宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > BNB价格 > 正文

Cosmos联合创始人:一个密码学漏洞引发的币安跨链桥攻击

作者:

时间:1900/1/1 0:00:00

原文作者:Cosmos联合创始人EthanBuchman

关于币安黑客事件的一些想法。Binance是Cosmos软件的最大用户,他们运营着一个价值数百亿美元的平台,但没有对核心软件做出有意义的贡献或参与。从这里发生的事情中,我们可以学到很多。

你可能看到了samczsun的优秀推文贴展示了这个问题。https://twitter.com/samczsun/status/1578167198203289600?让我们尝试补充一些有关情况的详细信息。

Cosmos流动性质押协议Stride已上线主网:9月6日消息,Cosmos流动性质押协议Stride已上线主网,允许用户存入ATOM以铸造stATOM,旨在为Cosmos社区提供尽可能好的流动性质押服务。在接下来的24小时内,该协议将在OsmosisZone开启STRD/OSMO、stATOM/ATOM、stATOM池的STRD挖矿奖励。

此外,Stride表示ATOM质押者的空投预计在9月底可领取STRD空投,由于缺少ICA实施,OSMO和JUNO的质押者需要等待2-5周才能领取STRD空投。[2022/9/6 13:11:29]

一个官方防御补丁已发布在这里:https://forum.cosmos.network/t/cosmos-sdk-security-advisory-dragonfruit/7614

链游CosmicMine启动元·公会招募:据官方消息,BSC Daily在Twitter发布链游CosmicMine启动元·公会招募。

CosmicMine顾问Jonathan表示:从目前合作情况来看,CosmicMine·Rebuild推出时预计有近200个链游公会参与。

据悉,CosmicMine已完成首轮融资,将用于将CosmicMine推出和运营CosmicMine·Rebuild(1.0)。CosmicMine·Rebuild是一款垂直多人实时星界战略游戏,有虫洞传送、星空探索、工业制造、战术舰队等游戏玩法。[2022/5/28 3:47:28]

友情提醒:如果你发现Cosmos软件存在潜在漏洞,请遵循我们负责任的披露流程:

https://github.com/cosmos/cosmos-sdk/blob/main/SECURITY.md

跨链钱包Cosmostation Wallet将支持跨链NFT:1月4日消息,验证节点基础设施 Cosmostation 宣布其跨链钱包 Cosmostation Wallet 将支持跨链 NFT。[2022/1/4 8:24:25]

问题的症结在于黑客能够伪造一个默克尔证明,这不应该是可实现的-默克尔证明应该是高度安全的。区块链轻客户端建立在默克尔证明之上,因此正确处理它们很重要。

默克尔证明是数据存储中存在某些键值对的密码学证明,我们可以称之为“包含证明”。很多区块链将其数据存储在一棵默克尔树中,以便可以生成证明某些数据包含在树中的证明。

默克尔证明在IBC中被大量使用,例如,一个区块链可以证明它有一个指向另一个区块链的数据包。当然,如果你可以证明某些数据在树中,但实际上并没有,那将是一个大问题。而这就是在Binance身上发生的事。

COCOS NFT 最高成交价12BNB,现值3036USDT:据官方消息,新年之际,下一代游戏数字经济平台Cocos-BCX上线了白名单,拆盲盒,集五福和挖矿等一系列 NFT 相关的福利活动,并与 DEGO 就 NFT 交易在 Treasureland 商场达成合作。

目前,根据商场交易记录显示,等级最高的COCOS NFT 最高成交价为12BNB,曾最高可达4164USDT,现值3036USDT。

且此类有多笔成交记录(其中一笔交易哈希https://bscscan.com/tx/0x880527e64ae1070d97472eb9e0aa8b3d64ba34c3e460808d14cec9326eb4240a)。

另外,Cocos-BCX 官方也将在近期推出更多的 NFT 挖矿玩法。[2021/3/3 18:12:00]

Cosmos链使用一种称为IAVL的默克尔树,它位于IAVL存储库中。它附有一首关于默克尔树有多棒的诗。IAVL是一个自定义的默克尔化平衡二叉搜索树,它类似于以太坊的帕特里夏树。

动态 | 加密货币交易所COSS宣布锁定客户资金一个月 被质疑是局:据Decrypt消息,新加坡加密货币交易所COSS今日宣布,将锁定其大约20万个客户(价值约200万美元)的资金,为期一个月。这一突然举动引发了社区成员的恐慌,他们猜测某种局即将到来。[2020/1/8]

https://github.com/cosmos/iavl/blob/master/POEM

每个区块链开发人员在接触这些结构的架构和算法时,都不得不陷入默克尔树的疯狂之中。

IAVL存储库公开了一个API,用于使用一个“RangeProof”对象构建和验证证明。一个范围证明用于证明某些范围的key在默克尔树中并列存在。

一个范围证明还可用于证明单个键值对,或证明某个键不在树中。

IAVL存储库将RangeProof对象用于所有三种证明。但事实证明RangeProof的内部工作存在一个严重漏洞。

一个证明应该由一个子叶节点和一系列内部节点组成,这些节点勾勒出从子叶到根的路径,并具有足够的信息来计算树的merkle根哈希并验证子叶实际上是树的一部分。

由于这是一棵二叉树,所以每个内部节点都可以有一个左分支和右分支。但是在证明中,你是在树中跟踪路径,因此内部节点应该只包含其左分支或右分支哈希。另一个是由证明中其他节点的哈希构造的。

