2020年11月2日aLAT兑换系统漏洞情况通报;11月3日更新解决方案;11月5日新兑换系统启动

11月5日更新进展情况:

新的兑换系统已经发布上线,新兑换系统中,用户的操作主要为以下三步:

1.在新贝莱世界网络下,导出登记有主网LAT奖励的钱包地址(lax前缀)的私钥或钱包文件,然后将其导入至Alaya网络成为Alaya网络的钱包地址(atp前缀)

2.在兑换系统中进行KYC认证,并在填入lax前缀的钱包地址后,使用该钱包进行一笔1lat的转账进行账户归属验证。

3.账户归属验证成功后,确认系统显示的atp前缀钱包地址是否正确。

完成以上操作后,aLAT奖励和ATP奖励将在5个工作日内,发送至atp前缀的钱包地址中。

感谢大家的耐心等待,大家如果有任何意见建议,请随时与我们在论坛或者社区交流。谢谢。

————————————————————————————

11月3日更新进展情况:

经过攻城狮同学们的审慎研究,初步确认了aLAT兑换系统的新方案,给大家做个同步汇报:

(老版说明不完整,已删除,请大家看上面的新版操作说明)

新版的兑换系统预计开放时间为11月5日下午17点。

感谢大家的理解和支持,大家如果有任何意见建议,请随时与我们在论坛或者社区交流。谢谢。

————————————————————————————

11月2日20:30左右,接用户提报,刚刚上线的aLAT兑换系统存在系统逻辑漏洞,可能导致用户资产损失。在此情况下,20:40左右我们紧急关停了该系统。

系统关停后,经查已成功登记14笔奖励兑换申请,但奖励发放动作未实施,没有给用户带来任何可能的资产损失。

但会给这些已经完成奖励兑换登记的用户造成需要再次进行奖励兑换操作的不便,在此我们深表歉意,非常非常抱歉,给大家添麻烦了。

同时也要诚恳致歉的是:大家久等的奖励兑换系统暂时还不能启用,目前大家还无法获取到奖励的ATP并尽早参与到Alaya网络的建设中去。

本着面向社区和用户公开透明的一贯原则,现披露该逻辑漏洞详情如下:

在系统原有设定中,在KYC认证过程的第三步,需要用户输入登记了LAT奖励的测试网地址A,然后为了验证用户是该地址A的拥有者,用户需要通过地址A给某一个固定地址B转账1LAT,并输入转账后的Hash进行验证。

漏洞存在于该逻辑中,恶意用户可以通过监控地址B的交易转入情况,来获取其他用户转账的Hash和地址,从而可以恶意绑定其他用户的地址并进行奖励兑换,从而占有本属于其他用户的资产。

该逻辑漏洞可能导致的问题极为严重,所以我们立即做出了关停系统的决定。

目前我们正在抓紧研讨后续的对策,力求能够快速地推出新的兑换方案,让用户能够尽快进行奖励兑换并参与到Alaya的网络建设中去。

有进一步相关消息,我们会继续在此向社区进行通告。

如因此给大家带来不便,敬请大家谅解,谢谢。

4 Likes

原来如此,加油!

1 Like

不能太复杂,环节越多存在的漏洞越多

好了那就开始干吧,等明天了 :muscle:

请求支持一次KYC验证多个地址。

期待ing,希望这次不会再出问题,系统要流畅呀。

今天atp到了,为什么alat没有到了呢