Cosmos聯創：BNB Chain攻擊事件中黑客通過RangeProof偽造Merkle證明_COS:cosmos幣創始人

對于近日BSC跨鏈橋攻擊事件，Cosmos聯合創始人EthanBuchman在推特上表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。幣安的情況是攻擊者能夠證明某些數據在樹中，但它實際上不在樹中。Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。一個證明應該由一個葉節點和一系列內部節點組成，這些節點勾勒出樹中從葉到根的路徑，具有足夠的信息來計算樹的Merkle根哈希并驗證葉實際上是樹的一部分。因為這是一個二叉樹，所以每個內部節點都可以有一個左分支和右分支。但證明是通過跟蹤樹中的路徑，所以內部節點應該只包含其左分支或右分支哈希，另一個是根據證明中其他節點的哈希構造的。IAVLRangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。

Cosmos生態Agoric推出鑄造應用程序Vaults:6月28日消息，基于Cosmos的智能合約平臺Agoric正在推出基于Inter Protocol創建的鑄造應用程序Vaults，作為其持續發展的一部分。Inter Protocol是Agoric上的一個去中心化應用。它是一個應用層，負責部署Cosmos網絡上的原生穩定幣Inter Stable Token（IST）。IST本身類似于Maker DAO的DAI，這是一種與美元錨定的去中心化穩定幣。（Blockworks）[2023/6/28 22:06:25]

Buchman表示，雖然使用RangeProof不是一個好主意，但有一個方式或可以解決這個問題，即當任何內部節點同時填充了左右字段時，則預先拒絕證明。雖然RangeProof是核心Cosmos存儲庫(IAVL)的一部分，但它實際上并未用于Cosmos堆棧中的區塊鏈協議。IAVL樹本身被所有Cosmos-SDK鏈使用，但RangeProof不是。對于IBC中的Merkle證明，IBC沒有使用IAVL樹的內置RangeProof系統，而是使用ICS23標準從IAVL樹生成和驗證Merkle證明，ICS23代碼沒有這個漏洞，它可明確“拒絕”范圍證明。

DeFi協議Injective宣布Cosm Wasm主網正式上線:7月6日消息，DeFi協議Injective宣布Injective CosmWasm主網升級正式上線，智能合約現在可以通過InjectiveCanonical1006-rc1(或InjectiveCosmWasm主網升級)部署至該網絡。本次升級還包括二元期權支持、回扣費用、通過IBCV3支持跨鏈賬戶以及其他一些重大改進。

CosmWasm將支持任何開發人員利用Injective提供的現有核心模塊在Injective上構建多樣化的應用程序。一個核心示例是Injective的訂單簿模塊，它允許構建者利用唯一開箱即用的去中心化訂單簿來創建dApp，例如交易所、預測市場、借貸協議等。[2022/7/6 1:54:01]

據悉，Cosmos舊版本存在RangeProof相關漏洞，目前Cosmos鏈經過多次迭代更新，根據Buchman的說法，雖然幣安是Cosmos軟件的最大用戶，但其不關注Cosmos進展，所以導致此次攻擊事件。

鏈游P2E平臺DPWK與CosoSwap達成戰略合作:據官方消息，去中心化鏈游Play to Earn平臺Dontplaywithkitty（DPWK）與智能聚合交易平臺CosoSwap達成戰略合作，將在GameFi、NFT和其他項目的預售中進行更深入的合作，為雙方的NFT增加更多的效用。[2022/5/7 2:57:39]

Tags：COSCOSMOSMcosmosReceive Access EcosystemCOSMIC價格OSMOcosmos幣創始人

幣安下載