加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

跨鏈橋警鐘常鳴:Polygon 如何預防「潘多拉魔盒」的開啟_OLY:Polymerize

Author:

Time:1900/1/1 0:00:00

1 Polygon 是誰?

Polygon 是以太坊的 layer2 擴容方案,其愿景是建造以太坊的區塊鏈互聯網。Polygon 提供了一個通用框架,允許開發人員利用以太坊的安全性創建定制的,專注于應用程序的鏈,并提供一個互操作性網絡,結合了各種不同的擴展方案,如:zk-rollup、PoS 等。其中,Polygon PoS 是目前 Polygon 上最成熟和廣為人知的擴容方案。它利用側鏈進行交易處理,實現提升交易速度并節省 Gas 消耗的目的,網絡結構主要包含以下三層:

以太坊主網上的一系列合約,主要包括:Staking、Checkpoint、Reward 合約,負責 PoS 權益相關的質押管理功能,包括:提供 MATIC 原生代幣的質押功能,使得任何質押該代幣的人可以作為驗證者加入系統;驗證 Polygon 網絡的轉態轉換獲得質押獎勵;懲罰驗證者的雙重簽名、驗證者停機等不合法行為;保存 checkpoint。

權益證明驗證節點層,包括一組 PoS Heimdall 節點,負責將 Polygon 網絡的檢查點提交給以太坊主網,同時監聽部署在以太坊上的一組質押合約。主要流程為:首先選擇驗證者池中的一部分活躍的驗證者作為塊生產者,它們將負責在 Bor 層創建區塊并廣播;接著根據 Bor 提交的檢查點,驗證 Merkle 根哈希并附加簽名;最后,提議者將負責收集指定檢查點的所有驗證者簽名,如果簽名數量達到 2/3 以上,則在以太坊上提交該檢查點。

出塊節點層,包括一組由 Heimdall 層上的驗證者委員會定期選取的區塊生產者,它們是一個驗證者子集,負責將 Polygon 側鏈上的交易聚合并生成區塊。該層會定期向 Heimdall 層發布檢查點(checkpoint),其中檢查點代表 Bor 鏈上的一個快照,如下圖所示。

檢查點機制是一種將 Bor 層的數據同步到以太坊上的機制,其中同步的數據是檢查點,即在一個檢查點間隔的時間段內包含的 Bor 層區塊數據快照,源碼如下:

Proposer:提議者,它也是由驗證者選取的,區塊生產者和提議者都是驗證者的子集,且他們的責任取決于其在整個池子中的股權比例。

RootHash:是由 StartBlock 到 EndBlock 之間的 Bor 塊生成的 Merkle Hash。

以下是編號 1 到 n 的 Bor 塊生成 RootHash 值的偽碼:

綜上,該值是 Bor 區塊頭中的區塊號 number、區塊時間戳 time、交易樹根 Hash 值 tx hash、收據樹根 Hash 值 receipt hash 計算得到的 keccak256 哈希值構成的 Merkel tree 的根哈希值。

AccountRootHash:需要將每個檢查點發送到以太坊上的驗證者相關賬戶信息的 Merkle Hash,單個賬戶信息的哈希值計算方式如下:

PeckShield:跨鏈橋Allbridge黑客攻擊導致約57萬美元損失:金色財經報道,PeckShield監測顯示,跨鏈橋 Allbridge 黑客攻擊導致損失約57萬美元(其中包括 282,889 BUSD 和 290,868 USDT)。根本原因似乎是資金池的 Swap 價格被篡改。攻擊者扮演流動性提供者和交易者的雙重角色,操縱價格,然后耗盡池中的資金。[2023/4/2 13:40:30]

由賬戶 Merkle tree 根哈希值生成 AccountRootHash 的方式與 RootHash 值相同。

狀態同步機制(StateSync)是指將以太坊數據同步到 Polygon Matic 鏈,主要分為以下幾個步驟:

首先以太坊上的合約會觸發 StateSender.sol 中的 syncState() 函數進行狀態同步

syncState() 函數將發出一個 event 事件,如下:

