北京时间11月23日晚,鱼池F2Pool创始人神鱼于微博转发安全组织Rugdoc的风险提示称:“有在Celo链上挖矿的请注意,跨链桥的多签被人换了,疑似有问题,降低风险的办法是把Celo链上的其他资产卖成Celo,目前卖的人还不多,亏几个点。大家自行判断风险,是一还是止损,全凭实力,胆子大的还可以套利。”
作为Celo官方牵头构建的跨链桥协议,Optics是当前资金从外部生态流入Celo的主要渠道,该桥出现问题,无疑会对整个Celo生态的资金流通造成影响。因此,在Optics的问题被爆出之后,恐慌情绪也开始在社区之内弥漫。
Ziliqa:已暂停用于Poly Network跨链桥的合约:7月2日消息,公有链平台Ziliqa发推称,已暂停用于Poly Network跨链桥的合约,用户资金安全,将与Poly Network团队联系后进行进展更新。[2023/7/3 22:13:56]
根据来自Celo背后开发团队cLabs的首席执行官TimMoreton的事件解释声明,多签权限被替换是因为有人单方面激活了GovernanceRouter合约上的Optics修复模式,虽然桥梁服务一切正常,但这一操作导致Optics协议被修复管理账户完全控制,原本的多签权限也被覆盖。不过,Tim?认为锁定在桥上的资金当前没有风险。
而从Tim披露的链上事务记录可以看出,该事件实际发生于25天之前的10月29日,也就是说,在10月29日后,Optics一直处于修复模式之中,但cLabs团队直到11月22日才向社区公开披露了事态情况。
Celer推出的跨链桥cBridge集成Coinbase Pay SDK:10月29日消息,区块链互操作性协议Celer Network发推称,cBridge已与Coinbase Cloud的Pay SDK集成,将允许用户使用Coinbase Wallet和Coinbase Pay。[2022/10/29 11:55:59]
最值得注意的是,除了解释多签权限被替换的技术原理之外,Tim还提到了一位已被cLabs开除的前高级开发者?JamesPrestwich。Tim声称,修复模式被激活就发生在?James因行为不当而被解雇后的15分钟,且在?Optics的部署过程中,James曾为配置创建过一个包括修复地址的pullrequest,且曾请求确认过这个地址并要求报销费用。Tim还表示,自从发现问题后,cLabs曾想尽了一切办法与?James?接洽以解决问题,但迄今并未成功。
Multichain发布跨链桥资费调整:据官方推特称,Multichain发布跨链桥资费调整,如下:
DAI/WBTC/ETH桥接Polygon/ Avalanche/BNB费用从0%调整为0.01%;
DAI桥接到Polygon/Avalanche/BNB最小费用为0.5 DAI,最大费用为1,000 DAI;
WBTC桥接到Polygon/Avalanche/ BNB最小费用为0.000025 WBTC,最大费用为0.05 WBTC。[2022/9/9 13:19:52]
不过,对于Tim的“指控”,James本人却回应称:“我从来都不是?Optics?修复模式的密钥持有者;我很失望cLabs和Celo选择将他们的欺凌公开化,他们正通过撒谎来攻击我的声誉;根据律师的建议,我现在什么都不会说。”
显然,Tim与James的说法存在矛盾,如果二人都没有说谎,那么究竟是谁激活了修复模式呢?
