巴比特论坛

【漏洞】比特派发现部分EOS钱包存在漏洞的相关说明 [复制链接]

来自手机版
发表于 2018-6-14 14:21:15 | 显示全部楼层
这段时间 EOS 主网引发了全球关注,在过去的两天里,部分钱包已经开始陆续支持 EOS 投票功能了,众多比特派钱包的派友们也一直通过各个渠道询问比特派何时开通节点投票功能,用户的需求非常迫切。

虽然用户们催的很急,但我们仍然决定推迟到今天来发布最新支持EOS投票的版本,主要是因为在开发投票过程中发现了目前大部分支持EOS的钱包存在漏洞,我们花费了大量的精力对此问题进行安全测试。

由于 EOS 是全新的区块链项目,相关生态并不完善,比如说构造交易、签名交易这类的代码往往都需要各个团队自行编写,可供参考的、稳定可靠的开源项目并不多。

在这种情况下进行开发,对团队的技术提出了更高的要求。我们发现业内大部分钱包应用互相参考代码时,在签名代码中使用了不够安全的随机数算法(初步判断都是借鉴了相同的、写错了代码的源项目),并未遵循 RFC6979 规范(国内关于 RFC6979 最早的参考文章是由我们的比太团队在2014年编写的,请参阅 http://www.8btc.com/rfc6979 ),而最初提出 RFC6979 就是因为之前有一些比特币钱包使用了不安全的随机数算法导致签名交易过程中使用了重复的 k 值,这样会导致私钥暴露,进而导致资产损失。

比特币历史上曾出现过多次因一些钱包使用了不安全的随机数导致的安全事故,因此,我们强烈建议业内全部团队 Review 自己项目中的签名算法,严格遵循 RFC6979 的规范,以确保用户的资产安全,尤其是支持 EOS 投票功能的相关项目,一定要进行 Review!不要让用户的资产去蒙受损失。

安全容不得半点疏忽,正是因为要对密码学相关的代码做足够的安全性测试,比特派钱包才会推迟到今天发布新版本来满足用户的 EOS 投票需求。在密码学、椭圆曲线数字签名算法(ECDSA)、随机数等方面,比特派已经是老牌团队了,也正是因为对这个行业的感情和深深的责任感,我们才会更加重视跟密码学相关的代码安全审计,因为在这事儿上,一但错了,用户的资产就全没了,安全两个字一直在比特派的血液中流淌,不会被任何事情动摇。

比特派钱包的各个币种和 Token 的签名算法都严格遵循RFC6979,请大家放心。
如果有团队无法顺利解决问题,请联系我们,比特派愿意提供无偿的帮助。

即使所有人都浮躁了,也希望我们业内的做安全相关的团队不要浮躁,大家一起踏实保护用户的资产,团结力量让我们的币圈越来越好。

比特派钱包 bitpie.com
2018.06.14​​​​




来源:https://weibo.com/ttarticle/p/show?id=2309404250788447787385

2条回复 跳转到指定楼层

Aitlas | 副船长 | 发表于 2018-6-14 14:33:55 | 显示全部楼层
本帖最后由 Aitlas 于 2018-6-14 14:36 编辑

比特币的钱包们2014年之前就踩过的坑,EOS的钱包们还要再踩一次,这也太6了吧。
stayclose | 海盗王 | 发表于 2018-6-14 14:40:01 来自手机版 | 显示全部楼层
会被攻击被盗吗 好惨啊
高级模式
您需要登录后才可以发帖 登录 | 立即注册 | 用新浪微博登录

本版积分规则

搜索

0关注 5粉丝 92主题

作者的其他主题

返回顶部 返回列表

登录

分享 发帖