链捕手消息,Cosmos联合创始人EthanBuchman对BNBChain跨链桥BSCTokenHub攻击事件发表看法表示,此次事件问题的关键在于黑客能够伪造Merkle证明。这本不应该发生,因为Merkle证明应该提供高完整性。区块链轻客户端建立在Merkle证明之上,许多区块链将数据存储在Merkle树中,这样就可以生成证明,证明某些数据包含在树中。
去中心化Stablecoin DAI将上线Cosmos:金色财经报道,跨链协议 Umee 的团队宣布,去中心化Stablecoin DAI将上线Cosmos网络。据悉,DAI 已经与 20 多个不同的加密网络集成,包括Solana、Fantom和 Polygon 。(decrypt)[2022/6/9 4:12:30]
Cosmos链使用一种称为IAVL的Merkle树,IAVL存储库公开了一个使用范围证明“RangeProof”的API,但事实证明RangeProof的内部工作存在严重错误。IAVLRangeProof的代码问题在于其允许填充InnerNode中的Left和Right字段,攻击者基本上利用了将信息粘贴到Right字段中的优势,这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些叶节点是树的一部分。因此,他们成功地伪造了Merkle证明。
动态 | Cosmos上首个 DeFi 项目Kava主网完成第一笔转账:Cosmos上首个DeFi项目Kava启用交易参数更改提案通过,同时开启主网转账功能。首笔转账已于今日 11 点 36 分 24 秒由 BitCat向Nodeasy相关账户发起,这是第一次Kava主网上的代币转账,币安 BEP2代币在Kava主网上的转换仍需等待。[2019/12/3]
Buchman表示,虽然使用RangeProof不是一个好主意,但有一个方式或可以解决这个问题,即当任何内部节点同时填充了左右字段时,则预先拒绝证明。对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,ICS23代码没有这个漏洞,它可明确“拒绝”RangeProof。
分析 | Cosmos SDK 严重安全漏洞初步分析:今天早晨,Cosmos 团队表示在 Cosmos SDK 发现严重安全漏洞,已经在 Cosmos SDK 0.34.6 版本发布补丁,并会在 7-10 个工作日提供技术细节。Cosmos 团队称,正在协调进行 Cosmos 主网硬分叉应对该漏洞,在联系验证人确保在区块高度 482100 时进行网络转换。经过Beosin成都链安分析,cosmos-sdk的github已经更新了0.34.6版本代码,我们对更新代码进行了初步分析,本次更新主要影响undelgate逻辑,原来的取消抵押逻辑会根据验证器validator状态,当status==Unbonded时会直接返回抵押资金,不需要等待赎回时间,在代码更新后,当执行到区块高度482100后会取消这个逻辑,取消抵押操作都会存在赎回时间;就目前来分析看,这个漏洞应该只影响取消抵押逻辑,导致可能提前赎回抵押资金,是否还存在其他危害,我们还在进一步分析。[2019/5/31]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。