Heimdall 層的所有驗證者都會收到該事件,其中一個驗證者會將該交易打包到 heimdall 區塊中,并添加到待處理的狀態同步列表中;

bor 層節點會通過 API 獲取到上述待同步列表,交給 bor 層的合約進行進一步的業務邏輯處理。

Polygon Bridge 實現了 Polygon 和 Ethereum 之間的雙向跨鏈通道,使得用戶可以在兩個不同鏈平臺之間更為方便地轉移代幣而不會產生第三方威脅和市場流動性限制。Polygon Bridge 有 PoS 和 Plasma 兩種類型,二者在 Polygon 和 Ethereum 之間的資產轉移都有以下相同之處:

1)首先需要將 Ethereum 上的代幣映射到 Polygon,如下圖所示:

2)同樣采用雙向錨定技術(Two-way Peg),即

a:從以太坊上轉移的代幣資產都會先在 Ethereum 上被鎖定,且相同數量的映射代幣會在 Polygon 上被鑄造;

b:為了將代幣資產提取到 Ethereum,首先需要將這些映射代幣在 Polygon 上 burn 掉,之后再解鎖鎖定在 Ethereum 上的資產;

下圖為 PoS Bridge 和 Plasma Bridge 的對比:

由上圖可知,安全性方面,PoS Bridge 依賴于外部驗證者集合的安全性,而 Plasma 依賴于 Ethereum 主鏈的安全性。同時在用戶進行跨鏈資產轉移時(如將代幣從 Polygon 轉移到 Ethereum),PoS 僅需要一個檢查點的間隔時間,大約 20 分鐘到 3 小時;而 Plasma 則需要一個 7 天的爭議挑戰期。同時 PoS 支持更多的標準代幣,而 Plasma 僅支持三種類型,包括:ETH、ERC20、ERC721。

PoS Bridge 主要包含兩個功能:Deposit 和 Withdrawals,其中 Deposit 指的是將用戶在以太坊上的資產轉移到 Polygon,Withdrawals 則指的是將資產從 Polygon 提取到以太坊上。

Celer推出的跨鏈橋cBridge宣布支持Ontology:7月5日消息,由區塊鏈互操作性協議Celer Network推出的跨鏈橋cBridge宣布支持Ontology。用戶現可通過cBridge在以太坊和Ontology之間進行對USDT、USDC、ETH和WBTC高速安全低成本的跨鏈轉賬。

此次橋接遵循此前Celer提出的開放的原生資產跨鏈橋標準,針對同一種原生資產跨鏈啟用多方鑄幣者(multi-minter)資產合約,以使各協議和鏈可同時使用多個跨鏈解決方案,拒絕供應商鎖定。[2022/7/5 1:51:14]

下面以用戶 Alice 使用 PoS Bridge 將其以太坊賬戶上的代幣資產發送到其在 Polygon 賬戶中為例進行介紹:

1、如果用戶想轉移的代幣資產為 ERC20、ERC721、ERC1155 類型,則首先需要用戶將要轉移的代幣通過 approve 函數授權。如下所示:通過調用以太坊上 token 合約中的 approve 方法將對應數量的 token 授權給 erc20Predicate 合約。

其中 approve 函數有兩個參數:

spender:用戶授權允許花費代幣的目標地址

amount:可以被花費的代幣數量

2、上述授權交易被確認后,用戶接著通過調用 RootChainManager 合約的 depositFor() 方法將代幣鎖定到以太坊上的 erc20Predicate 合約中。此處,如果轉移的資產類型是 ETH,則調用 depositEtherFor()。具體如下:

其中 depositFor 函數有三個參數:

user:接收 Polygon 上 deposit 代幣的用戶地址

rootToken:以太坊主鏈上的 token 地址

depositData:ABI 編碼后的代幣數量

以下是 RootChainManager 合約中 depositFor 函數的具體代碼:

分析源碼可知,該函數首先獲取到 token 對應的 predicate 合約地址,接著調用其 lockTokens() 函數將 token 鎖定在該合約中。最后_stateSender 將調用 syncState() 進行狀態同步,該函數只有 admin 設置的狀態發送者(state sender)才能調用。

