cosmos:Cosmos 聯創：BNB Chain 攻擊事件中黑客通過 RangeProof 偽造 Merkle 證明

鏈捕手消息，Cosmos聯合創始人EthanBuchman對BNBChain跨鏈橋BSCTokenHub攻擊事件發表看法表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該發生，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。

某Telegram頻道宣傳針對macOS的信息竊取器AMOS，可竊取Electrum、幣安等加密軟件信息:4月28日消息，一個Telegram頻道在宣傳一種名為Atomic macOS Stealer（AMOS）的新型信息竊取惡意軟件，該軟件專門針對macOS而設計，可以從受害者的機器上竊取各種類型的信息，包括keychain密碼、完整的系統信息、桌面和文檔文件夾中的文件，甚至是macOS密碼。該竊取程序旨在針對多個瀏覽器，并可以提取自動填充、密碼、cookie、錢包和信用卡信息。具體來說，AMOS可以針對Electrum、Binance、Exodus、Atomic和Coinomi等加密錢包。

此外，AMOS還提供管理受害者的Web面板，用于竊取助記詞和私鑰的MetaMask暴力破解，加密檢查器和dmg安裝器，之后通過Telegram分享日志。這些服務的價格為每月1000美元。[2023/4/29 14:33:59]

Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。IAVLRangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。

Cosmostation和Crypto.org Chain達成戰略合作:Cosmostation和Crypto.org Chain達成戰略合作，Cosmostation將作為驗證節點運營商，為Crypto.org Chain生態系統做出貢獻，確保網絡安全，并為終端用戶應用程序開發人員提供各種基礎設施工具。

據悉，Cosmostation是一家位于韓國首爾的企業級驗證節點基礎運營商和終端用戶應用程序開發公司。[2021/4/27 21:03:12]

Buchman表示，雖然使用RangeProof不是一個好主意，但有一個方式或可以解決這個問題，即當任何內部節點同時填充了左右字段時，則預先拒絕證明。對于IBC中的Merkle證明，IBC沒有使用IAVL樹的內置RangeProof系統，而是使用ICS23標準從IAVL樹生成和驗證Merkle證明，ICS23代碼沒有這個漏洞，它可明確“拒絕”RangeProof。

Cosmos生態基金會ICF宣布與Cdot合作，將資助其開發Substrate IBC模塊:Cosmos生態基金會ICF宣布與Cdot達成合作。作為最新公布的2020年第二季度合作項目，Cosmos生態基金ICF將資助Cdot開發Substrate IBC模塊。這項工作是連接Polkadot/Kusama和Cosmos區塊鏈的關鍵步驟，使得在兩個生態系統之間安全的交換資產和數據成為可能。Substrate IBC模塊還令開發者在基于Substrate的區塊鏈上使用IBC成為可能。

為了支持開發者使用這項技術，Cdot還承諾編制相應的文檔和教程以詳細說明Substrate IBC，并會將IBC文檔翻譯為中文。最近成立的Substrate IBC工作組的主要目標是協調Cdot和其他團隊的協作，這些團隊都在為橋接Polkadot和Cosmos而努力工作。[2020/8/28]

Tags：COSMOScosmosOSMOcosmos幣創始人cosmos代幣atom幣osmo幣值得買嗎

ICP