日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。補丁核心代碼如下:
Cobo COO:目前有140家企業正在申請香港虛擬資產交易所牌照:6月19日消息,Cobo首席運營官Lily Z King表示,截止到目前,香港只有兩家企業此前已經獲得虛擬資產交易所業務所需的牌照,包括9號牌在內,目前還有140家企業在申請。Lily透露,牌照申請以及合規運營的成本非常昂貴,“每年的營運成本可能在2000萬港幣左右,初期成本可能在3000萬至4000萬港幣。”如果參考國外的情況,日本在剛開始發牌時有超過100家公司申請,結果拿到牌照的不超過20家,最后持續經營的大概只有4至5家。
此前消息,Cobo COO表示,香港虛擬資產業務牌照申請者中包括很多傳統金融企業。[2023/6/19 21:47:29]
Cobra:讓比特幣看起來更復雜并不是在幫助比特幣:7月24日,Bitcoin.org網站共同所有者Cobra發推稱,有一些比特幣相關產品只會給人一種印象,即運行一個完整的比特幣節點很困難,或者還需要一些特殊硬件。但如果可以運行一個瀏覽器就可以運行一個節點,或者下載Bitcoin Core就能運行,這樣更好。需要指出一點,讓比特幣看起來更復雜并不是在幫助比特幣,因為最終結果只是會減少完整節點。這樣的產品沒有意義。但這些產品仍在不斷迭代推出,而實際上只是在搶錢,且這些硬件產品升級會是一個問題,也不能保證硬件可以跟上比特幣的網絡需求。[2020/7/24]
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。Reference:https://eth.wiki/fundamentals/patricia-treehttps://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40https://www.diffchecker.com/RJdDTCx7
聲音 | 眼鏡蛇Cobra:2019年BTC會改變其POW機制:眼鏡蛇Cobra剛剛發推文稱,2019年,BTC會改變其POW機制。[2018/12/11]
聲音 | 眼鏡蛇 Cobra:如果澳本聰拋棄了 SV那么 SV也會被社區分叉:眼鏡蛇 Cobra發布推文指出,如果 CoinGeek和澳本聰拋棄了 SV轉而去挖 ABC,那么 SV應該也會被社區硬分叉,并且 PoW將被更改,并與 BTC合并。[2018/11/17]
本文來自CNBC,作者:RyanBrowneOdaily星球日報譯者|胡蘿卜須 摘要 消息人士告訴CNBC.
1900/1/1 0:00:00研究機構:SeerLabs作者:Luka 前言 無論你是不是區塊鏈技術方面的專家,只要你待在Crypto的世界里夠久。以太坊擴容,layer2,Rollup這些詞語對于你來說都不會陌生.
1900/1/1 0:00:00作者:quantumzebra123BoredApeYachtClub終于推出了$APE。包括我在內的廣大吃瓜群眾可是等了好久了.
1900/1/1 0:00:00翻譯:PonziCurator編輯&排版:Vera本文來自TheSeeDAO。 重新思考一個問題:在以社區為本的去中心化元宇宙中,我們應如何更好地建立聲譽機制、認同機制和獎賞機制.
1900/1/1 0:00:00作者:Xiang|W3.Hitchhiker相關閱讀深度解析IPFS:新一代互聯網底層協議Filecoin還有哪些值得關注的呢? 項目簡介 Filecoin是旨在存儲人類社會最重要信息的分布式網.
1900/1/1 0:00:002022年4月7日,財政部長珍妮特·L·耶倫在美國大學科戈德商學院創新中心就數字資產政策、創新和監管發表了講話,律動BlockBeats整理翻譯如下:伯威爾校長.
1900/1/1 0:00:00