原文作者:Cosmos 聯合創始人Ethan Buchman
關于幣安黑客事件的一些想法。Binance是Cosmos軟件的最大用戶,他們運營著一個價值數百億美元的平臺,但沒有對核心軟件做出有意義的貢獻或參與。從這里發生的事情中,我們可以學到很多。
你可能看到了 samczsun 的優秀推文貼展示了這個問題。https://twitter.com/samczsun/status/1578167198203289600 讓我們嘗試補充一些有關情況的詳細信息。
一個官方防御補丁已發布在這里:https://forum.cosmos.network/t/cosmos-sdk-security-advisory-dragonfruit/7614
Cosmos生態公鏈Canto日活地址和交易量在2月份均下降了89%:2月23日消息,區塊鏈分析公司Artemis的數據顯示,Cosmos生態公鏈Canto每日活躍地址和交易數量在年初都顯示出高度波動。截至2月3日,發送至少一筆鏈上交易的唯一錢包地址數量約27,000個,較1月1日的244個增長10,965%。同一時期,在鏈上注冊的日交易總數為119,000筆,較1月1日的2,400筆增長4858%。
不過,Artemis的最新數據顯示,Canto的每日活躍地址和交易量在2月份分別下降了89%,分別約為2,400和22,700。雖然每日活躍地址和交易量仍同比增長,但兩個月的下降表明這個Canto網絡的活動已經降溫。
此外DeFiLlama的數據顯示,Canto的總價值鎖定 (TVL) 穩定在1.89億美元左右,其中65.82%的TVL來自Canto鏈上最大的DEX。Canto的TVL自2月初以來增長了約28%,自1月1日以來增長了182%,這突顯出即使在活動減少的時候,用戶仍然有興趣將他們的資產存入layer 1區塊鏈。[2023/2/23 12:24:46]
友情提醒:如果你發現 Cosmos 軟件存在潛在漏洞,請遵循我們負責任的披露流程:
Cosmos生態EVM兼容鏈Evmos將更新至v8.0.0版本并啟用feesplit模塊和DApp Store:8月24日消息,Cosmos 生態 EVM 兼容鏈 Evmos 將更新至 v8.0.0 版本,改版本將啟用 feesplit 模塊和 DApp Store。其中,feesplit 支持驗證者和合約部署者分享交易費用,該機制參考了 EIP-1559 但并非銷毀交易費用而是重新分配,使得智能合約部署者可以獲得收入。DApp Store 將收納所有注冊的合約,與此類合約交互產生的費用將通過 feesplit 分配給驗證者和合約部署者,初始的比例為 50/50,未來可通過治理進行修改。[2022/8/24 12:45:20]
https://github.com/cosmos/cosmos-sdk/blob/main/SECURITY.md
問題的癥結在于黑客能夠偽造一個默克爾證明(merkle proof),這不應該是可實現的 - 默克爾證明應該是高度安全的。區塊鏈輕客戶端(以及 IBC)建立在默克爾證明(merkle proof)之上,因此正確處理它們很重要。
加密基金a41 Ventures推出管理Cosmos生態資產的儀表板服務:4月28日消息,據官方公告,加密基金a41 Ventures宣布將在V 0.5版本更新中推出用于管理Cosmos生態資產的儀表板服務“all for assets (簡稱a4asset)”,該服務可提供LP代幣和Cosmos應用鏈代幣資產追蹤、Cosmos生態代幣質押等功能。支持的代幣包括ATOM (Cosmos)、OSMO (Osmosis)、STARS (Stargate)、JUNO (Juno)、HUAHUA (Chihuahua) 和SCRT (Secret Network)。V 0.5版本更新時間定于北京時間4月29日上午8點。[2022/4/28 2:36:59]
默克爾證明是數據存儲中存在某些鍵值對的密碼學證明, 我們可以稱之為“包含證明”。很多區塊鏈將其數據存儲在一棵默克爾樹(merkle tree)中,以便可以生成證明某些數據包含在樹中的證明。
《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]
默克爾證明在 IBC 中被大量使用,例如,一個區塊鏈可以證明它有一個指向另一個區塊鏈的數據包。當然,如果你可以證明某些數據在樹中,但實際上并沒有,那將是一個大問題。而這就是在 Binance 身上發生的事。
Cosmos 鏈使用一種稱為 IAVL 的默克爾樹,它位于 IAVL 存儲庫中。它附有一首關于默克爾樹有多棒的詩。IAVL 是一個自定義的默克爾化平衡二叉搜索樹,它類似于以太坊的帕特里夏樹(patricia trie)。
動態 | 加密貨幣交易所COSS宣布鎖定客戶資金一個月 被質疑是騙局:據Decrypt消息,新加坡加密貨幣交易所COSS今日宣布,將鎖定其大約20萬個客戶(價值約200萬美元)的資金,為期一個月。這一突然舉動引發了社區成員的恐慌,他們猜測某種騙局即將到來。[2020/1/8]
https://github.com/cosmos/iavl/blob/master/POEM
每個區塊鏈開發人員在接觸這些結構的架構和算法時,都不得不陷入默克爾樹的瘋狂之中。
IAVL 存儲庫公開了一個 API,用于使用一個“RangeProof”對象構建和驗證證明。一個范圍證明(Range Proof)用于證明某些范圍的 key 在默克爾樹中并列存在。
