安全機構:0x Exchange合約惡意掛單可擾亂正常交易秩序

昨天,去中心化交易所協議 0x 項目方稱其發現嚴重安全漏洞。PeckShield 安全人員跟進分析發現,0x Exchange 合約在校驗訂單簽名時存在缺陷,導致攻擊者可以進行惡意掛單,進而將用戶的數字資產低價賣出,擾亂正常...

昨天,去中心化交易所協議 0x 項目方稱其發現嚴重安全漏洞。PeckShield 安全人員跟進分析發現,0x Exchange 合約在校驗訂單簽名時存在缺陷,導致攻擊者可以進行惡意掛單,進而將用戶的數字資產低價賣出,擾亂正常的交易秩序。所幸項目方及時發現並修復問題,截至目前,尚未有真實攻擊發生,並沒有產生數字資產損失。0x 協議本次出現漏洞的合約代碼,主要是內聯彙編代碼編寫簽名驗證功能出現的問題,直接編寫彙編代碼雖然在編譯器無法優化合約代碼的情況下非常有用,可控性更強且能提高執行效率,減少 Gas 消耗,但是編寫 Solidity 彙編代碼需要對 EVM 運行機制有非常熟悉的理解,不然 EVM 的某些特性可能導致編寫的合約無法正常運行,同時也缺少了 Solidity 提供的多種安全機制。PeckShield 安全人員在此提醒廣大開發者及時排查合約的相關代碼,避免類似問題可能造成的安全風險,對於 DEX 等 DeFi 類項目,項目方在上線前需要找有資質的安全公司審計安全風險。

0

發表迴響