3、StateSender.sol 中的 syncState() 函數將提交事件 StateSynced,具體為:

其中第一個參數為該 log 的序號索引,第二個參數用于校驗調用者是否是已注冊的合法合約地址,第三個是需要進行狀態同步的數據。該交易會被添加到 Heimdall 塊中,并被添加到掛起的狀態同步列表中。

跨鏈橋deBridge推出交易捆綁功能:5月20日消息,跨鏈橋deBridge推出“交易捆綁”功能,該功能通過集成Gnosis Safe的“Transaction Builder”功能完成,允許用戶在A鏈上通過單筆交易直接與B鏈上的DeFi、NFT等協議交互。[2022/5/20 3:29:52]

4、接著 Polygon Matic 鏈上的 bor 節點通過 API 獲取到狀態同步列表中的 StateSynced 事件后,該鏈上的 ChildChainManager 合約會調用 onStateReceive() 函數,該函數用于接收從以太坊上傳過來的同步數據,根據狀態同步的業務邏輯類型進行下一步處理:

data:包括 bytes32 類型的 syncType、bytes 類型的 syncData。其中,syncType 代表業務類型,包括 deposit 和 mapping 代幣映射;當 syncType 為 mapping 時,syncData 為編碼后的 rootToken 地址、childToken 地址和 bytes32 類型的 tokenType;當 syncType 為 deposit 時,syncData 為編碼后的 user 地址、rootToken 地址和 bytes 類型的 depositData。depositData 在 REC20 中是數量,ERC721 中指的是 tokenId。

5、由于此處進行的是 Deposit 業務,所以接著會調用_syncDeposit() 函數。該函數會首先將 syncData 按照對應格式解碼,得到對應的 rootToken、user 地址、depositData。接著校驗 rootToken 在 polygon 上是否有對應的映射代幣 childToken,如果有則調用 childToken 的 deposit() 函數。

6、此處我們以 ERC20 的代幣合約為例,介紹映射代幣合約如何 deposit。該函數將 mint 對應數量的代幣到用戶賬戶中。

該函數有兩個參數:

user:正在進行存款的用戶地址

depositData:用 ABI 編碼的 amount

下面以用戶 Alice 使用 PoS Bridge 將其在 Polygon 賬戶中存放的資金提取到以太坊賬戶為例進行介紹:

1、當用戶 withdraw 時,需要首先在 Polygon 鏈上通過調用映射 token 合約的 withdraw() 函數,burn 掉對應數量的映射代幣。

withdraw 僅包含一個參數:將要被 burn 掉的 token 數量。對應的 token 合約中的 withdraw() 函數如下:

Rugdoc:Optics跨鏈橋多簽錢包所有權被轉移,繼續使用將存在風險:11月23日消息,DeFi 安全審查機構 Rugdoc.io 發文表示,Optics 跨鏈橋多簽錢包所有權被轉移,團隊不知道誰轉移了它或誰控制了新的多簽。如用戶需要將資產在 Celo 和其他鏈之間轉移,請使用 Anyswap 跨鏈橋替代,或直接將 Token 兌換為 CELO 并轉出至交易平臺,在 Optics 團隊重新部署并掌握多簽所有權之前,務必不要再使用 Optics 跨鏈橋。[2021/11/23 22:12:08]

2、上述交易將經過大約 20 分鐘到 3 小時將被包含到 checkpoint 中,被驗證者提交到以太坊。

3、一旦交易被添加到檢查點中并提交到了以太坊,將調用以太坊上的 RootChainManager 合約的 exit() 函數,該函數將通過驗證提交的檢查點內容確認在 Polygon 上 withdraw 交易的有效性,并觸發對應的 Predicate 合約解鎖用戶 deposit 的代幣。

