簡析Cosmos：共識機制、SDK能力與IBC協議_cosmos:cosmos代幣atom幣

來源：cryptopedia

編譯：胡韜，鏈捕手

CosmosHub是構建在Cosmos網絡上的越來越多區塊鏈的區塊鏈協議，允許它們相互通信。它的功能非常類似于你如何使用計算機共享可以在任何操作系統上打開的文件。雖然Cosmos旨在支持多種代幣，但Cosmos的原生加密是ATOM，它是CosmosHub背后的驅動力。ATOM提供多種功能：?

維護網絡共識

通過基于激勵的驗證器節點進行質押

減少垃圾郵件作為支付gas費用的媒介?

提供投票機制，通過Cosmos治理提案提出網絡修正

CosmosHub由Tendermint核心團隊構建，該團隊是負責設計Cosmos網絡并為其做出貢獻的主要組織。他們在構建CosmosHub、CosmosSDK和TendermintCore等關鍵網絡基礎設施方面發揮著關鍵作用——提供最先進的工具來幫助實現Cosmos網絡的全部潛力。Tendermint團隊已將CosmosHub構建為一個可互操作的區塊鏈平臺，該平臺允許該協議與Cosmos網絡內的獨立區塊鏈連接。?

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

本文將主要討論Cosmos網絡的三個主要方面：

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

Tendermint核心拜占庭容錯共識方法：由Tendermint團隊設計的一種與語言無關的共識算法，用于狀態機復制以復制Cosmos網絡中構建的其他區塊鏈網絡。

安全團隊：LPC項目遭受閃電貸攻擊簡析，攻擊者共獲利約45,715美元:7月25日，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下：攻擊者先利用閃電貸從Pancake借入1,353,900個LPC，隨后攻擊者調用LPC合約中的transfer函數向自己轉賬，由于 _transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD，最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC，攻擊者共獲利178 BNB，價值約45,715美元，目前獲利資金仍然存放于攻擊者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]

區塊鏈間通信協議：由Tendermint團隊設計，作為不同區塊鏈網絡之間可互操作的通信層。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

Cosmos軟件開發工具包(SDK)：一種開源、可擴展的基礎設施，旨在在Cosmos網絡中構建多資產權威證明(PoA)和PoS區塊鏈平臺。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

Tendermint核心BFT共識

通常，工作量證明(PoW)區塊鏈協議運行緩慢且成本高昂，具有顯著的可擴展性挑戰和高能耗。TendermintBFT共識機制解決了利用驗證的股權的共識專為網絡中更快的交易時間算法這些問題。?

Tendermint是Cosmos網絡底層的共識算法，它被構建為一個高性能的BFTSMR平臺，可以復制服務，然后可以將這些服務模擬為確定性的、非隨機的狀態機。基本上，這意味著創建TendermintCore是為了復制專門的服務器。這是通過一臺特殊的機器來實現的，該機器復制服務器并將它們傳播到全球Cosmos網絡。這個過程允許來自TendermintCore的軟件工程師在世界各地的狀態機上復制區塊鏈。

Tendermint的重要技術能力允許開發人員創建自己的區塊鏈平臺，而無需從頭開始構建一切。這很有幫助，因為它允許用戶創建他們想要的任何類型的區塊鏈系統——幾乎所有的東西都已經為他們完成，除了他們的應用程序邏輯和代幣。托管在Cosmos網絡上的代幣包括：Kava(KAVA)、Terra(LUNA)、BandProtocol(BAND)、Aragon(ANT)和AkashNetwork(AKASH)等。?

CosmosATOM幣在TendermintCoreBFT共識機制的功能中也發揮著關鍵作用，因為CosmosHub是一個權益證明區塊鏈平臺。Cosmos依靠100個驗證者節點網絡來維持共識、安全性和運營效率。為了使該系統正常運行，用戶必須抵押他們的ATOM幣。?

驗證器的作用是運行一個完整的節點——它驗證網絡規則——并向網絡廣播投票，隨后將新區塊提交到區塊鏈。反過來，驗證者根據作為抵押品抵押的ATOM的數量以ATOM的形式獲得收入。?

最后，ATOM被用作垃圾信息防范機制，對交易收費可阻止大量垃圾交易。Cosmos幣還用作影響Cosmos網絡方向的提案的治理投票機制。Cosmos網絡參與者有機會按其ATOM持有量進行投票。?

區塊鏈間通信(IBC)協議

CosmosIBC協議旨在解決當今區塊鏈系統面臨的最重要挑戰之一：網絡之間缺乏通信和數據共享。?

互操作性以及與外部和內部區塊鏈協議進行通信的能力對于區塊鏈和加密貨幣在現實世界中的廣泛應用和技術采用至關重要。想象一個只能與其直接地理區域內的參與者進行通信的電話網絡。它根本行不通。CosmosIBC是一種類似于TCP/IP的消息傳遞協議，旨在共享信息和數據，最終實現多個區塊鏈之間的通信。

CosmosSDK的能力

CosmosSDK是一個可擴展的開源基礎設施，旨在構建多資產公共PoS區塊鏈平臺，例如CosmosHub，以及許可的權威證明(PoA)區塊鏈。簡單易用是軟件工程師尋求的關鍵屬性，以便及時構建可互操作的、特定于應用程序的區塊鏈。CosmosSDK是一個模塊化框架，旨在構建特定于應用程序的區塊鏈，而不是基于虛擬機的應用程序。?

像以太坊這樣的虛擬機(VM)區塊鏈被創建來作為一組智能合約在現有區塊鏈之上托管應用程序開發。智能合約可能有利于特定用例，例如一次性應用程序。然而，它們對于復雜、分散的平臺的開發通常是無效的。

通常，智能合約技術的通用性、主權和技術性能是有限的。Cosmos支持的特定于應用程序的區塊鏈旨在運行單個應用程序，并讓工程師可以自由地進行以最佳方式運行應用程序所需的結構設計修改類型。

CosmosSDK不僅允許開發人員使用預構建模塊，還允許他們使用自己的定制模塊，使他們能夠在啟動自己的公共主網之前測試其最小可行產品.?此外，CosmosSDK允許用戶通過IBC將他們自己的區塊鏈連接到Cosmos網絡，從而增加流動性和用戶采用率。CosmosSDK還被用于構建許多關鍵的區塊鏈和加密貨幣項目，例如BinanceDEX、Kava、Terra和IRISNet。

可互操作的區塊鏈世界

TendermintBFT共識機制、IBCProtocol和CosmosSDK均旨在簡化軟件工程師如何構建自己的區塊鏈協議作為Cosmos網絡的一部分。許多領先的區塊鏈企業已經通過使用其靈活且可互操作的框架創建了CosmosNetwork的核心。?

CosmosHub本身是一個極其強大的去中心化區塊鏈網絡，其結構和治理允許網絡參與者保持冷靜——以ATOM幣作為促進安全、共識和運營效率的質押機制。Cosmos網絡幫助解決了當前對當今區塊鏈技術施加基本限制的許多底層互操作性挑戰。

Tags：cosmosCOSMMOSCOScosmos代幣atom幣CosmostarterMOST幣Polygon Ecosystem Index

AVAX