宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Bitcoin > 正文

跨链桥多签权限被替换 Celo到底发生了什么?

作者:

时间:1900/1/1 0:00:00

北京时间11月23日晚,鱼池F2Pool创始人神鱼于微博转发安全组织Rugdoc的风险提示称:“有在Celo链上挖矿的请注意,跨链桥的多签被人换了,疑似有问题,降低风险的办法是把Celo链上的其他资产卖成Celo,目前卖的人还不多,亏几个点。大家自行判断风险,是一还是止损,全凭实力,胆子大的还可以套利。”

作为Celo官方牵头构建的跨链桥协议,Optics是当前资金从外部生态流入Celo的主要渠道,该桥出现问题,无疑会对整个Celo生态的资金流通造成影响。因此,在Optics的问题被爆出之后,恐慌情绪也开始在社区之内弥漫。

根据来自Celo背后开发团队cLabs的首席执行官TimMoreton的事件解释声明,多签权限被替换是因为有人单方面激活了GovernanceRouter合约上的Optics修复模式,虽然桥梁服务一切正常,但这一操作导致Optics协议被修复管理账户完全控制,原本的多签权限也被覆盖。不过,Tim?认为锁定在桥上的资金当前没有风险。

Web3社交媒体平台ZIKTALK宣布支持Polygon Network并于本月进行新升级:金色财经报道,Web3 社交媒体平台 ZIKTALK 宣布支持 Polygon Network 并于本月进行新升级,允许用户以较低的gas费用进行取款和其他交易,同时还将支持MetaMask、Coinbase和Trust Wallet的支持,以及对去中心化加密货币交易所 Uniswap (UNI)。(prnewswire)[2023/6/20 21:50:02]

而从Tim披露的链上事务记录可以看出,该事件实际发生于25天之前的10月29日,也就是说,在10月29日后,Optics一直处于修复模式之中,但cLabs团队直到11月22日才向社区公开披露了事态情况。

最值得注意的是,除了解释多签权限被替换的技术原理之外,Tim还提到了一位已被cLabs开除的前高级开发者?JamesPrestwich。Tim声称,修复模式被激活就发生在?James因行为不当而被解雇后的15分钟,且在?Optics的部署过程中,James曾为配置创建过一个包括修复地址的pullrequest,且曾请求确认过这个地址并要求报销费用。Tim还表示,自从发现问题后,cLabs曾想尽了一切办法与?James?接洽以解决问题,但迄今并未成功。

链游Fusionist完成660万美元种子轮融资,Binance Labs领投:金色财经报道,据官方消息,Binance Labs 于 2022 年 5 月与 Web2 游戏巨头 FunPlus 共同牵头对 Web3 游戏 DApp Fusionist 进行了 660 万美元的战略投资,以推动 Web3 游戏的创新和采用。该轮融资将用于继续加快游戏的开发,并建立 2023 年 1 月推出的 Endurance 主网生态系统。

此外,Fusionist 还计划加强用户增长,并招募顶级的游戏和 Web3 专业人士,以进一步加强其团队的能力。[2023/6/1 11:51:45]

不过,对于Tim的“指控”,James本人却回应称:“我从来都不是?Optics?修复模式的密钥持有者;我很失望cLabs和Celo选择将他们的欺凌公开化,他们正通过撒谎来攻击我的声誉;根据律师的建议,我现在什么都不会说。”

Iris Energy等公司预计在未来几个月违约高达1.08亿美元:金色财经报道,Iris Energy等公司预计在未来几个月违约高达1.08亿美元。该公司已多次从NYDIG借款,最近一笔贷款于 2022 年 3 月交付。另一家从 NYDIG 借款的公司是 Core Scientific,有人称它可能是下一个申请破产的加密货币公司之一。NYDIG 还向现已破产的 Block Fi提供了 5400 万美元的贷款。

Galaxy Digital 的发言人 Michael Wursthorn表示,我们继续对采矿领域的融资安排采取审慎、风险管理的方法。例如,在第三季度,Galaxy 的采矿部门按预期条款关闭了三项现有机器租赁,总价值约为 800 万美元,没有违约、拖欠或损失。[2023/1/9 11:01:30]

显然,Tim与James的说法存在矛盾,如果二人都没有说谎,那么究竟是谁激活了修复模式呢?

