对于近日BSC跨链桥攻击事件,Cosmos联合创始人EthanBuchman在推特上表示,此次事件问题的关键在于黑客能够伪造Merkle证明。这本不应该,因为Merkle证明应该提供高完整性。区块链轻客户端建立在Merkle证明之上,许多区块链将数据存储在Merkle树中,这样就可以生成证明,证明某些数据包含在树中。币安的情况是攻击者能够证明某些数据在树中,但它实际上不在树中。Cosmos链使用一种称为IAVL的Merkle树,IAVL存储库公开了一个使用范围证明“RangeProof”的API,但事实证明RangeProof的内部工作存在严重错误。一个证明应该由一个叶节点和一系列内部节点组成,这些节点勾勒出树中从叶到根的路径,具有足够的信息来计算树的Merkle根哈希并验证叶实际上是树的一部分。因为这是一个二叉树,所以每个内部节点都可以有一个左分支和右分支。但证明是通过跟踪树中的路径,所以内部节点应该只包含其左分支或右分支哈希,另一个是根据证明中其他节点的哈希构造的。IAVLRangeProof的代码问题在于其允许填充InnerNode中的Left和Right字段,攻击者基本上利用了将信息粘贴到Right字段中的优势,这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些叶节点是树的一部分。因此,他们成功地伪造了Merkle证明。
比特币侧链开发公司Nomic将推出nBTC,可将比特币跨链至Cosmos网络:6月27日消息,比特币侧链开发公司Nomic将推出完全支持Cosmos生态IBC协议的nBTC,支持将比特币跨链至Cosmos网络。[2022/6/27 1:33:53]
Buchman表示,虽然使用RangeProof不是一个好主意,但有一个方式或可以解决这个问题,即当任何内部节点同时填充了左右字段时,则预先拒绝证明。虽然RangeProof是核心Cosmos存储库(IAVL)的一部分,但它实际上并未用于Cosmos堆栈中的区块链协议。IAVL树本身被所有Cosmos-SDK链使用,但RangeProof不是。对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,ICS23代码没有这个漏洞,它可明确“拒绝”范围证明。
动态 | Cosmos继续分拆:ICF基金会研发团队分拆为独立公司Informal:支持跨链项目Cosmos开发和生态建设的基金会Interchain Foundation?(ICF) 宣布将研发团队分拆,组建一家注册在加拿大的独立公司InformalSystems,该公司将以独立架构继续进行Cosmos网络相关软件和协议的开发工作。Informal Systems总部位于多伦多,在维也纳、卢塞恩和柏林拥有办公室。Cosmos联合创始人Ethan Buchma兼ICF前技术总监将担任该公司CEO,ICF前董事总经理Arianne Flemming 和研究负责人Zarko Milosevic将加入该公司。该公司主要针对分布式系统和形式化验证方向进行研发。该公司起始资金将来自ICF,ICF基金会将以可转债、软件开发合同及研究资助的方式向Informal Systems注入资金,而Informal Systems则按合同及资助方向为Tendermint和Cosmos系统进行形式化验证、Rust开发及协议方面的研究。[2020/2/25]
据悉,Cosmos旧版本存在RangeProof相关漏洞,目前Cosmos链经过多次迭代更新,根据Buchman的说法,虽然币安是Cosmos软件的最大用户,但其不关注Cosmos进展,所以导致此次攻击事件。
动态 | Cosmos背后开发公司Tendermint进行重组:Cosmos开发公司TendermintInc宣布进行重组,跨链通信协议IBC(InterBlockchainCommunication)的开发团队和TendermintCore团队将从TendermintInc分拆出去,设立一家总部在柏林的独立公司。分拆之后,TendermintInc的重心将放在Cosmos社区建设、CosmosSDK和Cosmos生态项目Virgo的开发和运营上。(链闻)[2020/2/20]
据Businesswire报道,数字资产和碳信用交易所1GCX与专注于加密货币、商品和碳抵消的主要贸易公司T3Research合作推出20亿美元的流动性基金.
1900/1/1 0:00:00据ThaiEnquirer报道,泰国暹罗商业银行宣布将终止收购加密资产公司Bitkub51%的股份,自2022年8月25日起生效.
1900/1/1 0:00:00加密做市商Wintermute创始人兼首席执行官@EvgenyGaevoy发推称Wintermute在DeFi黑客攻击中损失1.6亿美元的各种资产.
1900/1/1 0:00:00据财联社报道,据不完全统计,截至目前,央媒旗下的数藏平台包括央数藏在内,还有新华网旗下的新华数藏、人民网旗下的灵境人民艺术馆、光明日报旗下的光明艺品、光明网旗下的光明数藏、中国青年报旗下的豹豹青.
1900/1/1 0:00:00加密研究组织GCR与Clearblock联合推出Web3VC排行榜,通过投资数量、领投、平台、独角兽数量、品牌等要素综合打分.
1900/1/1 0:00:00国际货币基金组织在其官方网站发布最新报告,表示加密资产已经存在了十多年,但直到现在,监管加密市场才成为政策议程的首要任务.
1900/1/1 0:00:00