来源:cryptopedia
编译:胡韬,链捕手
CosmosHub是构建在Cosmos网络上的越来越多区块链的区块链协议,允许它们相互通信。它的功能非常类似于你如何使用计算机共享可以在任何操作系统上打开的文件。虽然Cosmos旨在支持多种代币,但Cosmos的原生加密是ATOM,它是CosmosHub背后的驱动力。ATOM提供多种功能:?
维护网络共识
通过基于激励的验证器节点进行质押
减少垃圾邮件作为支付gas费用的媒介?
提供投票机制,通过Cosmos治理提案提出网络修正
CosmosHub由Tendermint核心团队构建,该团队是负责设计Cosmos网络并为其做出贡献的主要组织。他们在构建CosmosHub、CosmosSDK和TendermintCore等关键网络基础设施方面发挥着关键作用——提供最先进的工具来帮助实现Cosmos网络的全部潜力。Tendermint团队已将CosmosHub构建为一个可互操作的区块链平台,该平台允许该协议与Cosmos网络内的独立区块链连接。?
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
本文将主要讨论Cosmos网络的三个主要方面:
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
Tendermint核心拜占庭容错共识方法:由Tendermint团队设计的一种与语言无关的共识算法,用于状态机复制以复制Cosmos网络中构建的其他区块链网络。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
区块链间通信协议:由Tendermint团队设计,作为不同区块链网络之间可互操作的通信层。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
Cosmos软件开发工具包(SDK):一种开源、可扩展的基础设施,旨在在Cosmos网络中构建多资产权威证明(PoA)和PoS区块链平台。
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
Tendermint核心BFT共识
通常,工作量证明(PoW)区块链协议运行缓慢且成本高昂,具有显着的可扩展性挑战和高能耗。TendermintBFT共识机制解决了利用验证的股权的共识专为网络中更快的交易时间算法这些问题。?
Tendermint是Cosmos网络底层的共识算法,它被构建为一个高性能的BFTSMR平台,可以复制服务,然后可以将这些服务模拟为确定性的、非随机的状态机。基本上,这意味着创建TendermintCore是为了复制专门的服务器。这是通过一台特殊的机器来实现的,该机器复制服务器并将它们传播到全球Cosmos网络。这个过程允许来自TendermintCore的软件工程师在世界各地的状态机上复制区块链。
Tendermint的重要技术能力允许开发人员创建自己的区块链平台,而无需从头开始构建一切。这很有帮助,因为它允许用户创建他们想要的任何类型的区块链系统——几乎所有的东西都已经为他们完成,除了他们的应用程序逻辑和代币。托管在Cosmos网络上的代币包括:Kava(KAVA)、Terra(LUNA)、BandProtocol(BAND)、Aragon(ANT)和AkashNetwork(AKASH)等。?
CosmosATOM币在TendermintCoreBFT共识机制的功能中也发挥着关键作用,因为CosmosHub是一个权益证明区块链平台。Cosmos依靠100个验证者节点网络来维持共识、安全性和运营效率。为了使该系统正常运行,用户必须抵押他们的ATOM币。?
验证器的作用是运行一个完整的节点——它验证网络规则——并向网络广播投票,随后将新区块提交到区块链。反过来,验证者根据作为抵押品抵押的ATOM的数量以ATOM的形式获得收入。?
最后,ATOM被用作垃圾信息防范机制,对交易收费可阻止大量垃圾交易。Cosmos币还用作影响Cosmos网络方向的提案的治理投票机制。Cosmos网络参与者有机会按其ATOM持有量进行投票。?
区块链间通信(IBC)协议
CosmosIBC协议旨在解决当今区块链系统面临的最重要挑战之一:网络之间缺乏通信和数据共享。?
互操作性以及与外部和内部区块链协议进行通信的能力对于区块链和加密货币在现实世界中的广泛应用和技术采用至关重要。想象一个只能与其直接地理区域内的参与者进行通信的电话网络。它根本行不通。CosmosIBC是一种类似于TCP/IP的消息传递协议,旨在共享信息和数据,最终实现多个区块链之间的通信。
CosmosSDK的能力
CosmosSDK是一个可扩展的开源基础设施,旨在构建多资产公共PoS区块链平台,例如CosmosHub,以及许可的权威证明(PoA)区块链。简单易用是软件工程师寻求的关键属性,以便及时构建可互操作的、特定于应用程序的区块链。CosmosSDK是一个模块化框架,旨在构建特定于应用程序的区块链,而不是基于虚拟机的应用程序。?
像以太坊这样的虚拟机(VM)区块链被创建来作为一组智能合约在现有区块链之上托管应用程序开发。智能合约可能有利于特定用例,例如一次性应用程序。然而,它们对于复杂、分散的平台的开发通常是无效的。
通常,智能合约技术的通用性、主权和技术性能是有限的。Cosmos支持的特定于应用程序的区块链旨在运行单个应用程序,并让工程师可以自由地进行以最佳方式运行应用程序所需的结构设计修改类型。
CosmosSDK不仅允许开发人员使用预构建模块,还允许他们使用自己的定制模块,使他们能够在启动自己的公共主网之前测试其最小可行产品.?此外,CosmosSDK允许用户通过IBC将他们自己的区块链连接到Cosmos网络,从而增加流动性和用户采用率。CosmosSDK还被用于构建许多关键的区块链和加密货币项目,例如BinanceDEX、Kava、Terra和IRISNet。
可互操作的区块链世界
TendermintBFT共识机制、IBCProtocol和CosmosSDK均旨在简化软件工程师如何构建自己的区块链协议作为Cosmos网络的一部分。许多领先的区块链企业已经通过使用其灵活且可互操作的框架创建了CosmosNetwork的核心。?
CosmosHub本身是一个极其强大的去中心化区块链网络,其结构和治理允许网络参与者保持冷静——以ATOM币作为促进安全、共识和运营效率的质押机制。Cosmos网络帮助解决了当前对当今区块链技术施加基本限制的许多底层互操作性挑战。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。