以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

Cobo安全團隊:Stargate跨鏈橋的底層協議LayerZero重大安全漏洞分析_LAYER

Author:

Time:1900/1/1 0:00:00

日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。補丁核心代碼如下:

Wrapped在Celo區塊鏈推出基于比特幣的綠色資產EcoBTC:金色財經報道,Wrapped宣布推出EcoBTC(eBTC),據稱是第一個“綠色”的基于比特幣的資產。eBTC將通過Ubeswap軟件在Celo區塊鏈上啟動。新的綠色資產將比特幣與MCO2結合在一起,成為一個新的單一數字資產。[2021/5/29 22:54:26]

Cobra發推呼吁就比特幣白皮書版權等與CSW進行法律辯護:圍繞Bitcoin.org托管比特幣白皮書一事,近日,Bitcoin.org網站共同所有者Cobra發推呼吁稱,如果想對Bitcoin.org有所貢獻,可與CSW對白皮書的版權聲明和域名的所謂所有權進行法律辯護。與此同時,Cobra還隨推文貼出相關捐贈地址。此前消息,由于CSW提出的侵犯比特幣白皮書版權的指控,有開發者撤下了Bitcoin.org官方的比特幣白皮書。隨后Bitcoin.org官方對此聲明,Bitcoin.org擁有托管比特幣白皮書的合法權利,將繼續托管比特幣白皮書,抵制虛假指控。[2021/1/24 13:21:07]

原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。Reference:https://eth.wiki/fundamentals/patricia-treehttps://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40https://www.diffchecker.com/RJdDTCx7

Cobra:礦工收益問題將是未來十年比特幣交易者間的主要分歧:金色財經報道,Bitcoin.org網站共同所有者Cobra今日連發多條推文稱:“如果您很聰明,則應該擔心以太坊的費用情況。長期來看,隨著比特幣區塊獎勵的減少,要保持最安全的區塊鏈,就必須激勵礦工開采比特幣。有兩種解決方案,要么增加區塊大小,允許更多交易在鏈上發生,使礦工從費用中獲得更多收益;要么軟分叉以改變費用政策,根據交易價值計算一定比例的費用。在比特幣的第一個十年中,礦工需要經濟激勵來開采比特幣的問題并不存在,因為區塊獎勵很大,并且比特幣價格一直在大幅上漲。但是,這將是未來十年比特幣交易者之間的一個主要分歧,閃電網絡實際上會讓問題變得更糟,因為它在很大程度上減少了礦工的交易費用,同時減少了鏈上交易活動。”[2020/9/3]

動態 | 美SEC要求ICOBox就非法代幣銷售向其支付超1600萬美元罰款:1月10日消息,昨日,美國證券交易委員會(SEC)向加利福尼亞中央地方法院提交了一系列最新文件,其中包括對ICOBox及其創始人Nikolay Evdokimov的違約判決動議。此前去年9月,SEC指控ICOBox及其創始人Nikolay Evdokimov違反美國證券法進行代幣銷售,共計獲利1460萬美元。

根據擬議的判決動議,SEC要求ICOBox和Evdokimov共同支付1600多萬美元的罰款,其中包括非法發行代幣獲利的1460萬美元,外加民事處罰145萬美元。在判決生效后的14天內,被告必須向SEC支付罰款(FinanceFeeds)[2020/1/10]

Tags:LAYER比特幣COBROOlayer幣怎么樣比特幣走勢圖今年ICOB價格Proof Of Pepe

歐易交易所app官網下載
ApeCoin:邁向Web3迪士尼的最后一塊版圖_APE

沒有一家運營IP的公司是不想成為迪士尼的。僅靠一個個創作出來的IP形象,迪士尼掙到了多少錢?據統計,2021年全球最賺錢的10個IP中,迪士尼一家就占據了半壁江山,5個IP總收入3110億美元.

1900/1/1 0:00:00
操作指南:手把手教你從以太坊橋接到Layer 2_LAYER

Odaily星球日報譯者|Moni Layer2技術優勢無需贅述,但如何把Layer2橋接到像以太坊這樣的Layer1網絡,似乎沒有太多人了解呢?本文將提供一份詳盡指南.

1900/1/1 0:00:00
疫情之下,元宇宙婚禮考慮一下?_元宇宙

突如其來的疫情打亂了人們正常的生活節奏。提前準備好的工作計劃、外出游玩甚至是結婚計劃都在反復的疫情中被推遲或取消。對于有結婚計劃的新人來說,婚紗照不能如約拍攝、婚宴不能如期舉行實屬遺憾.

1900/1/1 0:00:00
一周融資速遞 | 24家項目獲投;已披露融資總額約為8億美元(3.21-3.27)_TAL

經Odaily星球日報不完全統計,3月21日-3月27日當周公布的海內外區塊鏈融資事件共24起,較前一周有一定減少;已披露融資總額約為8億美元,較前一周有明顯下降.

1900/1/1 0:00:00
專訪趙長鵬:無法理解超高定價的NFT,將很快宣布總部地址_加密貨幣

在倫敦最時尚的酒店,身材修長的趙長鵬身穿深藍色西裝和白襯衫,在服務員眼中顯得不起眼。因此,當他與其他富翁吃早餐時,服務員將他帶到餐廳的一個荒涼的角落,在接下來的一個小時里,這位加密貨幣的超級億萬.

1900/1/1 0:00:00
Delphi聯合創始人:Web3融資有哪些注意事項?_DEL

Delphi已經投資了100多個項目,看過的項目超過數千個,甚至可能是數萬個。3月21日,DelphiDigital聯合創始人TomShaughnessy在推特上分享了一些對項目創始人募資的一些.

1900/1/1 0:00:00
ads