日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。補丁核心代碼如下:
DeFi協議iZUMi Finance融資3000萬美元,IV Ventures、Cobo等參投:5月20日消息,多鏈DeFi協議iZUMI Finance宣布完成3000萬美元融資,包括來自IV Ventures、Cobo和Mirana等機構投資者的2000萬美元投資,其中超過一半為Solv Protocol上的憑證(Vouchers)銷售。此外,iZUMi還出售了價值400萬枚BUSD和5000枚BNB(約合200萬美元)的憑證。
與此同時,iZUMi還宣布推出新的iZiSwap DEX,該交易所利用了新型AMM協議和iUSD代幣。iUSD與美元1:1錨定,類似于穩定幣,并由iZUMi的抵押品和未來收入支持。iZUMi向私人投資者發行并出售iUSD。(CoinDesk)[2022/5/21 3:31:43]
Cobo宣布支持MDU Staking服務:Cobo錢包宣布成為MDU Staking計劃主要節點之一,全面支持MDU的充提及Staking服務。
MDUKEY是一個自我主權隱私數據系統,通過區塊鏈技術將隱私、安全性、透明度和個人權利轉變為數字身份,相應的密鑰保存在數字錢包中。
Cobo錢包致力于打造一站式數字資產存儲和管理平臺,旨在為用戶提供安全、可靠的存儲與支付環境,目前已支持40多種主流數字資產、900多種代幣。[2020/6/2]
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。Reference:https://eth.wiki/fundamentals/patricia-treehttps://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40https://www.diffchecker.com/RJdDTCx7
動態 | Data Gumbo與Cobbs Allen合作保護區塊鏈智能合約數據安全:據Businesswire消息,美國區塊鏈創業公司Data Gumbo宣布與Cobbs Allen合作。據悉,Cobbs Allen是一家專注于小眾實踐集團風險管理的國家獨立機構。Cobbs Allen將代表Data Gumbo參與保險市場,為基于區塊鏈的智能合約的數據,或操作中出現的錯誤和遺漏提供保護。[2019/12/17]
聲音 | 眼鏡蛇Cobra:2019年BTC會改變其POW機制:眼鏡蛇Cobra剛剛發推文稱,2019年,BTC會改變其POW機制。[2018/12/11]
受訪者:HaseebQureshi編譯:胡韜,鏈捕手 近日,加密視頻播客UpOnly的主持人Cobie&Ledger采訪了DragonflyCapital合伙人HaseebQureshi.
1900/1/1 0:00:00重要見解:LUNA在2022年前2.5個月的價格回報率以7:1的比例超過了其他智能合約生態系統代幣的總和.
1900/1/1 0:00:00撰文:danku_r編譯:angelilu Terra生態非營利組織LunaFoundationGuard正在創建一個比特幣儲備池來捍衛Terra穩定幣UST的價值錨定.
1900/1/1 0:00:00頭條 三星與NiftyGateway合作開發智能電視NFT平臺三星與NFT交易平臺NiftyGateway達成合作,并開發了智能電視NFT平臺.
1900/1/1 0:00:002017年初,正逢特朗普就職時,我寫了有關布賴·恩伊諾的新專輯《Reflection》的文章,這張專輯是他自1975年就開始創作的音樂系列的最新作品.
1900/1/1 0:00:00本文來自Medium,Odaily星球日報譯者|Moni 無論你是否承認,區塊鏈技術已經成為主流,Web3正在徹底改變互聯網,同時也在顛覆游戲、金融、藝術等多個行業的“游戲規則”.
1900/1/1 0:00:00