木星链 木星链
Ctrl+D收藏木星链
首页 > Uniswap > 正文

DSA:路印交易所前端问题的解刨报告

作者:

时间:1900/1/1 0:00:00

昨晚,StarkWare产品负责人AvihuLevy和其团队的产品经理兼研究员LouisGuthmann报告了一个路印交易所前端生成EdDSA密钥对的逻辑漏洞。我们已经确认了该漏洞的确存在。

漏洞

在路印交易所的前端代码中,我们对用于生成用户EdDSA密钥对的种子进行了一次额外的哈希处理。不幸的是,这次哈希导致用户的EdDSA密钥对实际被限制在了一个32位整数空间。这个漏洞导致黑客可以通过穷举,找出所有用户的EdDSA密钥对。这是个严重的安全问题。

对用户资产安全的影响

路印CEO:个人和路印绝不涉足NFT:3月8日消息,路印协议CEO王东在朋友圈发文称,尽管貌似很火,但并不看好NFT。个人和路印绝不涉足NFT。原因之一是NFT在任何领域都不是必需品,不会形成充分流通的市场。现在的NFT更多是炒作概念,傻子,割韭菜。[2021/3/8 18:24:19]

路印协议使用EdDSA密钥对用户的链下请求做签名—因为EdDSA对零知识证明更加友好。这些链下请求包括订单和链下提现。

如果用户的EdDSA密钥对泄露,黑客就可以在路印交易所的订单簿上用非常低的价格出售用户的资产,并作为交易对手方来获利。

路印3.1版本将关闭 官方提醒用户尽快提款:1月18日消息,路印官方发推称,路印3.1版本将在12天之后关闭,其中仍有超过170万美元的资产。官方敦促所有3.1版本的用户尽快提取资产,否则将不得不等到交易所进入“提款”模式,使用Merkle证明进行手动提款。[2021/1/18 16:25:48]

黑客还可以进行链下提现,但是用户的资产只会被提现到用户的地址,而不是黑客指定的其他地址。这是路印协议设计中的一个安全保障,正好是用来处理此类密钥泄露的情况。

用户的以太坊账户是安全的

这个漏洞和用户的以太坊地址或其ECDSA密钥对无关。路印协议和路印交易所不访问也无法访问用户的以太坊密钥。

路印交易所将于1月1日起关闭v1版本并向v2版本过渡:金色财经报道,路印(Loopring)发布公告称,将关闭Loopring Exchange v1版本,并向v2版本过渡。2021年1月1日起,v1版本的存款、转账及交易功能将被禁用,所有挂单将被自动取消。届时,只能通过v1.loopring.io Web应用程序进行提款。2月1日起,v1.loopring.io URL将脱机,且中继器将关闭,所有API都将不再可用。官方强烈建议用户提取v1上的所有余额并将其存入新的路印交易所或Loopring Wallet应用程序。[2020/12/16 15:18:47]

漏洞和路印协议、中继无关

这次发现的漏洞是个网页端的问题,和路印协议,路印中继系统没有直接关联。

问题修复

我们第一时间改进了派生EdDSA密钥对的方式,并已经在生产环境中发布了新版本。

另一方面,我们停止了所有现有用户的订单撮合服务,直到他们更改了交易密码,并由此更新了EdDSA密钥对。充值和提现一直不受影响,可以正常进行。

用户需要采取的行动

所有用户都应该在下次使用路印交易所时重置密码。但这一操作并不急迫,换句话说,即使您现在什么都不做,您的资产也不会受到任何损失。

在重置密码时,您可以使用相同的交易密码。我们只需要一个新的重置密码的以太坊交易。为了确保您使用的网页端是修复后的版本,请在网页的左上角将鼠标悬停在Beta1标签上,并确保LAST_COMMMIT不是c67193a14fb230f28a3be54f81a897f3fa4a8f13。

检查前端提交的哈希如果您仍然看到旧的LAST_COMMMIT,请强迫浏览器重新加载我们的网站。使用Chrome/火狐浏览器,您可以:

按住Ctrl键,然后单击“重新加载”按钮。或者,按住Ctrl并按F5。路印需要采取的行动

我们将对前端代码库进行更彻底的内部安全审计,以确保不会忽略layer2的安全性。我们还会考虑在未来开源我们的前端代码。

对于此漏洞给您带来的任何不便,我们深表歉意。

我们感谢AvihuLevy,LouisGuthmann,和StarkWare及时专业地报告了这个漏洞。非常感谢!

关于路印协议:路印协议采用零知识证明技术,允许开发者在以太坊上搭建高吞吐量、低成本、非托管、基于订单本的去中心化交易平台。路印交易所在不牺牲安全性的前提下,提供媲美中心化交易所的交易体验。

获取路印协议更多最新的动态,请访问我们的社区帐号:?Twitter:twitter.com/loopringorg?Reddit:reddit.com/r/loopringorg?电报:t.me/loopringfans(中文)?微博:https://weibo.com/loopringfoundation?路印的官方微信群:

标签:DSADDS以太坊COMmaidsafecoindds币数字货币以太坊交易所有几个Safe Community Token

Uniswap热门资讯
BTC:新增Smart Token:BTCS(1倍做空比特币)

亲爱的BithumbGlobal用户:BithumbGlobal将在SMART上线BTCS数字资产服务.

1900/1/1 0:00:00
BTC:白盘大饼出现吸血状态各大主流币如何操作BTC·BCH·ETH详解

导语:从前,在威尼斯的一座高山顶上,住着一位年老的智者。至于他有多么的老,为什么会有那么多的智慧,没有一个人知道。人们只是盛传他能回答任何人的任何问题。有个调皮捣蛋的小男孩并不以此为然.

1900/1/1 0:00:00
WOO:Willy Woo:减半将使交易所成为最大的比特币净卖家

据NewsBTC报道,加密货币分析师WillyWoo今日发推称,比特币的持续减半将改变一件核心事情:交易所将成为最大的比特币净卖家.

1900/1/1 0:00:00
BTC:币圈冯博毅:5.7BTC9400无法突破,早间如何布局?

币圈冯博毅:5.7BTC9400无法突破,早间如何布局?做投资一定要首先树立正确的投资理念,这是一切的根源,其次做好仓位资金管理,重要的保持良好的心态,赚了不要骄傲,亏了不要气馁.

1900/1/1 0:00:00
BTC:币圈冯博毅:5.7BTC多头蓄能,日内谨慎空!

币圈冯博毅:5.7BTC多头蓄能,日内谨慎空!行情走过你才知道我策略精准,利润错过你才相信我的实力,资金缩水你才想到找我,任何时候你看到这篇文章都是命运给你一个机会.

1900/1/1 0:00:00
数字资产:加州立法机构更新证券法修订案,称数字资产并非证券

链闻消息,5月5日,加利福尼亚州立法机构更新了加州证券法修订案。该修订案在描述「证券」的定义时将数字资产排除在外.

1900/1/1 0:00:00