香港财政司司长:推动香港发展成国际虚拟资产中心:10月17日消息,香港财政司司长陈茂波发表文章《香港的创科发展》。文章指出,要推动香港发展成国际虚拟资产中心。陈茂波称,本港金融科技发展蓬勃,有着充满活力的生态系统,目前已有逾600家金融科技公司,其中有约三分之一来自海外,它们的业务涵盖移动支付、跨境理财、机械理财顾问、财富及投资管理、合规科技、虚拟资产交易等范畴。

香港金融科技周将于10月31日至11月4日举行。陈茂波透露,今年香港金融科技周亦乘着第三代互联网(Web3)及元宇宙等构思而加入新元素,包括将以先到先得的方式,以非同质化代币(NFT)形式向参加者派发限量版的出席证明协议(POAP)代币。

此前消息,香港特区政府将在该活动上发布有关虚拟资产在港发展的政策宣言,内容涵盖愿景和策略、监管制度、对于开放投资者接触虚拟资产的取态,以及为把握虚拟资产带来的技术优势推出先导项目。[2022/10/17 17:28:28]

在事件发生之后,社区之内也通过链上记录展开了调查,社区成员@diwu1989?指出,在激活修复模式的最后一笔交易中,修复管理地址从「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」,而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」创建,所以问题的关键就是要找到0x2f开头地址的所属。

美国纽约法院将召开三箭资本债权人紧急听证会:7月11日消息,美国纽约一法院已批准召开三箭资本债权人紧急听证会,该听证会定于当地时间周二(7月12日)上午举行,此次听证会的召开是因为三箭资本创始人被指控不配合清算程序 。

代表债权人的律师星期五晚间在纽约提交的法庭文件中说,该基金的创始人“还没有开始以任何有意义的方式配合诉讼程序”。 律师们表示,在最初的Zoom通话中,自称“Su Zhu”和“Kyle”的人在场,但他们的视频和音频被关闭,他们不会回应直接向他们提出的问题,只有他们的法律代表回答问题。法庭文件显示,拜访过三箭集团新加坡办事处的债权人律师发现该办事处已被废弃。

人们越来越担心,三箭资本的资产(主要以现金、加密货币和NFT的形式)可能很容易转移。 目前,三箭公司旗下的NFT基金Starry Night的NFT已被转移到一个新的钱包中,原因不明。 债权人正寻求冻结三箭公司的资产。 但首先,他们要求法院迫使三箭基金的创始人列出该基金的资产。(CoinDesk)[2022/7/11 2:04:41]

另一位社区成员@Ryan沿着这一思路继续调查发现,该地址与另一家项目PartyDAO存在关联,因其是当前少数持有PARTY代币的地址之一,如果可以联系到该项目,或可知晓其身份。

社区成员@Deepcryptodive也指出,?0x2f开头地址的资金来自于?0x2a98开头的?Kucoin地址,通过Kucoin的KYC系统,应该也可查出此人的身份。

在多人的共同调查之下,真相最终水落石出,由去中心化内容平台Mirror的地址备注中可知,0x2f开头地址的资金归属于一名叫做Anna的人,那么Anna会是激活了修复模式的那个人吗?

答案似乎是肯定的,社区用户从Github记录上查到,正是在26天之前,一名头像和姓名都相同的社区开发者,在Github上报告了一个关于?Optics修复模式时间锁的漏洞,为了补上漏洞,需要激活修复模式并更换为一个更加安全的多签地址。此外,从历史提交代码上看,Anna也的确参与了?PartyDAO的开发工作。

至此,真相基本水落石出,链上地址对的上,报告中提及的漏洞与解决方案与此次事件也相吻合,所以基本可以判断正是Anna激活了?Optics的修复模式,修复管理账户大概率也在Anna的控制之下。

不过,虽然事态脉络已然厘清,但部分社区成员对于CELO以及?cLabs在此事中的处理方式却很不满意。作为Celo的开发团队,cLabs理应比任何外部调查者都更清楚事情的来龙去脉,但在Tim的声明中却并没有给出一个清晰的解释,反而是做了一些毫无根据的猜测,将矛头引向一个已被解雇的开发者James。

除此之外,另一些社区成员也对Tim在声明中提到的“桥上资金没有风险”相当不满,因为单从Tim的描述推断,合约当前的控制权显然并不在?cLabs或其他已知社区成员的掌握之中,所以单方面声称“资金没有风险”是极其不负责任的。

