簡析Cosmos：共識機制、SDK能力與IBC協議_cosmos

來源：cryptopedia

編譯：胡韜，鏈捕手

CosmosHub是構建在Cosmos網絡上的越來越多區塊鏈的區塊鏈協議，允許它們相互通信。它的功能非常類似于你如何使用計算機共享可以在任何操作系統上打開的文件。雖然Cosmos旨在支持多種代幣，但Cosmos的原生加密是ATOM，它是CosmosHub背后的驅動力。ATOM提供多種功能：?

維護網絡共識

通過基于激勵的驗證器節點進行質押

減少垃圾郵件作為支付gas費用的媒介?

提供投票機制，通過Cosmos治理提案提出網絡修正

CosmosHub由Tendermint核心團隊構建，該團隊是負責設計Cosmos網絡并為其做出貢獻的主要組織。他們在構建CosmosHub、CosmosSDK和TendermintCore等關鍵網絡基礎設施方面發揮著關鍵作用——提供最先進的工具來幫助實現Cosmos網絡的全部潛力。Tendermint團隊已將CosmosHub構建為一個可互操作的區塊鏈平臺，該平臺允許該協議與Cosmos網絡內的獨立區塊鏈連接。?

Beosin：sDAO項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的sDAO項目遭受漏洞攻擊，Beosin分析發現由于sDAO合約的業務邏輯錯誤導致，getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的，計算的獎勵與用戶添加LP代幣數量正相關，與合約擁有總LP代幣數量負相關，但合約提供了一個withdrawTeam的方法，可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址，該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后，調用withdrawTeam函數將LP代幣全部發送給了指定地址，并立刻又向合約轉了一個極小數量的LP代幣，導致攻擊者在隨后調用getReward獲取獎勵的時候，使用的合約擁有總LP代幣數量是一個極小的值，使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/21 7:53:09]

本文將主要討論Cosmos網絡的三個主要方面：

Beosin：BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BSC鏈上的gala.games項目遭受攻擊，Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens（GALA） 代幣增發，累計增發55,628,400,000枚pTokens（GALA），攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB，攻擊者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。

第一筆攻擊交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二筆攻擊交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

Tendermint核心拜占庭容錯共識方法：由Tendermint團隊設計的一種與語言無關的共識算法，用于狀態機復制以復制Cosmos網絡中構建的其他區塊鏈網絡。

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

區塊鏈間通信協議：由Tendermint團隊設計，作為不同區塊鏈網絡之間可互操作的通信層。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

Cosmos軟件開發工具包(SDK)：一種開源、可擴展的基礎設施，旨在在Cosmos網絡中構建多資產權威證明(PoA)和PoS區塊鏈平臺。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

Tendermint核心BFT共識

通常，工作量證明(PoW)區塊鏈協議運行緩慢且成本高昂，具有顯著的可擴展性挑戰和高能耗。TendermintBFT共識機制解決了利用驗證的股權的共識專為網絡中更快的交易時間算法這些問題。?

Tendermint是Cosmos網絡底層的共識算法，它被構建為一個高性能的BFTSMR平臺，可以復制服務，然后可以將這些服務模擬為確定性的、非隨機的狀態機。基本上，這意味著創建TendermintCore是為了復制專門的服務器。這是通過一臺特殊的機器來實現的，該機器復制服務器并將它們傳播到全球Cosmos網絡。這個過程允許來自TendermintCore的軟件工程師在世界各地的狀態機上復制區塊鏈。

Tendermint的重要技術能力允許開發人員創建自己的區塊鏈平臺，而無需從頭開始構建一切。這很有幫助，因為它允許用戶創建他們想要的任何類型的區塊鏈系統——幾乎所有的東西都已經為他們完成，除了他們的應用程序邏輯和代幣。托管在Cosmos網絡上的代幣包括：Kava(KAVA)、Terra(LUNA)、BandProtocol(BAND)、Aragon(ANT)和AkashNetwork(AKASH)等。?

CosmosATOM幣在TendermintCoreBFT共識機制的功能中也發揮著關鍵作用，因為CosmosHub是一個權益證明區塊鏈平臺。Cosmos依靠100個驗證者節點網絡來維持共識、安全性和運營效率。為了使該系統正常運行，用戶必須抵押他們的ATOM幣。?

驗證器的作用是運行一個完整的節點——它驗證網絡規則——并向網絡廣播投票，隨后將新區塊提交到區塊鏈。反過來，驗證者根據作為抵押品抵押的ATOM的數量以ATOM的形式獲得收入。?

最后，ATOM被用作垃圾信息防范機制，對交易收費可阻止大量垃圾交易。Cosmos幣還用作影響Cosmos網絡方向的提案的治理投票機制。Cosmos網絡參與者有機會按其ATOM持有量進行投票。?

區塊鏈間通信(IBC)協議

CosmosIBC協議旨在解決當今區塊鏈系統面臨的最重要挑戰之一：網絡之間缺乏通信和數據共享。?

互操作性以及與外部和內部區塊鏈協議進行通信的能力對于區塊鏈和加密貨幣在現實世界中的廣泛應用和技術采用至關重要。想象一個只能與其直接地理區域內的參與者進行通信的電話網絡。它根本行不通。CosmosIBC是一種類似于TCP/IP的消息傳遞協議，旨在共享信息和數據，最終實現多個區塊鏈之間的通信。

CosmosSDK的能力

CosmosSDK是一個可擴展的開源基礎設施，旨在構建多資產公共PoS區塊鏈平臺，例如CosmosHub，以及許可的權威證明(PoA)區塊鏈。簡單易用是軟件工程師尋求的關鍵屬性，以便及時構建可互操作的、特定于應用程序的區塊鏈。CosmosSDK是一個模塊化框架，旨在構建特定于應用程序的區塊鏈，而不是基于虛擬機的應用程序。?

像以太坊這樣的虛擬機(VM)區塊鏈被創建來作為一組智能合約在現有區塊鏈之上托管應用程序開發。智能合約可能有利于特定用例，例如一次性應用程序。然而，它們對于復雜、分散的平臺的開發通常是無效的。

通常，智能合約技術的通用性、主權和技術性能是有限的。Cosmos支持的特定于應用程序的區塊鏈旨在運行單個應用程序，并讓工程師可以自由地進行以最佳方式運行應用程序所需的結構設計修改類型。

CosmosSDK不僅允許開發人員使用預構建模塊，還允許他們使用自己的定制模塊，使他們能夠在啟動自己的公共主網之前測試其最小可行產品.?此外，CosmosSDK允許用戶通過IBC將他們自己的區塊鏈連接到Cosmos網絡，從而增加流動性和用戶采用率。CosmosSDK還被用于構建許多關鍵的區塊鏈和加密貨幣項目，例如BinanceDEX、Kava、Terra和IRISNet。

可互操作的區塊鏈世界

TendermintBFT共識機制、IBCProtocol和CosmosSDK均旨在簡化軟件工程師如何構建自己的區塊鏈協議作為Cosmos網絡的一部分。許多領先的區塊鏈企業已經通過使用其靈活且可互操作的框架創建了CosmosNetwork的核心。?

CosmosHub本身是一個極其強大的去中心化區塊鏈網絡，其結構和治理允許網絡參與者保持冷靜——以ATOM幣作為促進安全、共識和運營效率的質押機制。Cosmos網絡幫助解決了當前對當今區塊鏈技術施加基本限制的許多底層互操作性挑戰。

Tags：COScosmosMOSCOSMCOS幣cosmos代幣atom幣MOS Chain

幣安app官方下載最新版