在事件发生之后,社区之内也通过链上记录展开了调查,社区成员/img/20230515190933263430/4.jpg "/>
另一位社区成员/img/20230515190933263430/5.jpg "/>
答案似乎是肯定的,社区用户从Github记录上查到,正是在26天之前,一名头像和姓名都相同的社区开发者,在Github上报告了一个关于?Optics修复模式时间锁的漏洞,为了补上漏洞,需要激活修复模式并更换为一个更加安全的多签地址。此外,从历史提交代码上看,Anna也的确参与了?PartyDAO的开发工作。
至此,真相基本水落石出,链上地址对的上,报告中提及的漏洞与解决方案与此次事件也相吻合,所以基本可以判断正是Anna激活了?Optics的修复模式,修复管理账户大概率也在Anna的控制之下。
不过,虽然事态脉络已然厘清,但部分社区成员对于CELO以及?cLabs在此事中的处理方式却很不满意。作为Celo的开发团队,cLabs理应比任何外部调查者都更清楚事情的来龙去脉,但在Tim的声明中却并没有给出一个清晰的解释,反而是做了一些毫无根据的猜测,将矛头引向一个已被解雇的开发者James。
除此之外,另一些社区成员也对Tim在声明中提到的“桥上资金没有风险”相当不满,因为单从Tim的描述推断,合约当前的控制权显然并不在?cLabs或其他已知社区成员的掌握之中,所以单方面声称“资金没有风险”是极其不负责任的。
推特大V?/img/20230515190933263430/7.jpg "/>
没人在应用上线前检查已部署的合约;
迟迟25天没有向社区做任何披露;
Tim那则诡异的声明。
MonetSupply最后将这一切归因于Celo内部管理的混乱,并表示自己将因此看跌CELO。
昨日晚间,为了为了平息社区内的恐慌及不满情绪,Celo官方组织了一场AMA对话,并就此事在官方论坛再次发声加以解释。这一次,代表cLabs发声的不再是首席执行官Tim,而是换成了另外两名开发者?Eric和Marek。
新的声明披露了一些关键信息,包括将对?Optics合约进行一定审计并向社区披露,以及通过发布?OpticsV2来迁移用户资金。Marek还提到:“我们肯定会从这次事件中吸取教训,我们将继续分析哪里出了问题,以及为什么会出问题。为此,我们计划尽快发布一份完整的事件回顾报告。”
事已至此,虽然很多细节问题仍需等待Marek提到的报告发布后才可进一步明晰,但事态基本情况已大体明了。
整体来看,此次的“?Optics安全事件”多少存在一定的“虚惊”成分,作为社区开发者,Anna替换多签的目的更像是在修复bug而非作恶,这也是为什么过去25天Optics没有出现任何资金流失。不过,凡事也不能太过乐观,在事件彻底收官之前,建议大家短期内尽量减少Optics的使用频率,如有跨链需求,可尽量选择同样支持Celo生态的Anyswap,或如神鱼建议的那样将桥接资产兑换为CELO,再利用中心化交易所出入。
跨链赛道一直都是安全事故的高发领域,虽然暂时没有造成任何资金损失,但此次事件所敲响的警示同样不容忽视,希望Celo?开发团队以及其他项目方能够以此为戒,改善内部管理秩序,提高透明度,带给用户更安全、更放心的跨链体验。
原创文章,作者:Azuma。转载/内容合作/寻求报道请联系report@odaily.com;违规转载法律必究。
概述 从2021年3月音乐家格里姆斯率先以近600万美元的价格出售了一系列NFT开始,音乐产业逐渐开始进军NFT领域。几天后,摇滚乐队“利昂之王”成为第一批以NFT形式出售专辑的乐队.
1900/1/1 0:00:00金色财经五周年活动正式开放领奖啦,请中奖的用户一定要按照教程来进行领奖哦,感谢各位小伙伴的参与.
1900/1/1 0:00:00每当Gas费再次暴涨时,一场关于以太坊区块链的可扩展性的讨论便又再次回到了舞台中央。实际上,高昂的Gas费只是以太坊现存问题冰山一角,对交易的需求仍然多于以太坊区块链每次实际能够承担的数量是根本原因.
1900/1/1 0:00:001.链游新潮已至:盘点各大公链火热链游随着元宇宙的热潮,GameFi又迎来了新一轮的热烈追捧。接下来,我们就着重盘点一下各大公链在GameFi的布局.
1900/1/1 0:00:00本期主人公:Coinbase创始人BrianArmstrong 一个关于“相信“的故事 在尤瓦尔·赫拉利的《人类简史》一书中,他认为人类社会几乎完全围绕故事构建。人们共同相信的故事促成了国家、民族甚至信仰的诞生.
1900/1/1 0:00:00在香港度过了我生命的三分之一后,我的粤语仍然是垃圾。我可以用可接受的口音说出我的地址,但除此之外别无他法。走?在香港的街道上,你可能会认为这个岛是一个不满的城市,因为他们无意中听到谈话的噪音和语气.
1900/1/1 0:00:00