这就是IAVLRangeProof的代码遇到问题的地方。IAVLRangeProof允许填充InnerNode中的Left和Right字段。而这不应该发生。

攻击者基本上利用了将信息粘贴到Right字段中的优势,它们从未经过验证,也从未影响哈希计算,从而使验证者相信某些子叶是树的一部分。因此,他们成功地伪造了一个默克尔证明。

值得注意的是,这个问题取决于攻击者能否将子叶添加到单个证明中,因为RangeProof允许你一次证明多个子叶。因此,即使你的协议只希望一次证明一个key,使用RangeProof也会为攻击者打开攻击面。

所以使用RangeProof并不是一个好主意。但是我们也可以提出一个简单的防御措施——如果任何内部节点同时填充了Left和Right字段,则预先拒绝证明。这样做应该可以解决这个问题。

虽然RangeProof是一个核心Cosmos存储库(IAVL)的一部分,但它实际上并未用于Cosmos堆栈内的区块链协议中。IAVL树本身被所有CosmosSDK链使用,但RangeProofs并没有。这是理解的关键!

相反,对于IBC中的默克尔证明,开发者按照IBC标准设定的更严格的流程开发了一个新规范。该规范称为「ICS23」,它位于IBC规范存储库中:https://github.com/cosmos/ibc中。

那什么是ICS23?这是支持多种默克尔树的默克尔证明的通用标准。ICS23定义了一种用于序列化和验证默克尔证明的通用格式。

IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准来生成和验证IAVL树的默克尔证明。而ICS23代码中并没有这个漏洞。

这不仅仅是使用不同的代码,并因此侥幸躲过一劫的问题。这代表了一种根本不同的软件工程方法。

ICS23遵循更严格的设计流程,旨在最大限度地减少攻击面,同时仍然是通用的,这是一项艰巨的任务!作为其中的一部分,它明确地拒绝了rangeproofs,ICS23中并没有rangeproofs。

因此,该漏洞本身在ICS23规范中是不可接受的,这是好的,IBC的目标是使跨链通信更加安全。

当然,IBC规范和协议可能并不完善,并将继续改进。作为一个复杂的协议和软件实现,它甚至可能存在我们社区必须应对的尚未被发现的漏洞,安全需要一个社区。

我们都必须认真对待安全。如果发现潜在漏洞,请负责任地披露:https://github.com/cosmos/cosmos-sdk/blob/main/SECURITY.md。

如果你可以为改进软件和协议做出贡献,我们邀请您这样做!

总的来说,这次事件是一个机会,它提醒了大家在软件开发生命周期中加强安全实践的重要性,传播一些关于IBC是什么及其工作方式的一些认识,并邀请整个生态来帮助改进IBC。

跨链桥黑客对我们的行业来说是一个真正的问题,如果不认真致力于更高的安全性和标准流程,它们就不会变得更好。让IBC成为一个光辉的例子。

这里还有一个关于使用开源软件的重要教训:遵循最佳实践,保持最新状态,并向上游贡献资源!很高兴看到binance成为更负责任和协作的生态参与者!

标签:COSOSMCOSMOSMO3X Short Cosmos Tokenosmo币历史最高价cosmososmo币简介

BNB价格热门资讯
Aptos主网上线 生态中都有哪些热门项目?

Aptos生态还有哪些机会?作者:Asherzhang10月18日,公链Aptos宣布已正式上线主网「AptosAutumn」,消息一经公布,Coinbase、币安、FTX以及OKX等多家主流交易所便纷纷宣布上线其代币.

1900/1/1 0:00:00
币安链遭遇中心化质疑 赵长鹏再论中心化Vs.去中心化

按:2022年10月7日币安链跨链桥遭遇黑客攻击,随后币安链验证者节点在币安要求下暂停币安链。加密社区不少人质疑币安链的中心化问题。10月9日晚币安创始人赵长鹏在币安官方博客再次发文论述中心化Vs.去中心化.

1900/1/1 0:00:00
熊市造就精品?盘点 20 个有趣的新 DeFi 项目

原文作者:@GarrettZ,由DeFi之道翻译编辑。加密领域有一个现象,即在熊市期间推出的产品更有可能成功。这里有20个有趣的新DeFi项目,它们推出了自己活跃的产品,但还没有代币.

1900/1/1 0:00:00
当Web3轻轻掠过房地产

谁能在虚拟世界和现实世界嫁接好第一座桥梁,谁就能获得通向自由之路。 一,论一个行业的崩塌 如果把时间轴拉回到一年前,就是2021年8月,谁在朋友圈说一年后中国房地产三十强企业内的大部分民营公司,其债券价格都会跌到个位数,应该会被人举报.

1900/1/1 0:00:00
从 100 个攻击事件分析加密攻击类型、工具、防范方法和未来预测

加密安全启示录 黑客今年从加密应用程序中窃取了超过2B美元。DAOrayaki去中心化编辑委员会撰写此文时,又发生两起黑客攻击事件:Rabbywallet、Solana生态去中心化金融平台Mango.

1900/1/1 0:00:00
日榜第一的Reddit NFT是如何爆火的

原文作者:EricChoi原文编译:深潮TechFlowReddit是一个流行的线上网站,允许用户讨论、投票和分享内容。它拥有超过15亿注册用户,4.3亿月度活跃用户,以及5200万日活跃用户。我把Reddit当作一个搜索引擎.

1900/1/1 0:00:00