其中,傳入該函數的 Proof 證明 inputData 包括以下數據:

headerNumber:包含了 withdraw 交易的檢查點區塊 header

blockProof:證明子鏈中的區塊頭是提交的 merkle root 的葉子節點

blockNumber:子鏈上包含 withdraw 交易的區塊號

blockTime:withdraw 交易的區塊時間戳

txRoot:區塊交易樹的 root 值

receiptRoot:區塊收據樹的 root 值

receipt:withdraw 交易的收據

receiptProof:withdraw 交易收據的默爾克證明

branchMask:收據樹中 32 位表示的收據路徑

receiptLogIndex:從收據樹中讀取的日志索引

下面是該函數的核心邏輯,主要包括三部分:第一部分是校驗 withdraw 交易收據的有效性,第二部分是校驗檢查點是否包含了交易區塊,第三部分是調用 predicate 合約中的 exitTokens() 函數將鎖定的代幣發送給用戶。

4、以 ERC20Predicate 合約為例,即從 log 中解碼出接收者、發送者、發送代幣數量后,將給定數量的代幣發送給用戶。

由 PoS Bridge 跨鏈消息傳遞過程源碼分析可知,整個過程的函數調用都只有驗證者指定的角色才能調用,所以跨鏈的安全性僅由 PoS 保證(公證人)。

Plasma Bridge 同樣包含兩個功能:Deposit 和 Withdrawals,具體流程如下圖所示:

Polygon Plasma 與我們跨鏈橋系列第一篇文章介紹的比特幣 Plasma MVP 實現略有差別,主要采用基于賬戶模型的 Plasma MoreVP。該算法與 Plasma 相比,主要在 withdraw 部分做了部分改進。

波卡DeFi項目Equilibrium推出以太坊跨鏈橋,已上線測試網:波卡DeFi項目Equilibrium推出以太坊跨鏈橋,可橋接以太坊和ERC-20代幣并完全兼容DeFi服務套件。這一加密基礎設施最初來自Chainsafe,Equilibrium對其進行了輕微修改,使其與項目更加適配,具體來說,Equilibrium使用Web3來處理以太坊合約,而不是Chainsafe的控制臺工具,使雙向橋接成為可能,ERC-20代幣可以和以太坊區塊鏈之間自由轉換。

此外,Equilibrium還建立了一個記錄橋接活動的系統,針對并行工作請求和黑客攻擊等內容進行了壓力測試。[2021/2/2 18:43:37]

由于 ERC20、ERC721 的代幣傳輸,是通過類似比特幣 UTXO 的 event 日志實現的,所以我們首先介紹一下該事件:

input1:轉賬前發送者的賬戶余額

input2:轉賬前接收者的賬戶余額

output1:轉賬后發送者的賬戶余額

output2:轉賬后接收者的賬戶余額

其次,原先的 Plasma MVP,由于區塊是由單個(Operator)或者少數的區塊生產者生成,因此在 Polygon 上存在以下兩種攻擊場景:

Operator 作惡:

上一篇文章(《跨鏈橋安全回顧:Nomad 去中心化搶劫事件帶給我們什么啟發?》)提到,當用戶的交易被 Operator 打包為 Plasma 區塊后,存在鏈下數據的不可用性問題。因此,用戶在進行 exit 交易時,如果從較舊的交易開始退出,Operator 可以使用其最近的一筆交易對其發起挑戰,則會挑戰成功。同時,由于 Plasma 中采用了 PoS 的檢查點機制,Operator 如果勾結驗證者作惡,甚至可以偽造一些狀態轉換并提交到以太坊。

用戶作惡:

用戶在發起 exit 交易后,繼續在 Polygon 上花費代幣,類似于跨鏈的雙花。

綜上,Polygon 的 Plasma MoreVp 算法采用了另一種計算退出優先級的算法,即從最近的交易開始退出。該方式由于使用了類似 UTXO 的 LogTransfer 事件,只要用戶的合法交易使用了正確的 input1、input2,即使 Operator 一些惡意交易打包在用戶交易之前,由于用戶交易僅來自有效的 input,所以也能被正確處理。相關偽代碼如下:

下面以用戶 Alice 使用 Plasma Bridge 將其以太坊賬戶上的代幣資產發送到其在 Polygon 賬戶中為例進行介紹:

