比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > TRX > Info

LOOP:路印交易所前端問題的解刨報告_Vitalick Neuterin

Author:

Time:1900/1/1 0:00:00

昨晚,StarkWare產品負責人AvihuLevy和其團隊的產品經理兼研究員LouisGuthmann報告了一個路印交易所前端生成EdDSA密鑰對的邏輯漏洞。我們已經確認了該漏洞的確存在。

漏洞

在路印交易所的前端代碼中,我們對用于生成用戶EdDSA密鑰對的種子進行了一次額外的哈希處理。不幸的是,這次哈希導致用戶的EdDSA密鑰對實際被限制在了一個32位整數空間。這個漏洞導致黑客可以通過窮舉,找出所有用戶的EdDSA密鑰對。這是個嚴重的安全問題。

對用戶資產安全的影響

路印協議 Steve Guo:短期Optimistic 或勝出,中長期ZK Rollup將勝出:3月11日,在以《Layer2百花齊放, DeFi 們如何“站隊”?》為主題的AMA中,路印協議CTO Steve Guo、Synthetix大中華區負責人Dorothy、Huobi Global商業戰略總監哲叔、Starks Network聯合創始人張曉關于即將到來的Layer2展開了精彩的對話。

Steve Guo表示,路印協議的設計考量最重視安全性。zkRollup相比于Optimistic Rollup來說,最大的好處就是在于能保證用戶資產結算的最終確定性時間比較短,能做到分鐘級別,而Optimistic Rollup則需要1周以上的時間。

Steve Guo認為“在短期內,對于通用EVM計算而言,Optimistic Rollup可能會勝出,隨著ZK-SNARK技術的改進,在中長期而言,ZK Rollup將在所有用例中勝出。”在接下來2年左右的時間,會多個Layer2共存。一些嚴重受限于Layer1資源的一些應用場景會在Layer2上得到更大的爆發,比如DEX,去中心化的永續合約,去中心化的期權等項目。[2021/3/11 18:36:52]

路印協議使用EdDSA密鑰對用戶的鏈下請求做簽名—因為EdDSA對零知識證明更加友好。這些鏈下請求包括訂單和鏈下提現。

路印協議發布Loopring v3.6 API:1月1日,路印協議Loopring官方宣布推出Loopring v3.6 API。現用戶可與zkRollup互動,進行轉賬和交易等操作。[2021/1/1 16:12:18]

如果用戶的EdDSA密鑰對泄露,黑客就可以在路印交易所的訂單簿上用非常低的價格出售用戶的資產,并作為交易對手方來獲利。

黑客還可以進行鏈下提現,但是用戶的資產只會被提現到用戶的地址,而不是黑客指定的其他地址。這是路印協議設計中的一個安全保障,正好是用來處理此類密鑰泄露的情況。

路印協議Loopring發布Loopring Wallet的beta版本:據官方消息,路印協議Loopring已于近期發布Loopring Wallet的beta版本,成為首款具備zkRollup擴展功能的以太坊L2智能錢包。此外,Loopring v3.6版本正在推進中,目前尚未啟用所有特性。[2020/11/30 22:34:27]

用戶的以太坊賬戶是安全的

這個漏洞和用戶的以太坊地址或其ECDSA密鑰對無關。路印協議和路印交易所不訪問也無法訪問用戶的以太坊密鑰。

漏洞和路印協議、中繼無關

這次發現的漏洞是個網頁端的問題,和路印協議,路印中繼系統沒有直接關聯。

問題修復

我們第一時間改進了派生EdDSA密鑰對的方式,并已經在生產環境中發布了新版本。

另一方面,我們停止了所有現有用戶的訂單撮合服務,直到他們更改了交易密碼,并由此更新了EdDSA密鑰對。充值和提現一直不受影響,可以正常進行。

用戶需要采取的行動

所有用戶都應該在下次使用路印交易所時重置密碼。但這一操作并不急迫,換句話說,即使您現在什么都不做,您的資產也不會受到任何損失。

在重置密碼時,您可以使用相同的交易密碼。我們只需要一個新的重置密碼的以太坊交易。為了確保您使用的網頁端是修復后的版本,請在網頁的左上角將鼠標懸停在Beta1標簽上,并確保LAST_COMMMIT不是c67193a14fb230f28a3be54f81a897f3fa4a8f13。

檢查前端提交的哈希如果您仍然看到舊的LAST_COMMMIT,請強迫瀏覽器重新加載我們的網站。使用Chrome/火狐瀏覽器,您可以:

按住Ctrl鍵,然后單擊“重新加載”按鈕。或者,按住Ctrl并按F5。路印需要采取的行動

我們將對前端代碼庫進行更徹底的內部安全審計,以確保不會忽略layer2的安全性。我們還會考慮在未來開源我們的前端代碼。

對于此漏洞給您帶來的任何不便,我們深表歉意。

我們感謝AvihuLevy,LouisGuthmann,和StarkWare及時專業地報告了這個漏洞。非常感謝!

關于路印協議:路印協議采用零知識證明技術,允許開發者在以太坊上搭建高吞吐量、低成本、非托管、基于訂單本的去中心化交易平臺。路印交易所在不犧牲安全性的前提下,提供媲美中心化交易所的交易體驗。

獲取路印協議更多最新的動態,請訪問我們的社區帳號:?Twitter:twitter.com/loopringorg?Reddit:reddit.com/r/loopringorg?電報:t.me/loopringfans(中文)?微博:https://weibo.com/loopringfoundation?路印的官方微信群:

Tags:LOOPloopringRININGLoop EnergyLoopring [NEO]Vitalick Neuterinbiking幣網官網

TRX
ETH:大餅臨近減半,牛市信號再次打響_COI

大餅臨近減半,牛市信號再次打響。看到了這幾天朋友們的虧損情況,在群里發了一波紅包雨,把默默跟單的全都炸了出來,不過這只是開胃菜,請大家期待明晚準時九點的大額紅包雨.

1900/1/1 0:00:00
SWFTC:【活動】充值&交易 狂撒 7,000,000 SWFTC_bitpie比特派app官方下載

尊敬的BithumbGlobal用戶:為慶祝SwftCoin(SWFTC)正式上線BithumbGlobal,我們將舉行“充值&交易狂撒7,000,000SWFTC”福利活動.

1900/1/1 0:00:00
ALG:北迪社群:以太坊上漲時機未到 謹慎做多_RAN

內容紀要:以太坊繼續下跌,抄底機會尚未明顯出現,買上漲資金需要保持謹慎為之,大趨勢是操作的第一信條.

1900/1/1 0:00:00
LOEx國際站5月15日15:00上線MBC

尊敬的LOEx用戶:LOEx國際站上線MBC!并開放MBC/USDT交易對具體時間如下:充提幣&交易對:5月15日15:00注:未到充值開放時間請勿提前充值,如有異常充值資產.

1900/1/1 0:00:00
BTC:HBTC霍比特關于合規美元穩定幣HUSD活動獎勵公布的公告_BOBC

尊敬的用戶: 合規美元穩定幣HUSD活動已經正式結束,活動獎勵現已發放完畢,請登錄您的HBTC錢包賬戶查看.

1900/1/1 0:00:00
區塊鏈:韓國召開「區塊鏈示范項目 & 民間項目」啟動報告會,13 個課題入選_加密貨幣

鏈聞消息,韓國科學技術信息通信部和韓國互聯網振興院今日在首爾召開「區塊鏈公共示范項目&民間項目」啟動報告會。自2018年以來韓國政府就一直在推進區塊鏈試點項目的發展以及應用.

1900/1/1 0:00:00
ads