比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Cosmos聯創:BNB Chain攻擊事件中黑客通過RangeProof偽造Merkle證明_COS

Author:

Time:1900/1/1 0:00:00

對于近日BSC跨鏈橋攻擊事件,Cosmos聯合創始人EthanBuchman在推特上表示,此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該,因為Merkle證明應該提供高完整性。區塊鏈輕客戶端建立在Merkle證明之上,許多區塊鏈將數據存儲在Merkle樹中,這樣就可以生成證明,證明某些數據包含在樹中。幣安的情況是攻擊者能夠證明某些數據在樹中,但它實際上不在樹中。Cosmos鏈使用一種稱為IAVL的Merkle樹,IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API,但事實證明RangeProof的內部工作存在嚴重錯誤。一個證明應該由一個葉節點和一系列內部節點組成,這些節點勾勒出樹中從葉到根的路徑,具有足夠的信息來計算樹的Merkle根哈希并驗證葉實際上是樹的一部分。因為這是一個二叉樹,所以每個內部節點都可以有一個左分支和右分支。但證明是通過跟蹤樹中的路徑,所以內部節點應該只包含其左分支或右分支哈希,另一個是根據證明中其他節點的哈希構造的。IAVLRangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段,攻擊者基本上利用了將信息粘貼到Right字段中的優勢,這些信息從未得到驗證,也從未影響哈希計算,以使驗證者相信某些葉節點是樹的一部分。因此,他們成功地偽造了Merkle證明。

Cosmos生態鏈Neutron宣布Baryon測試網已上線:2月8日消息,Cosmos生態鏈Neutron宣布Baryon測試網已上線。據悉,Baryon是Neutron的持續復制安全測試網,為開發者提供測試環境啟動其應用程序,并允許用戶進行交互。

Baryon還將為用戶提供探索主網啟動中可用的一些DApp和工具。Baryon-1瀏覽器已上線。接下來幾周將上線各種錢包和其他集成。[2023/2/8 11:54:04]

Buchman表示,雖然使用RangeProof不是一個好主意,但有一個方式或可以解決這個問題,即當任何內部節點同時填充了左右字段時,則預先拒絕證明。雖然RangeProof是核心Cosmos存儲庫(IAVL)的一部分,但它實際上并未用于Cosmos堆棧中的區塊鏈協議。IAVL樹本身被所有Cosmos-SDK鏈使用,但RangeProof不是。對于IBC中的Merkle證明,IBC沒有使用IAVL樹的內置RangeProof系統,而是使用ICS23標準從IAVL樹生成和驗證Merkle證明,ICS23代碼沒有這個漏洞,它可明確“拒絕”范圍證明。

Astar發起構建Astar/Shiden&Cosmos跨鏈橋新提案:9月22日消息,Astar發起構建Astar/Shiden&Cosmos跨鏈橋新提案,該項目是將 Astar/Shiden網絡(基于 Substrate)連接到基于Cosmos-SDK的區塊鏈的橋梁。該橋可以使用ICS20標準傳輸和接收資產,此橋將保持資產跨鏈的 1:1 掛鉤。[2021/9/22 16:58:19]

據悉,Cosmos舊版本存在RangeProof相關漏洞,目前Cosmos鏈經過多次迭代更新,根據Buchman的說法,雖然幣安是Cosmos軟件的最大用戶,但其不關注Cosmos進展,所以導致此次攻擊事件。

SEC明日將舉辦有關比特幣和ICOs的投資者會議:據ethnews,美國證券交易委員會(SEC)將于北京時間6月14日凌晨兩點在在亞特蘭大舉行有關比特幣和ICOs的投資者會議。屆時首先會舉辦一場市政廳活動。隨后,與會者可以與SEC成員會面。對此,SEC專員表示,這次會議是SEC作為委員會與華盛頓特區以外的投資者進行互動的機會,將有機會與投資者就一些相關話題進行探討。[2018/6/13]

Tags:COScosmosOSMOMOSX ECOSYSTEMCosmostarterosmo幣的潛力IMOS

以太坊最新價格
Harmony計劃從10月開始為Horizon跨鏈橋恢復分配資金_MON

據官方公告,Harmony計劃從10月開始為Horizon跨鏈橋恢復分配資金,資金將用于向參與的合作伙伴提供贈款,這些合作伙伴將引導資金用于恢復機制.

1900/1/1 0:00:00
DApps服務商Slide完成1230萬美元種子輪融資,Polychain Capital和Framework Ventures領投_EOS

為DApps提供用戶體驗基礎設施的初創公司Slide完成1230萬美元種子輪融資,PolychainCapital和FrameworkVentures共同領投.

1900/1/1 0:00:00
Sui開發團隊Mysten Labs完成3億美元B輪融資,FTX Ventures領投_ENT

公鏈Sui的開發團隊、Web3基礎設施公司MystenLabs完成3億美元的B輪融資,估值超過20億美元.

1900/1/1 0:00:00
音樂NFT平臺MetaBeat完成戰略輪融資,NGC Ventures等參投_MEL

音樂NFT平臺MetaBeat今日宣布完成戰略輪融資,本輪融資由ACCapital、KuCoinLabs和NGCVentures、BCi、Finngram、NexusOne、AlchemicIn.

1900/1/1 0:00:00
印度執法局凍結涉嫌加密欺詐的“中國控制實體”的資產_TEL

據Forkast報道,因涉嫌利用HPZ代幣以及應用程序進行加密欺詐,印度執法局于9月14日和9月28日分別凍結690萬美元的資產.

1900/1/1 0:00:00
Aptos聯創:Aptos上構建的項目已超200個,測試網日交易量超350萬筆_APT

在由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會上,Aptos聯合創始人兼首席技術官AveryChing發布題為《Aptos區塊鏈:安全、可擴展、可更新的Web3基礎設施》的演講.

1900/1/1 0:00:00
ads