1、首先用戶同樣需要將其需要轉移的代幣資產通過 approve 函數授權給主鏈(Ethereum)上的 Polygon 合約 depositManager。

2、同樣等到授權交易被確認后,用戶調用 erc20token.deposit() 函數,觸發 depositManager 合約的 depositERC20ForUser() 函數,存入用戶的 ERC20 代幣資產。

3、當以太坊主網確認了該 deposit 交易,接下來會創建一個僅包含這筆交易的區塊,并將其采用狀態同步機制發送到 Polygon 網絡上的 childChain 合約中,mint 相同數量的映射幣并存入用戶在 Polygon 上的賬戶。

注:由 childChain 合約源碼分析可知,Plasma 僅支持三種類型,包括:ETH、ERC20、ERC721。

當用戶想使用 Plasma bridge 從 Polygon 上提取資產到以太坊上,會經歷以下幾個步驟:

1、用戶通過調用 Polygon 上映射幣的 withdraw() 函數,burn 掉 Polygon 鏈上的映射代幣資產:

也可以調用 Polygon 上的 Plasma Client 的 withdrawStart() 接口實現。

2、用戶可以調用 ERC20Predicate 合約中 startExitWithBurntTokens() 函數,該函數首先會調用 WithdrawManager.verifyInclusion() 校驗 checkpoint 是否包含 withdraw 交易和對應的收據,代碼如下:

驗證通過后,將調用 WithdrawManager.addExitToQueue() 將其按照優先級排序插入到消息隊列中:

最后,addExitToQueue() 調用_addExitToQueue() 鑄造一個 NFT 作為退款憑證:

3、用戶等待 7 天的挑戰期

4、挑戰期完成,可以調用 WithdrawManager.processExits() 函數將代幣發送給用戶。

該函數主要分為兩個步驟:首先確認消息隊列中的 withdraw 交易是否已經過了 7 天挑戰期,如果已經超過挑戰期則將其該交易移除隊列:

接著,判斷退款憑證 NFT 是否在挑戰期內被刪除,未被刪除則將該 NFT 銷毀并將對應資產退還給用戶:

2021 年 10 月 5 日,白帽子 Gerhard Wagner 提交了一個 Polygon 漏洞,該漏洞可能導致雙花攻擊,涉及到的金額為 8.5 億美元,白帽子因此獲得了 Polygon 官方的 2,000,000 美元漏洞賞金。

在前文 Plasma Bridge 的介紹中我們知道,完整的一次 Withdraw 交易過程為:

用戶在 Polygon 上發起 Withdraw 交易,該交易會 burn 掉用戶在 Polygon 的代幣;

經過一個檢查點間隔(大約 30 分鐘),等待該 withdraw 交易被包含到檢查點中;

超過 2/3 的驗證者簽名后將其提交到以太坊,此時用戶調用 ERC20PredicateBurnOnly 合約中的 startExitWithBurntTokens() 校驗 checkpoint 是否包含 burn 交易;

校驗通過,則鑄造一個 NFT 退款憑證發給用戶

用戶等待 7 天挑戰期

調用 WithdrawManager.processExits() 銷毀 NFT,并退款給用戶

注意:Polygon 為了防止交易重放(雙花攻擊),使用 NFT 作為退款憑證,來唯一標識一筆 Withdraw 交易。但是,由于 NFT 的 ID 生成缺陷,造成了攻擊者可以構造參數利用同一筆有效的 Withdraw 交易,生成多個不同 ID 的 NFT,再利用這些 NFT 進行退款交易,從而實現「雙花攻擊」。

下面將對如何如何生成 NFT 進行詳細介紹:

1、由上文中的源碼解析可知,addExitToQueue() 會調用_addExitToQueue() 鑄造一個 NFT:

由傳參分析可知,exitid = priority,則 NFT 的 ID 即為 Plasma Bridge 中的 age 優先級左移一位生成。

2、上文的源碼解析可知,age 是 WithdrawManager.verifyInclusion() 函數的返回值,該函數會首先校驗 withdraw 交易的有效性,校驗通過則生成對應的 age。其中,校驗的邏輯中使用了可控參數 data 解碼出的值 branchMaskBytes:

