簡析Cosmos：共識機制、SDK能力與IBC協議_OSMO

來源：cryptopedia

編譯：胡韜，鏈捕手

CosmosHub是構建在Cosmos網絡上的越來越多區塊鏈的區塊鏈協議，允許它們相互通信。它的功能非常類似于你如何使用計算機共享可以在任何操作系統上打開的文件。雖然Cosmos旨在支持多種代幣，但Cosmos的原生加密是ATOM，它是CosmosHub背后的驅動力。ATOM提供多種功能：?

維護網絡共識

通過基于激勵的驗證器節點進行質押

減少垃圾郵件作為支付gas費用的媒介?

提供投票機制，通過Cosmos治理提案提出網絡修正

CosmosHub由Tendermint核心團隊構建，該團隊是負責設計Cosmos網絡并為其做出貢獻的主要組織。他們在構建CosmosHub、CosmosSDK和TendermintCore等關鍵網絡基礎設施方面發揮著關鍵作用——提供最先進的工具來幫助實現Cosmos網絡的全部潛力。Tendermint團隊已將CosmosHub構建為一個可互操作的區塊鏈平臺，該平臺允許該協議與Cosmos網絡內的獨立區塊鏈連接。?

安全團隊：Defrost Finance被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址，隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址，最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上，目前有490萬美元的DAI在0x4e22地址上，有500萬美元的DAI在0xfe71地址上，剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

本文將主要討論Cosmos網絡的三個主要方面：

Beosin：SheepFarm項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的SheepFarm項目遭受漏洞攻擊，Beosin分析發現由于SheepFarm合約的register函數可以多次調用，導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems，再利用upgradeVillage函數在消耗gems的同時累加yield屬性，最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB，約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/16 13:10:39]

Tendermint核心拜占庭容錯共識方法：由Tendermint團隊設計的一種與語言無關的共識算法，用于狀態機復制以復制Cosmos網絡中構建的其他區塊鏈網絡。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

區塊鏈間通信協議：由Tendermint團隊設計，作為不同區塊鏈網絡之間可互操作的通信層。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

Cosmos軟件開發工具包(SDK)：一種開源、可擴展的基礎設施，旨在在Cosmos網絡中構建多資產權威證明(PoA)和PoS區塊鏈平臺。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

Tendermint核心BFT共識

通常，工作量證明(PoW)區塊鏈協議運行緩慢且成本高昂，具有顯著的可擴展性挑戰和高能耗。TendermintBFT共識機制解決了利用驗證的股權的共識專為網絡中更快的交易時間算法這些問題。?

Tendermint是Cosmos網絡底層的共識算法，它被構建為一個高性能的BFTSMR平臺，可以復制服務，然后可以將這些服務模擬為確定性的、非隨機的狀態機。基本上，這意味著創建TendermintCore是為了復制專門的服務器。這是通過一臺特殊的機器來實現的，該機器復制服務器并將它們傳播到全球Cosmos網絡。這個過程允許來自TendermintCore的軟件工程師在世界各地的狀態機上復制區塊鏈。

Tendermint的重要技術能力允許開發人員創建自己的區塊鏈平臺，而無需從頭開始構建一切。這很有幫助，因為它允許用戶創建他們想要的任何類型的區塊鏈系統——幾乎所有的東西都已經為他們完成，除了他們的應用程序邏輯和代幣。托管在Cosmos網絡上的代幣包括：Kava(KAVA)、Terra(LUNA)、BandProtocol(BAND)、Aragon(ANT)和AkashNetwork(AKASH)等。?

CosmosATOM幣在TendermintCoreBFT共識機制的功能中也發揮著關鍵作用，因為CosmosHub是一個權益證明區塊鏈平臺。Cosmos依靠100個驗證者節點網絡來維持共識、安全性和運營效率。為了使該系統正常運行，用戶必須抵押他們的ATOM幣。?

驗證器的作用是運行一個完整的節點——它驗證網絡規則——并向網絡廣播投票，隨后將新區塊提交到區塊鏈。反過來，驗證者根據作為抵押品抵押的ATOM的數量以ATOM的形式獲得收入。?

最后，ATOM被用作垃圾信息防范機制，對交易收費可阻止大量垃圾交易。Cosmos幣還用作影響Cosmos網絡方向的提案的治理投票機制。Cosmos網絡參與者有機會按其ATOM持有量進行投票。?

區塊鏈間通信(IBC)協議

CosmosIBC協議旨在解決當今區塊鏈系統面臨的最重要挑戰之一：網絡之間缺乏通信和數據共享。?

互操作性以及與外部和內部區塊鏈協議進行通信的能力對于區塊鏈和加密貨幣在現實世界中的廣泛應用和技術采用至關重要。想象一個只能與其直接地理區域內的參與者進行通信的電話網絡。它根本行不通。CosmosIBC是一種類似于TCP/IP的消息傳遞協議，旨在共享信息和數據，最終實現多個區塊鏈之間的通信。

CosmosSDK的能力

CosmosSDK是一個可擴展的開源基礎設施，旨在構建多資產公共PoS區塊鏈平臺，例如CosmosHub，以及許可的權威證明(PoA)區塊鏈。簡單易用是軟件工程師尋求的關鍵屬性，以便及時構建可互操作的、特定于應用程序的區塊鏈。CosmosSDK是一個模塊化框架，旨在構建特定于應用程序的區塊鏈，而不是基于虛擬機的應用程序。?

像以太坊這樣的虛擬機(VM)區塊鏈被創建來作為一組智能合約在現有區塊鏈之上托管應用程序開發。智能合約可能有利于特定用例，例如一次性應用程序。然而，它們對于復雜、分散的平臺的開發通常是無效的。

通常，智能合約技術的通用性、主權和技術性能是有限的。Cosmos支持的特定于應用程序的區塊鏈旨在運行單個應用程序，并讓工程師可以自由地進行以最佳方式運行應用程序所需的結構設計修改類型。

CosmosSDK不僅允許開發人員使用預構建模塊，還允許他們使用自己的定制模塊，使他們能夠在啟動自己的公共主網之前測試其最小可行產品.?此外，CosmosSDK允許用戶通過IBC將他們自己的區塊鏈連接到Cosmos網絡，從而增加流動性和用戶采用率。CosmosSDK還被用于構建許多關鍵的區塊鏈和加密貨幣項目，例如BinanceDEX、Kava、Terra和IRISNet。

可互操作的區塊鏈世界

TendermintBFT共識機制、IBCProtocol和CosmosSDK均旨在簡化軟件工程師如何構建自己的區塊鏈協議作為Cosmos網絡的一部分。許多領先的區塊鏈企業已經通過使用其靈活且可互操作的框架創建了CosmosNetwork的核心。?

CosmosHub本身是一個極其強大的去中心化區塊鏈網絡，其結構和治理允許網絡參與者保持冷靜——以ATOM幣作為促進安全、共識和運營效率的質押機制。Cosmos網絡幫助解決了當前對當今區塊鏈技術施加基本限制的許多底層互操作性挑戰。

Tags：OSMOCOScosmosCOSMosmo幣價格GridX EcosystemCosmostartercosmos幣官網

幣贏