PeckShield：0x Exchange合约恶意挂单可扰乱正常交易秩序

昨天，去中心化交易所协议 0x 项目方称其发现严重安全漏洞。PeckShield 安全人员跟进分析发现，0x Exchange 合约在校验订单签名时存在缺陷，导致攻击者可以进行恶意挂单，进而将用户的数字资产低价卖出，扰乱正常的交易秩序。所幸项目方及时发现并修复问题，截至目前，尚未有真实攻击发生，并没有产生数字资产损失。0x 协议本次出现漏洞的合约代码，主要是内联汇编代码编写签名验证功能出现的问题，直接编写汇编代码虽然在编译器无法优化合约代码的情况下非常有用，可控性更强且能提高执行效率，减少 Gas 消耗，但是编写 Solidity 汇编代码需要对 EVM 运行机制有非常熟悉的理解，不然 EVM 的某些特性可能导致编写的合约无法正常运行，同时也缺少了 Solidity 提供的多种安全机制。PeckShield 安全人员在此提醒广大开发者及时排查合约的相关代码，避免类似问题可能造成的安全风险，对于 DEX 等 DeFi 类项目，项目方在上线前需要找有资质的安全公司审计安全风险。