BTC/HKD+0.45%
ETH/HKD-0.44%
LTC/HKD+1.86%
DOT/HKD-0.23%
ADA/HKD-0.63%
SOL/HKD+0.27%
XRP/HKD+1.48%
DOGE/US+0.97%日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。
StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。
Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:
Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上
動態 | 美國加密貨幣交易所Cobinhood將于7月20日起開始支持法幣交易:7月13日消息,在獲得監管部門批準后,美國加密貨幣交易所Cobinhood宣布,它將從7月20日起開始支持法幣交易。Cobinhood首席執行官Popo Chen表示:在某些情況下,市場并沒有反映出加密貨幣在全球范圍內取得的巨大進展,交易員們知道存在大量的價值機會,因此現在是法幣在Cobinhood平臺上首次公開交易的協同時機。[2018/7/13]
Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證
眼鏡蛇Cobra:控制BTC網絡大部分算力的人對比特幣攻擊過數次:據眼鏡蛇Cobra最新消息,:控制BTC網絡大部分算力的人不誠實,他們對比特幣攻擊過數次。BTC網絡礦工能做的最能提高網絡安全的事是支持POW機制改變,當網絡安全升級時關閉ASICs礦機(最好從物理上破壞)。[2018/6/10]
如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作
LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。
吳忌寒回應Cobra:請閱讀中本聰關于51%攻擊的分析:比特大陸CEO吳忌寒回應Bitcoin官論壇持有人Cobra吐槽:在修改原始白皮書前,請閱讀中本聰關于51%攻擊的分析,它并不會是比特幣的終結者。今早Cobra表示:吳忌寒和楊海坡可輕松實現對比特幣的51%攻擊,徹底擊垮1300億美元網絡。[2018/6/8]
補丁核心代碼如下:
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。
眼鏡蛇Cobra:閃電網絡實際上對比特幣的長期價值構成了威脅:“眼鏡蛇Cobra”剛剛在Reddit發貼表示,閃電網絡(LN)實際上對比特幣的長期價值構成了威脅。閃電網絡并不是比特幣專屬的可擴展性解決方案,而是任何可進行擴展的代幣的解決方案。當能以更低成本采用支持閃電網絡的代幣進行支付時,為什么還要使用比特幣呢?比特幣更適合通過側鏈進行擴展。“眼鏡蛇Cobra”是Bitcoin.org和Bitcointalk.org的負責人,是數字貨幣社區內神秘、卻具有大量控制權的人物。[2018/4/13]
目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。
補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。
此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。
在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。
Reference:
https://eth.wiki/fundamentals/patricia-tree
https://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40
https://www.diffchecker.com/RJdDTCx7
尊敬的用戶:Hotcoin將於(GMT8)2022年3月25日18:00開放KSM/USDT交易業務,2022年3月26日18:00開放KSM提幣業務,現已開啟KSM充值業務.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線SHI,詳情如下:上線交易對:SHI/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年3月29日17:00提現功.
1900/1/1 0:00:00本文來自CNBC,作者:RyanBrowneOdaily星球日報譯者|胡蘿卜須 摘要 消息人士告訴CNBC.
1900/1/1 0:00:00Crypto與體育界的融合,已不是什么新鮮事。實際上,加密貨幣平臺與體育營銷的淵源最早可以追溯到2014年.
1900/1/1 0:00:00Manta/Calamari的社區朋友們好!非常感謝大家對于Dolphin測試網V1版本的支持。我們收到了很多有建設性的反饋,并根據這些反饋對產品進行了改進.
1900/1/1 0:00:00
以太幣交易所
