加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 中幣 > Info

跨鏈橋多簽權限被替換 Celo到底發生了什么?_CEL:CELO

Author:

Time:1900/1/1 0:00:00

北京時間11月23日晚,魚池F2Pool創始人神魚于微博轉發安全組織Rugdoc的風險提示稱:“有在Celo鏈上挖礦的請注意,跨鏈橋的多簽被人換了,疑似有問題,降低風險的辦法是把Celo鏈上的其他資產賣成Celo,目前賣的人還不多,虧幾個點。大家自行判斷風險,是賭一賭還是止損,全憑實力,膽子大的還可以套利。”

作為Celo官方牽頭構建的跨鏈橋協議,Optics是當前資金從外部生態流入Celo的主要渠道,該橋出現問題,無疑會對整個Celo生態的資金流通造成影響。因此,在Optics的問題被爆出之后,恐慌情緒也開始在社區之內彌漫。

根據來自Celo背后開發團隊cLabs的首席執行官TimMoreton的事件解釋聲明,多簽權限被替換是因為有人單方面激活了GovernanceRouter合約上的Optics修復模式,雖然橋梁服務一切正常,但這一操作導致Optics協議被修復管理賬戶完全控制,原本的多簽權限也被覆蓋。不過,Tim?認為鎖定在橋上的資金當前沒有風險。

OKX Web3錢包集成Across跨鏈橋:6月16日消息,OKX Web3錢包現已集成Across跨鏈橋,為用戶提供更多跨鏈選擇。[2023/6/16 21:42:27]

而從Tim披露的鏈上事務記錄可以看出,該事件實際發生于25天之前的10月29日,也就是說,在10月29日后,Optics一直處于修復模式之中,但cLabs團隊直到11月22日才向社區公開披露了事態情況。

最值得注意的是,除了解釋多簽權限被替換的技術原理之外,Tim還提到了一位已被cLabs開除的前高級開發者?JamesPrestwich。Tim聲稱,修復模式被激活就發生在?James因行為不當而被解雇后的15分鐘,且在?Optics的部署過程中,James曾為配置創建過一個包括修復地址的pullrequest,且曾請求確認過這個地址并要求報銷費用。Tim還表示,自從發現問題后,cLabs曾想盡了一切辦法與?James?接洽以解決問題,但迄今并未成功。

跨鏈橋Hop社區發起定期獎勵Hop DAO貢獻者的提案:3月22日消息,DAO 治理公司 StableLab 在跨鏈橋 Hop 社區發起旨在定期獎勵主動為 DAO 做出貢獻的 Hop DAO 社區成員的 RFC(Request For Comments)提案。根據該提案,社區的任何成員都有資格獲得獎勵。每個月,論壇上都會開設一個提名討論帖。為 Hop DAO 做出貢獻的社區成員可以自我提名或由他人提名獲得追溯獎勵。

提案還提出一個為期 6 個月的試點計劃,在初始測試期間會將價值 3 萬美元的 Hop Token 發送給社區多重簽名,每位貢獻者的最高申請額度為 2000 美元。[2023/3/22 13:19:09]

不過,對于Tim的“指控”,James本人卻回應稱:“我從來都不是?Optics?修復模式的密鑰持有者;我很失望cLabs和Celo選擇將他們的欺凌公開化,他們正通過撒謊來攻擊我的聲譽;根據律師的建議,我現在什么都不會說。”

跨鏈橋Horizon黑客地址再轉出18,036枚ETH,已轉出地址下62%的資金:6月29日消息,據歐科云鏈鏈上天眼監測,被標記為跨鏈橋Horizon黑客地址(0x0d04開頭)于今日16:18:09分轉出18,036枚ETH至中轉地址(0x7520開頭),隨后分3筆(6,012枚ETH、6,012枚ETH及6,009枚ETH)轉出至3個不同地址。近3日以來,Horizon黑客地址(0x0d04開頭)已轉出約62%的盜取資金,約54,108枚ETH(當前價值超6100萬美元)。[2022/6/29 1:38:56]

顯然,Tim與James的說法存在矛盾,如果二人都沒有說謊,那么究竟是誰激活了修復模式呢?