一個范圍證明還可用于證明單個鍵值對(范圍大小為 1),或證明某個鍵不在樹中(范圍大小為 2)。
IAVL 存儲庫將 RangeProof 對象用于所有三種證明(包含、不存在、范圍內的鍵)。但事實證明 RangeProof 的內部工作存在一個嚴重漏洞。
一個證明應該由一個子葉節點和一系列內部節點組成,這些節點勾勒出從子葉到根的路徑,并具有足夠的信息來計算樹的 merkle 根哈希并驗證子葉實際上是樹的一部分。
由于這是一棵二叉樹,所以每個內部節點都可以有一個左分支和右分支。但是在證明中,你是在樹中跟蹤路徑,因此內部節點應該只包含其左分支或右分支哈希。另一個是由證明中其他節點的哈希構造的。
這就是 IAVL RangeProof 的代碼遇到問題的地方。IAVL RangeProof 允許填充 InnerNode 中的 Left 和 Right 字段。而這不應該發生。
攻擊者基本上利用了將信息粘貼到 Right 字段中的優勢,它們從未經過驗證,也從未影響哈希計算,從而使驗證者相信某些子葉是樹的一部分。因此,他們成功地偽造了一個默克爾證明。
值得注意的是,這個問題取決于攻擊者能否將子葉添加到單個證明中,因為 RangeProof 允許你一次證明多個子葉。因此,即使你的協議只希望一次證明一個 key,使用 RangeProof 也會為攻擊者打開攻擊面。
所以使用 RangeProof 并不是一個好主意。但是我們也可以提出一個簡單的防御措施——如果任何內部節點同時填充了 Left 和 Right 字段,則預先拒絕證明。這樣做應該可以解決這個問題。
雖然 RangeProof 是一個核心 Cosmos 存儲庫 (IAVL) 的一部分,但它實際上并未用于 Cosmos 堆棧內的區塊鏈協議中。IAVL 樹本身被所有 Cosmos SDK 鏈使用,但 RangeProofs 并沒有。這是理解的關鍵!
相反,對于 IBC 中的默克爾證明,開發者按照 IBC 標準設定的更嚴格的流程開發了一個新規范。該規范稱為 「ICS23」,它位于 IBC 規范存儲庫中:https://github.com/cosmos/ibc 中。
那什么是 ICS23?這是支持多種默克爾樹的默克爾證明的通用標準(包括 IAVL 樹)。ICS23 定義了一種用于序列化和驗證默克爾證明的通用格式。
IBC 沒有使用 IAVL 樹的內置 RangeProof 系統,而是使用 ICS23 標準來生成和驗證 IAVL 樹的默克爾證明。而 ICS23 代碼中并沒有這個漏洞。
這不僅僅是使用不同的代碼,并因此僥幸躲過一劫的問題。這代表了一種根本不同的軟件工程方法。
ICS23 遵循更嚴格的設計流程,旨在最大限度地減少攻擊面,同時仍然是通用的,這是一項艱巨的任務!作為其中的一部分,它明確地拒絕了 range proofs,ICS23 中并沒有 range proofs。
因此,該漏洞本身在 ICS23 規范中是不可接受的,這是好的,IBC 的目標是使跨鏈通信更加安全。
當然,IBC 規范和協議可能并不完善,并將繼續改進。作為一個復雜的協議和軟件實現,它(IBC)甚至可能存在我們社區必須應對的尚未被發現的漏洞,安全需要一個社區。
我們都必須認真對待安全。如果發現潛在漏洞,請負責任地披露:https://github.com/cosmos/cosmos-sdk/blob/main/SECURITY.md。
如果你可以為改進軟件和協議做出貢獻,我們邀請您這樣做!
總的來說,這次事件是一個機會,它提醒了大家在軟件開發生命周期中加強安全實踐的重要性,傳播一些關于 IBC 是什么及其工作方式的一些認識,并邀請整個生態來幫助改進 IBC。
跨鏈橋黑客對我們的行業來說是一個真正的問題,如果不認真致力于更高的安全性和標準流程,它們(跨鏈橋)就不會變得更好。讓 IBC 成為一個光輝的例子。
這里還有一個關于使用開源軟件的重要教訓:遵循最佳實踐,保持最新狀態,并向上游貢獻資源!很高興看到 binance 成為更負責任和協作的生態參與者!
金色財經Maxwell
Bankless
金色薦讀
FastDaily
中國金融雜志
巴比特資訊
元宇宙之道
梓岑:真正的瘋狂要在減半之后 供求平衡被打破后到來:針對本次減半行情,HelloEOS創始人梓岑對金色財經表示:對減半行情高度懷疑很正常,對大多數人而言,看不到,看不懂,看不起,來不及.
1900/1/1 0:00:00Chainalysis估計,在13次單獨的跨鏈橋黑客攻擊中,有20億美元的加密貨幣被盜,其中大部分是今年被盜的。到目前為止,對跨鏈橋的攻擊占2022年被盜資金總額的69%.
1900/1/1 0:00:00EthSign是一個Web3基礎設施平臺,在這里,私鑰產生的數字簽名被記錄在鏈上,簽署的文件被加密并存儲在中心存儲網絡中,以加強隱私和安全。推薦閱讀本文,是我們的原創分析文章.
1900/1/1 0:00:00原文標題:《Wallet Security: The「Non-Custodial」Fallacy》原文作者:Nassim Eddequiouaq、Riyaz Faizullabhoy.
1900/1/1 0:00:00近日,眾多地區的機關接連通過社交媒體等多種公開渠道,接連發出“關于‘數字藏品’類詐騙犯罪的提示”、“購買‘數字藏品’千萬別上頭”、“讓人上頭的‘數字藏品’.
1900/1/1 0:00:00來源 | Bankless 編譯 | 白澤研究院 本報告著眼于 2022 年第三季度以太坊協議和生態系統的主要指標,分為四類:協議、DeFi、NFT 和第 2 層.
1900/1/1 0:00:00