問題,和路印協議,路印中繼系統沒有直接關聯。

問題修復

我們第一時間改進了派生EdDSA密鑰對的方式,并已經在生產環境中發布了新版本。

另一方面,我們停止了所有現有用戶的訂單撮合服務,直到他們更改了交易密碼,并由此更新了EdDSA密鑰對。充值和提現一直不受影響,可以正常進行。

用戶需要采取的行動

所有用戶都應該在下次使用路印交易所時重置密碼。但這一操作并不急迫,換句話說,即使您現在什么都不做,您的資產也不會受到任何損失。

在重置密碼時,您可以使用相同的交易密碼。我們只需要一個新的重置密碼的以太坊交易。為了確保您使用的網頁端是修復后的版本,請在網頁的左上角將鼠標懸停在Beta1標簽上,并確保LAST_COMMMIT不是c67193a14fb230f28a3be54f81a897f3fa4a8f13。

檢查前端提交的哈希如果您仍然看到舊的LAST_COMMMIT,請強迫瀏覽器重新加載我們的網站。使用Chrome/火狐瀏覽器,您可以:

按住Ctrl鍵,然后單擊“重新加載”按鈕。或者,按住Ctrl并按F5。路印需要采取的行動

我們將對前端代碼庫進行更徹底的內部安全審計,以確保不會忽略layer2的安全性。我們還會考慮在未來開源我們的前端代碼。

對于此漏洞給您帶來的任何不便,我們深表歉意。

我們感謝AvihuLevy,LouisGuthmann,和StarkWare及時專業地報告了這個漏洞。非常感謝!

關于路印協議:路印協議采用零知識證明技術,允許開發者在以太坊上搭建高吞吐量、低成本、非托管、基于訂單本的去中心化交易平臺。路印交易所在不犧牲安全性的前提下,提供媲美中心化交易所的交易體驗。

獲取路印協議更多最新的動態,請訪問我們的社區帳號:?Twitter:twitter.com/loopringorg?Reddit:reddit.com/r/loopringorg?電報:t.me/loopringfans(中文)?微博:https://weibo.com/loopringfoundation?路印的官方微信群:

Tags:PRIloopringLOOPINGLepriconLoopring [NEO]BLOOP價格KING FOREVER

萊特幣價格
Binance JEX上線周ETH期權0514公告_ETH

ETH看漲期權代碼周ETH看漲0514期權標的ETH合約類型歐式看漲期權計價單位USDT最小價格單位0.0001USDT合約比例40:1.

1900/1/1 0:00:00
幣圈馮博毅:5.3 BTC震蕩多頭蓄勢待發,日內低多為主!_BTC

幣圈馮博毅:5.3BTC震蕩多頭蓄勢待發,日內低多為主!大行情抓不住,小區間拿不準,不是在抗單就是在掃損——相信很多投資者朋友都遇到過的問題,那么問題的癥結出在哪里?原因很簡單.

1900/1/1 0:00:00
幣圈馮博毅:5.6BTC早間行情分析及操作策略_比特幣

幣圈馮博毅:5.6BTC早間行情分析及操作策略古人云:善敗者不亡。善于從失敗中總結經驗教訓的人,總是能夠更加容易接近成功.

1900/1/1 0:00:00
幣圈馮博毅:5.4BTC反彈誘多而已,晚間高空為主!_RAT

幣圈馮博毅:5.4BTC反彈誘多而已,晚間高空為主!在投資市場上多空快速的轉換總是令人措手不及,面對市場劇烈的波動,我們一定要懂得及時的調整策略,兵無常勢,水無常形,唯有順勢而為才能游刃有余.

1900/1/1 0:00:00
dYdX 開啟 BTC/USDC 10 倍永續合約 Alpha 測試_DYDX

鏈聞消息,dYdX開啟BTC/USDC10倍永續合約Alpha內測,收到郵件的用戶可正式開始合約測試交易.

1900/1/1 0:00:00
在眾多區塊鏈的項目中,IPFS/Filecoin挖礦有投資機會嗎?_區塊鏈

近年來我國區塊鏈行業發展迅速,市場規模由2016年的1億元增加至2019年的12億元,提供相關服務的企業數量達到1006家,主要分布在四大聚集區.

1900/1/1 0:00:00
ads