在事件發生之后,社區之內也通過鏈上記錄展開了調查,社區成員@diwu1989?指出,在激活修復模式的最后一筆交易中,修復管理地址從「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」,而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」創建,所以問題的關鍵就是要找到0x2f開頭地址的所屬。

派盾:Meter.io跨鏈橋遭遇黑客攻擊,損失約430萬美元:2 月 6 日消息,安全機構PeckShield派盾發推文稱,Meter.io 跨鏈橋遭遇黑客攻擊,損失約 430 萬美元(包括 1391.24945169 ETH 和 2.74068396 BTC)。黑客對原始(未受影響)跨鏈橋的擴展引入了虛假存款。

Meter.io 官方表示,Meter Passport 具有自動打包和解包 Gas Token(如 ETH 和 BNB)的功能,以方便用戶使用。然而,合約并沒有阻止封裝的 ERC20 Token 與原生 Gas Token 的直接交互,也沒有正確轉移和驗證從調用者地址轉移的 WETH 的正確數量。[2022/2/6 9:33:47]

另一位社區成員@Ryan沿著這一思路繼續調查發現,該地址與另一家項目PartyDAO存在關聯,因其是當前少數持有PARTY代幣的地址之一,如果可以聯系到該項目,或可知曉其身份。

Cosmos關于激活以太坊Cosmos跨鏈橋的提案將開啟投票:據官方推特消息,Cosmos第49號提案已進入存入期,投票即將開始。該提案提議在Cosmos Hub激活Gravity Bridge模塊(由Althea推出的ETH-Cosmos橋)。此前1月份消息,Cosmos分布式網絡解決方案Althea推出ETH-Cosmos跨鏈橋。[2021/6/15 23:36:34]

社區成員@Deepcryptodive也指出,?0x2f開頭地址的資金來自于?0x2a98開頭的?Kucoin地址,通過Kucoin的KYC系統,應該也可查出此人的身份。

在多人的共同調查之下,真相最終水落石出,由去中心化內容平臺Mirror的地址備注中可知,0x2f開頭地址的資金歸屬于一名叫做Anna的人,那么Anna會是激活了修復模式的那個人嗎?

答案似乎是肯定的,社區用戶從Github記錄上查到,正是在26天之前,一名頭像和姓名都相同的社區開發者,在Github上報告了一個關于?Optics修復模式時間鎖的漏洞,為了補上漏洞,需要激活修復模式并更換為一個更加安全的多簽地址。此外,從歷史提交代碼上看,Anna也的確參與了?PartyDAO的開發工作。

至此,真相基本水落石出,鏈上地址對的上,報告中提及的漏洞與解決方案與此次事件也相吻合,所以基本可以判斷正是Anna激活了?Optics的修復模式,修復管理賬戶大概率也在Anna的控制之下。

不過,雖然事態脈絡已然厘清,但部分社區成員對于CELO以及?cLabs在此事中的處理方式卻很不滿意。作為Celo的開發團隊,cLabs理應比任何外部調查者都更清楚事情的來龍去脈,但在Tim的聲明中卻并沒有給出一個清晰的解釋,反而是做了一些毫無根據的猜測,將矛頭引向一個已被解雇的開發者James。

除此之外,另一些社區成員也對Tim在聲明中提到的“橋上資金沒有風險”相當不滿,因為單從Tim的描述推斷,合約當前的控制權顯然并不在?cLabs或其他已知社區成員的掌握之中,所以單方面聲稱“資金沒有風險”是極其不負責任的。

推特大V?@MonetSupply就此事總結了該團隊所范的三個錯誤:

沒人在應用上線前檢查已部署的合約;

遲遲25天沒有向社區做任何披露;

