宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 区块链 > 正文

Cosmos联创:BNB Chain攻击事件中黑客通过RangeProof伪造Merkle证明

作者:

时间:1900/1/1 0:00:00

对于近日BSC跨链桥攻击事件,Cosmos联合创始人EthanBuchman在推特上表示,此次事件问题的关键在于黑客能够伪造Merkle证明。这本不应该,因为Merkle证明应该提供高完整性。区块链轻客户端建立在Merkle证明之上,许多区块链将数据存储在Merkle树中,这样就可以生成证明,证明某些数据包含在树中。币安的情况是攻击者能够证明某些数据在树中,但它实际上不在树中。Cosmos链使用一种称为IAVL的Merkle树,IAVL存储库公开了一个使用范围证明“RangeProof”的API,但事实证明RangeProof的内部工作存在严重错误。一个证明应该由一个叶节点和一系列内部节点组成,这些节点勾勒出树中从叶到根的路径,具有足够的信息来计算树的Merkle根哈希并验证叶实际上是树的一部分。因为这是一个二叉树,所以每个内部节点都可以有一个左分支和右分支。但证明是通过跟踪树中的路径,所以内部节点应该只包含其左分支或右分支哈希,另一个是根据证明中其他节点的哈希构造的。IAVLRangeProof的代码问题在于其允许填充InnerNode中的Left和Right字段,攻击者基本上利用了将信息粘贴到Right字段中的优势,这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些叶节点是树的一部分。因此,他们成功地伪造了Merkle证明。

Cosmos联创:BNB Chain黑客通过RangeProof伪造Merkle证明实现攻击:10月9日消息,Cosmos联合创始人Ethan Buchman对BSC跨链桥攻击事件发表看法表示,此次事件问题的关键在于黑客能够伪造Merkle证明。这本不应该,因为Merkle证明应该提供高完整性。区块链轻客户端(和IBC)建立在Merkle证明之上,许多区块链将数据存储在Merkle树中,这样就可以生成证明,证明某些数据包含在树中。

Cosmos链使用一种称为IAVL的Merkle树,IAVL存储库公开了一个使用范围证明“RangeProof”的API,但事实证明RangeProof的内部工作存在严重错误。IAVL RangeProof的代码问题在于其允许填充InnerNode中的Left和Right字段,攻击者基本上利用了将信息粘贴到Right字段中的优势,这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些叶节点是树的一部分。因此,他们成功地伪造了Merkle证明。[2022/10/9 12:50:21]

Buchman表示,虽然使用RangeProof不是一个好主意,但有一个方式或可以解决这个问题,即当任何内部节点同时填充了左右字段时,则预先拒绝证明。虽然RangeProof是核心Cosmos存储库(IAVL)的一部分,但它实际上并未用于Cosmos堆栈中的区块链协议。IAVL树本身被所有Cosmos-SDK链使用,但RangeProof不是。对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,ICS23代码没有这个漏洞,它可明确“拒绝”范围证明。

欧易CEO JayHao:OKExChain将EVM捐赠给Cosmos社区:据JayHao微博消息,OKExChain早期基于Cosmos底层技术进行定制开发,但是基于高性能交易公链的定位,自Cosmos sdk 0.39版本将EVM集成进来,实现了Cosmos对EVM的完整兼容,未来将对底层代码进行彻底重构,并且开创新的技术路线。

JayHao表示,“在OKExChain生态建设全面开启之际,首先要感谢Cosmos社区提供大量基础设施,帮助我们快速迈进公链的大门。同时,为回馈社区,OKExChain将把集成EVM的代码全部开放,希望对Cosmos生态建设尽一点绵薄之力。”[2021/5/10 21:43:06]

据悉,Cosmos旧版本存在RangeProof相关漏洞,目前Cosmos链经过多次迭代更新,根据Buchman的说法,虽然币安是Cosmos软件的最大用户,但其不关注Cosmos进展,所以导致此次攻击事件。

Ledger即将推出v2.22.0版本以支持Cosmos:2月19日消息,加密硬件钱包Ledger官方发推称,即将推出Ledger Live v2.22.0版本,以恢复支持Cosmos的兼容性。低于该版本的Ledger Live将不再支持Cosmos。[2021/2/19 17:28:26]

标签:COSCOSMOSMMOScosmos代币atom币cosmos币创始人COSMIKCOMOS价格

区块链热门资讯
上饶法院宣判一起384枚ETH盗币案,被告获刑十年零六个月

上饶饶市广信区法院以盗窃罪近日对一起盗币案作出判决,判处被告人李某某有期徒刑十年零六个月,并处罚金人民币二十万元.

1900/1/1 0:00:00
sDAO合约业务逻辑存在漏洞,攻击者获利超1.3万BUSD

根据区块链安全公司Beosin旗下EagleEye监测显示,BNBChain上的sDAO项目遭受漏洞攻击.

1900/1/1 0:00:00
香港金管局:稳定币的波动性或会蔓延到传统金融领域

香港金融管理局今日发布题为《评估从加密货币到传统金融资产的波动溢出:资产支持的稳定币的作用》的研究报告。报告称,由于传统金融资产的支持提供了稳定的价值,资产支持的稳定币在加密生态系统中发挥着关键作用.

1900/1/1 0:00:00
报告:今年迄今为止Meta元宇宙部门Reality Labs已亏损94亿美元

据TheBlock报道,Meta周三公布的财报显示,Meta元宇宙部门RealityLabs在今年第三季度亏损37亿美元,今年迄今为止的亏损已达到94亿美元.

1900/1/1 0:00:00
分析:SBF发布神秘推文或是为了逃避机器人检测到其偷删旧推文的行为

针对昨日FTX前首席执行官SamBankman-FriedSBF发布的神秘推文,加密KOLBearicaWall在推特上分析称,这可能是SBF在偷偷地删除选定的推文,以便DeletedTweets机器人不会检测到它.

1900/1/1 0:00:00
数据:第三季度MakerDAO收入约为400万美元,环比下降86%

据Cointelegraph引援Messari数据显示,Maker协议的管理机构MakerDAO的收入在2022年第三季度跌至略高于400万美元,比上一季度下降86%.

1900/1/1 0:00:00