推特大V?@MonetSupply就此事总结了该团队所范的三个错误:

没人在应用上线前检查已部署的合约;

迟迟25天没有向社区做任何披露;

Tim那则诡异的声明。

MonetSupply最后将这一切归因于Celo内部管理的混乱,并表示自己将因此看跌CELO。

昨日晚间,为了为了平息社区内的恐慌及不满情绪,Celo官方组织了一场AMA对话,并就此事在官方论坛再次发声加以解释。这一次,代表cLabs发声的不再是首席执行官Tim,而是换成了另外两名开发者?Eric和Marek。

新的声明披露了一些关键信息,包括将对?Optics合约进行一定审计并向社区披露,以及通过发布?OpticsV2来迁移用户资金。Marek还提到:“我们肯定会从这次事件中吸取教训,我们将继续分析哪里出了问题,以及为什么会出问题。为此,我们计划尽快发布一份完整的事件回顾报告。”

事已至此,虽然很多细节问题仍需等待Marek提到的报告发布后才可进一步明晰,但事态基本情况已大体明了。

整体来看,此次的“?Optics安全事件”多少存在一定的“虚惊”成分,作为社区开发者,Anna替换多签的目的更像是在修复bug而非作恶,这也是为什么过去25天Optics没有出现任何资金流失。不过,凡事也不能太过乐观,在事件彻底收官之前,建议大家短期内尽量减少Optics的使用频率,如有跨链需求,可尽量选择同样支持Celo生态的Anyswap,或如神鱼建议的那样将桥接资产兑换为CELO,再利用中心化交易所出入。

跨链赛道一直都是安全事故的高发领域,虽然暂时没有造成任何资金损失,但此次事件所敲响的警示同样不容忽视,希望Celo?开发团队以及其他项目方能够以此为戒,改善内部管理秩序,提高透明度,带给用户更安全、更放心的跨链体验。

原创文章,作者:Azuma。转载/内容合作/寻求报道请联系report@odaily.com;违规转载法律必究。

来源:金色财经

标签:CELCELOOPTITICcelsius币最新Wrapped CeloOptimusCatGalactic Arena: The NFTverse

Bitcoin热门资讯
拘留升逮捕“CloudToken”钱包操盘手刘明被抓

天网恢恢疏而不漏,CloudToken操盘手刘明被抓。不知道大家对CloudToken钱包还有印象吗?Cloudtoken云钱包也是众多盘子包装较劣质的其中之一.

1900/1/1 0:00:00
虎符赚币年化收益升级 新增持仓HOO加息优惠

2021年11月29日16:50(UTC+8),虎符发布官方公告称,虎符赚币完成年化收益优惠升级,持有HOO的用户参与指定的定期赚币产品可享受加息优惠.

1900/1/1 0:00:00
中国电子报:NFT的尽头是元宇宙吗?

作者丨齐旭 科幻电影极力渲染,科技巨头动作频频,下一代互联网——元宇宙的轮廓正在逐渐清晰。小到一车一人,大到一楼一城,与现实世界一样,所有人与物在虚拟空间构成了庞大且隐秘的独立经济体系,而其背后是由区块链支撑的NFT技术连接着、定义着.

1900/1/1 0:00:00
金色前哨 | 印度政府回答有关比特币交易及加密合法性的问题

印度政府在议会上回答了三组关于比特币交易、卡纳塔克邦备受瞩目的比特币局以及印度加密货币交易和加密货币交易所的合法性的问题。与此同时,冬季会议已经开始,一项加密法案预计将在本届会议期间审议.

1900/1/1 0:00:00
Celsius Network B 轮融资规模扩大至 7.5 亿美元

CelsiusNetwork的B轮融资从10月份公布的4亿美元扩大到7.5亿美元。CelsiusNetwork是一个使用区块链技术运营的CeFi借贷平台。这家加密货币贷方表示,它在10月份筹集的4亿美元将向监管机构保证其业务的可信度.

1900/1/1 0:00:00
金色观察 | 林俊杰宣布持有元宇宙虚拟地块 他还有哪些NFT?

2021年11月23日,著名华人歌手林俊杰在推特宣布持有三块Decentraland虚拟地块:PrimeGallery1、PrimeGallery2、NEARESTtoGENESISPLAZA.

1900/1/1 0:00:00