Tim那則詭異的聲明。

MonetSupply最后將這一切歸因于Celo內部管理的混亂,并表示自己將因此看跌CELO。

昨日晚間,為了為了平息社區內的恐慌及不滿情緒,Celo官方組織了一場AMA對話,并就此事在官方論壇再次發聲加以解釋。這一次,代表cLabs發聲的不再是首席執行官Tim,而是換成了另外兩名開發者?Eric和Marek。

新的聲明披露了一些關鍵信息,包括將對?Optics合約進行一定審計并向社區披露,以及通過發布?OpticsV2來遷移用戶資金。Marek還提到:“我們肯定會從這次事件中吸取教訓,我們將繼續分析哪里出了問題,以及為什么會出問題。為此,我們計劃盡快發布一份完整的事件回顧報告。”

事已至此,雖然很多細節問題仍需等待Marek提到的報告發布后才可進一步明晰,但事態基本情況已大體明了。

整體來看,此次的“?Optics安全事件”多少存在一定的“虛驚”成分,作為社區開發者,Anna替換多簽的目的更像是在修復bug而非作惡,這也是為什么過去25天Optics沒有出現任何資金流失。不過,凡事也不能太過樂觀,在事件徹底收官之前,建議大家短期內盡量減少Optics的使用頻率,如有跨鏈需求,可盡量選擇同樣支持Celo生態的Anyswap,或如神魚建議的那樣將橋接資產兌換為CELO,再利用中心化交易所出入。

跨鏈賽道一直都是安全事故的高發領域,雖然暫時沒有造成任何資金損失,但此次事件所敲響的警示同樣不容忽視,希望Celo?開發團隊以及其他項目方能夠以此為戒,改善內部管理秩序,提高透明度,帶給用戶更安全、更放心的跨鏈體驗。

原創文章,作者:Azuma。轉載/內容合作/尋求報道請聯系report@odaily.com;違規轉載法律必究。

Tags:CELCELOOPTICSCelestialWCELO價格Optimismethics

中幣
HyperPay研究院 | Game-Fi 也有出圈時 人氣鏈游解讀_GAM:HiGameCoin

近期,區塊鏈行業發生的融資事件多數發生在Game-Fi領域,以11月初加密市場發生的27筆投融資為例,其中有14筆發生在Gam-Fi領域.

1900/1/1 0:00:00
金色DeFi日報 | Valkyrie推出1億美元的“鏈上DeFi基金”_DEF:EFI

DeFi數據 1.DeFi總市值:1539.78億美元 DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:61.

1900/1/1 0:00:00
多鏈、側鏈和Layer 2 誰才是以太坊擴展方案的未來?_以太坊:以太坊幣價格今日行情價格紅色是漲嗎

截至2021年底,以太坊已經發展到可以支持來自去中心化金融、NFT、游戲等領域的數千個應用程序。整個網絡每年結算數萬億美元的交易,超過1700億美元被鎖定在平臺上。但與此同時,問題也隨之而來.

1900/1/1 0:00:00
對話美國參議院的加密幣女王辛西婭·盧米斯_比特幣:The Simpsons Inu

議員辛西婭·盧米斯可能看起來不像你認識的典型加密幣擁有者。她今年66歲,沒有技術背景,但她是“長線持有者”。這位懷俄明州的共和黨人解釋了她為什么如此鐘情于比特幣。比特幣出現僅僅是在12年前.

1900/1/1 0:00:00
金色DeFi日報 | 全網DeFi總鎖倉量突破1800億美元_EFI:XDEFI Governance Token

DeFi數據 1.DeFi總市值:1707.72億美元 DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:42.

1900/1/1 0:00:00
比特幣網絡完成Taproot升級 市場風平浪靜_比特幣:MetaPool

根據歐科云鏈數據顯示,北京時間11月14日13點18分,比特幣網絡的區塊高度達到了709632,激活了比特幣的Taproot升級.

1900/1/1 0:00:00
ads