同時生成 age 時也使用了該值:

3、跟蹤交易驗證邏輯中的調用的 MerklePatriciaProof.verify() 函數,發現該函數調用_getNibbleArray() 對 branchMaskBytes 進行了轉碼操作:

4、繼續跟蹤該解碼函數,該函數對 branchMaskBytes 轉碼時存在丟棄部分值的情況,這種數值丟失的方式會造成不同的值轉碼后獲得同樣的解碼值。具體為:如果傳入的 hp 編碼后的值 b 的第一個十六進制位(半個字節)是 1 或 3,就解析第二個十六進制位。否則,就直接忽略第一個字節。

那么如果攻擊者構造一個 branchMaskBytes 參數,使得其第一個十六進制位不等于 1 和 3,則共有 14*16 = 224 種方式,能夠獲得相同的轉碼后的值。

具體的攻擊流程為:

通過 Polygon Plasma 向 Polygon 存入大量 ETH/ 代幣

在 Polygon 上發起 Withdraw 交易,等待 7 天的挑戰期

修改 withdraw 交易中 branchMaskBytes 參數的第一個字節(同一有效交易最多可以重新提交 223 次),重復發起 Withdraw 交易

綜上,該漏洞主要是由于生成防止重放的退款憑證 NFT 的 ID 算法設計存在問題,導致相同的退款交易可以生成不同的 NFT,造成雙花攻擊。事實證明,編碼分支掩碼的第一個字節應該始終是 0x00. 修復方法是檢查編碼的分支掩碼的第一個字節是否是 0x00 并且不要將其視為不正確的掩碼。

原文標題:《跨鏈橋安全研究 ( 三 ) | 多邊形戰士 Polygon 安全透析,如何預防「潘多拉魔盒」的開啟?》

撰文:成都鏈安

來源:ForesightNews

ForesightNews

個人專欄

閱讀更多

財經法學

金色早8點

Bress

鏈捕手

PANews

Odaily星球日報

Tags:OLYPolygonGONPOLYPolymerizepolygon幣官網BigONEpolydoge幣會不會萬倍幣

幣安app官方下載最新版
Helium 為何要放棄構建自己的區塊鏈轉投 Solana?_HEL:helium幣未來

原文標題:《HIP 70: Helium Core Team Proposes to Migrate to Solana》作者:Helium Foundation編譯:Jordan.

1900/1/1 0:00:00
ArkStream Capital:全面解析靈魂綁定代幣的現狀和未來方向_SBT:ARK

TL; DR 1. SBT是一個關系證明而不是權威證明,其價值在于數據的大量積累,復雜、豐富和多樣性會是SBT數據源的核心競爭力.

1900/1/1 0:00:00
比特幣主導地位自 1 月以來首次跌破 40% 合并前以太坊礦工余額創歷史新高_ETH:BTC

比推消息,根據 CoinMarketCap 的數據,比特幣的主導地位(BTC.D:比特幣相對于所有加密資產的市值),自 2018 年以來第二次跌破 40%,并處于八個月低點.

1900/1/1 0:00:00
金色觀察|一覽8個 NFT 分析平臺_NFT:工業區塊鏈

NFT 分析領域在短時間內取得了長足的進步。 幾年前,這個行業還不存在,但現在有 50 多個項目構建了專門滿足 NFT 交易者需求的分析平臺.

1900/1/1 0:00:00
科技巨頭創始人眼中的元宇宙_元宇宙:MET

元宇宙近一年多來受到持續的關注,最近雖然有些降溫,但仍然有許多公司積極布局,希望能夠吃下元宇宙的紅利.

1900/1/1 0:00:00
新聞周刊 | 中國《反電信網絡詐騙法》發布:不得幫助他人通過虛擬貨幣交易等方式洗錢_加密貨幣:數字資產

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.

1900/1/1 0:00:00
ads