昨晚,StarkWare产品负责人AvihuLevy和其团队的产品经理兼研究员LouisGuthmann报告了一个路印交易所前端生成EdDSA密钥对的逻辑漏洞。我们已经确认了该漏洞的确存在。
漏洞
在路印交易所的前端代码中,我们对用于生成用户EdDSA密钥对的种子进行了一次额外的哈希处理。不幸的是,这次哈希导致用户的EdDSA密钥对实际被限制在了一个32位整数空间。这个漏洞导致黑客可以通过穷举,找出所有用户的EdDSA密钥对。这是个严重的安全问题。
对用户资产安全的影响
路印COO Jay:路印将AMM交易模式带到了zkRollup二层:据官方消息,币赢CoinW《共识52》第十一期《ETH2.0的扩容之路——Layer2能否突破DeFi的局限?》主题AMA中,路印COO Jay讲到:DeFI其实就在把现实金融世界里面的各种场景在区块链世界里面再造出来,比如?Compound 就对应传统银行借贷,MakerDAO 有点像央行铸币,各种?DEX 实现的是交易需求。一个很明显的趋势就是DeFI项目都在往二层迁移,就是因为以太坊主网实在太拥堵了,而路印协议绝对是二层解决方案中的派头兵,Loopring 是世界上首个基于?zkRollup 的DEX,也是世界上首个基于zkRollup 的AMM, 并且已在以太坊主网上平稳运行快1年左右的时间了。
路印再次创造了历史,将AMM这种交易模式带到了zkRollup二层。路印的新技术甚至可以把一个订单拆解到AMM和订单本做局部成交,用以寻找到最有的成交价。这将有可能改变交易所的竞争格局, 我们期待AMM和挂单交易的结合能给用户崭新的体验。[2020/12/3 23:01:03]
路印协议使用EdDSA密钥对用户的链下请求做签名—因为EdDSA对零知识证明更加友好。这些链下请求包括订单和链下提现。
路印Loopring:已经开放二层以太坊DEX交易:去中心化交易协议路印Loopring今日发推表示,用户已经可以在其二层以太坊DEX上进行交易,该DEX也采用zkRollup扩容技术,免gas费用,代币交换界面简单,增加了订单簿,做到对用户更友好。[2020/9/14]
如果用户的EdDSA密钥对泄露,黑客就可以在路印交易所的订单簿上用非常低的价格出售用户的资产,并作为交易对手方来获利。
黑客还可以进行链下提现,但是用户的资产只会被提现到用户的地址,而不是黑客指定的其他地址。这是路印协议设计中的一个安全保障,正好是用来处理此类密钥泄露的情况。
路印协议:发现严重前端错误 将停止中继器服务:金色财经报道,路印协议Loopring刚刚发推称,发现了一个严重的前端错误,将停止中继器服务,并将Loopring Exchange置于维护模式。[2020/5/7]
用户的以太坊账户是安全的
这个漏洞和用户的以太坊地址或其ECDSA密钥对无关。路印协议和路印交易所不访问也无法访问用户的以太坊密钥。
漏洞和路印协议、中继无关
这次发现的漏洞是个网页端的问题,和路印协议,路印中继系统没有直接关联。
问题修复
我们第一时间改进了派生EdDSA密钥对的方式,并已经在生产环境中发布了新版本。
另一方面,我们停止了所有现有用户的订单撮合服务,直到他们更改了交易密码,并由此更新了EdDSA密钥对。充值和提现一直不受影响,可以正常进行。
用户需要采取的行动
所有用户都应该在下次使用路印交易所时重置密码。但这一操作并不急迫,换句话说,即使您现在什么都不做,您的资产也不会受到任何损失。
在重置密码时,您可以使用相同的交易密码。我们只需要一个新的重置密码的以太坊交易。为了确保您使用的网页端是修复后的版本,请在网页的左上角将鼠标悬停在Beta1标签上,并确保LAST_COMMMIT不是c67193a14fb230f28a3be54f81a897f3fa4a8f13。
检查前端提交的哈希如果您仍然看到旧的LAST_COMMMIT,请强迫浏览器重新加载我们的网站。使用Chrome/火狐浏览器,您可以:
按住Ctrl键,然后单击“重新加载”按钮。或者,按住Ctrl并按F5。路印需要采取的行动
我们将对前端代码库进行更彻底的内部安全审计,以确保不会忽略layer2的安全性。我们还会考虑在未来开源我们的前端代码。
对于此漏洞给您带来的任何不便,我们深表歉意。
我们感谢AvihuLevy,LouisGuthmann,和StarkWare及时专业地报告了这个漏洞。非常感谢!
关于路印协议:路印协议采用零知识证明技术,允许开发者在以太坊上搭建高吞吐量、低成本、非托管、基于订单本的去中心化交易平台。路印交易所在不牺牲安全性的前提下,提供媲美中心化交易所的交易体验。
获取路印协议更多最新的动态,请访问我们的社区帐号:?Twitter:twitter.com/loopringorg?Reddit:reddit.com/r/loopringorg?电报:t.me/loopringfans(中文)?微博:https://weibo.com/loopringfoundation?路印的官方微信群:
Gate.io将于下周一进行“单个投票”直播宣传活动。届时将采访本次投票主角:KlaytnJohnCho(DirectorofGlobalExpansion).
1900/1/1 0:00:00一、ZB币动态1、据官方消息,ZB币于2020年4月22日9:30在PandaGlobal熊猫全球站即将上线,并开放充提,4月22日11:00正式上线ZB币,开放ZB/USDT交易.
1900/1/1 0:00:00据CoinGape消息,BitMEX发布公告称,预计减半会导致小型矿工关机,算力也将在短期内受到影响,预估下降幅度在30%到35%之间.
1900/1/1 0:00:00链闻消息,据TheBlock报道,DeFi协议YieldProtocol的创建者AllanNiemerg表示,Yield的技术将引入基于以太坊的「固定利率借贷」.
1900/1/1 0:00:00VST项目简介VestarindataFileSystem是一个去中心化存储网络,是基于IPFS协议的一个专门为商品、企业档案、公有云、私有云、企业云等数据提供低成本永久性存储的分布式系统.
1900/1/1 0:00:00尊敬的GJGlobal用户:GJ比特国际将支持对LBTC持有者的每月DAF空投,您只要在GJ比特国际账户存入不少于100枚LBTC,即可获得空投资格.
1900/1/1 0:00:00