Loopring在被利用之前关闭其DEX来修复大量漏洞；基金SAFU

Loopring是一个基于以太坊的DEX，可能已经暴露了交易所近500万美元的资金，但在Starkware通知后迅速采取了行动。面向隐私和可扩展性的区块链公司于5月7日通知Loopring，该平台的帐户密钥可能已因该平台内密钥对生产中的漏洞而受到损害。

1 /我们在@loopringorg的前端中发现了一个严重的安全漏洞，这使整个Loopring外汇基金（约500万美元）处于危险之中。我们提醒了Loopring –他们做出了专业回应，并关闭了交流以修复该错误。我们的分析：https：//t.co/dD0eIhkkKc

— StarkWare（@StarkWareLtd）2020年5月7日

此后，Loopring的一则中级帖子已确认这笔资金是安全的，但是需要用户采取行动以防止进一步的暴露，

“为减轻任何担忧，请知道所有资金都是安全的，但是如果您想匹配现有或将来的订单，则需要用户采取行动来重置Loopring DEX上的交易密码。”

循环播放安全漏洞

如果恶意方发现，Loopring生态系统中的这一缺陷可能会导致另一次DeFi黑客攻击。该公司的帖子指出，它的Frontend代码确实不足，因为它枚举了客户的EdDSA密钥对。根据Loopring的说法，该公司在生成EdDSA密钥之前对用户的交易密码进行了额外的哈希处理，但不幸的是最终以32位整数步速限制而告终。因此，鉴于Loopring平台中的EdDSA密钥对主要功能，它为欺诈执行创造了机会，

“如果要破坏用户的EdDSA密钥对，则黑客可以下订单以非常低的价格出售受破坏用户的资产到我们的订单簿中，并通过成为购买对方来获利。在流动性低的情况下，这些订单最终会匹配。”

值得注意的是，Loopring中的以太坊密钥不受密钥对生成过程中潜在的安全威胁的影响。这是因为平台通过引用SNARK友好属性来利用其自己的帐户密钥。基本上，尽管加入了以太坊密钥，所有Loopring帐户用户最终都必须创建一个帐户密钥，以最大程度地利用平台的加密服务。

迅捷的解决方案

收到通知后，Loopring立即关闭其交换并导致更正了该错误。中间帖子强调，该交易所通过部署新产品来改善了其EdDSA密钥对的生成。除此之外，Loopring还停止了尚未更改密码的客户端的订单匹配，

“另一方面，我们已经停止了所有现有用户的订单匹配，直到他们更改了交易密码，从而更新了他们的EdDSA密钥对。”

—-

原文链接：https://bitcoinexchangeguide.com/loopring-shut-down-its-dex-to-fix-massive-vulnerability-before-it-was-exploited-funds-safu/

原文作者：Edwin Munyui

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。