關于 Nervos 錢包硬分叉升級與錢包轉賬服務暫停事件說明_VOS:EVOS

各位Nervos社區朋友與imToken用戶

2022年5月10日Nervos成功執行Mirana硬分叉升級。在Nervos社區的協調下imToken作為Nervos生態中的錢包服務商第一時間發布了2.10.0系列版本支持升級。

新版本發布后imToken收到來自Nervos社區用戶的反饋，發現在使用imToken向Nervos長地址轉賬時可能會出現異常。

Aave社區關于Aave DAO向Aave公司支付1628萬美元追溯資金的提案已投票通過:9月9日消息，Aave社區關于Aave V3追溯資金提案投票以100%的支持率獲得通過，該提案建議Aave DAO向Aave公司支付總計1,628萬美元的追溯資金以用于開發Aave V3。這些費用包括團隊在一年多時間內的1500萬美元的工作費用，以及用于支付給第三方審計服務的128萬美元費用。[2022/9/9 13:18:38]

排查問題

動態 | 印度德里提交關于Coinsecure盜幣案件的指控表:據Times of India報道，印度德里提交了一份關于Coinsecure盜幣案件的指控表。提交的指控表圍繞著Coinsecure首席安全官，他被視為主要嫌疑人之一。高級警官表示，基于數據，調查顯示黑客是公司內部人員，查獲的公司服務器和計算機仍在分析中。據此前報道，印度三大比特幣交易所之一Coinsecure在官網發布公告稱，該交易所438個BTC失竊，價值約330萬美元。[2018/9/10]

收到反饋后imToken與Nervos官方團隊建立溝通，隨后定位到問題的原因：

比原鏈發出嚴正聲明：網上多有流傳關于比原礦機及交易的不實消息:近期，網上多有流傳關于比原礦機及交易的不實消息。比原鏈基金會在此嚴正聲明，請廣大比原鏈社區用戶從官方渠道獲取關于比原鏈的消息，切勿輕信其他途徑消息，以免造成不必要的損失。請各位社區用戶廣而告之，提高警惕。[2018/3/31]

Nervos的Mirana升級中引入了新長地址類型Bech32m，Nervos社區常用的ckb-sdk-js也支持了此類地址格式；ckb-sdk-js的地址格式處理過程中未覆蓋極端邊界場景，會導致將新長地址類型識別成舊長地址類型處理；imToken兼容新老地址過程中調用ckb-sdk-js未能正確處理上述極端邊界情況，最終導致向新長地址轉賬的資金被異常鎖定；受影響的用戶有多少

通過篩選檢查節點日志，從2.10.0版本以來廣播的交易中篩選符合上述特征的交易數據，發現極個別用戶受到上述問題的影響，經處理所有資金已安全退回受影響的用戶錢包；發現問題后imToken將NervosCKB服務進行停機維護，并阻斷轉賬功能，將可能擴大的影響面控制在發現的一刻前；問題如何被處理的

imToken將發布2.10.2版本修復上述問題；低于2.10.2的imToken版本的CKB轉賬功能在客戶端被關閉，收款功能以及余額查詢功能不會受到影響；低版本的用戶需要升級到經過安全修復的2.10.2后可以正常使用CKB轉賬功能；學習到了什么

去中心化錢包資產在用戶簽名那一刻的數據處理正確性極為重要，每個改動都需要全流程進行完整代碼審查，不僅錢包自身代碼，也包含相關的社區依賴。代碼健壯性直接關乎用戶資產安全，需要如履薄冰，不得掉以輕心，這是團隊和行業里每個人都要謹記于心的最低原則。imToken也將在未來的每一次升級中向生態合作伙伴提供更多的測試合作空間，多方共建以覆蓋各種場景與邊界；區塊鏈生態發展日新月異，創新者NervosCKB做出不少前沿的改進創造，在錢包地址格式上做出利于長遠的改動，這需要社區相關產品在這個過程中更緊密地配合，更好理解變化和建立更好的工程協作。?

imToken&NervosNetwork

2022.05.18SGT

Tags：VOSNERTOKKENEVOSgoldminer幣圈Colletrix TokenWebflix Token

非小號