以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 火星幣 > Info

CEL:跨鏈橋多簽權限被替換 Celo到底發生了什么?

Author:

Time:1900/1/1 0:00:00

北京時間 11 月 23 日晚,魚池 F2Pool 創始人神魚于微博轉發安全組織 Rugdoc 的風險提示稱:“有在 Celo 鏈上挖礦的請注意,跨鏈橋(Optics)的多簽被人換了,疑似有問題,降低風險的辦法是把 Celo 鏈上的其他資產賣成 Celo,目前賣的人還不多,虧幾個點。大家自行判斷風險,是賭一賭還是止損,全憑實力,膽子大的還可以套利。”

作為 Celo 官方牽頭構建的跨鏈橋協議,Optics(合約地址:0x6a39909e805A3eaDd2b61fFf61147796ca6aBB47)是當前資金從外部生態流入 Celo 的主要渠道,該橋出現問題,無疑會對整個 Celo 生態的資金流通造成影響。因此,在 Optics 的問題被爆出之后,恐慌情緒也開始在社區之內彌漫。

根據來自 Celo 背后開發團隊 cLabs 的首席執行官 Tim Moreton 的事件解釋聲明,多簽權限被替換是因為有人單方面激活了 GovernanceRouter 合約上的 Optics 修復模式(recovery mode),雖然橋梁服務一切正常,但這一操作導致 Optics 協議被修復管理賬戶(recovery manager account )完全控制,原本的多簽權限也被覆蓋。不過,Tim?認為鎖定在橋上的資金(當前鎖定資金量超 4000 萬美元)當前沒有風險。

Nomad 將于下周發布跨鏈橋重啟更新:9月17日消息,跨鏈互操作性協議 Nomad 發推表示,下周將發布跨鏈橋重啟更新。[2022/9/17 7:02:45]

而從 Tim 披露的鏈上事務記錄可以看出,該事件實際發生于 25 天之前的 10 月 29 日,也就是說,在 10 月 29 日后,Optics 一直處于修復模式之中,但 cLabs 團隊直到 11 月 22 日才向社區公開披露了事態情況。

最值得注意的是,除了解釋多簽權限被替換的技術原理之外,Tim 還提到了一位已被 cLabs 開除的前高級開發者?James Prestwich。Tim 聲稱,修復模式被激活就發生在?James 因行為不當而被解雇后的 15 分鐘,且在?Optics 的部署過程中,James 曾為配置創建過一個包括修復地址的 pull request,且曾請求確認過這個地址并要求報銷費用。Tim 還表示,自從發現問題后,cLabs 曾想盡了一切辦法與?James?接洽以解決問題,但迄今并未成功。

跨鏈橋協議Stargate的TVL已經突破40億美元:4月5日消息,截至北京時間4月5日下午4時,基于LayerZero創建的跨鏈橋協議Stargate的鎖倉總額(TVL)已經突破了40億美元,為4,066,437,344美元。[2022/4/5 14:04:59]

不過,對于 Tim 的“指控”,James 本人卻回應稱:“我從來都不是?Optics?修復模式的密鑰持有者;我很失望 cLabs 和 Celo 選擇將他們的欺凌公開化,他們正通過撒謊來攻擊我的聲譽;根據律師的建議,我現在什么都不會說。”

顯然,Tim 與 James 的說法存在矛盾,如果二人都沒有說謊,那么究竟是誰激活了修復模式呢?

在事件發生之后,社區之內也通過鏈上記錄展開了調查,社區成員 @diwu1989?指出,在激活修復模式的最后一筆交易(交易哈希:0x8b1e0ca5f32c08e0afe64f0ab42204e3519712fe3bba0eeedeece56ccbf49461)中,修復管理地址從「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」,而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」創建(創建交易哈希:0xd224025870298fea9877880b89b24ed0569c41d3dd147e6afec5ac41da4d098e),所以問題的關鍵就是要找到 0x2f 開頭地址的所屬。

StarkNet跨鏈橋Stark Gate Alpha已在測試網上線:4月4日消息,StarkNet橋的第一個版本Stark Gate Alpha已在Goerli測試網上線。上線主網后,Stark Gate Alpha最初將僅支持ETH以允許使用費用機制,此后將添加對WBTC、USDC、USDT和DAI的支持。據悉,Stark Gate充當以太坊和Stark Net之間的網關,并允許用戶進行跨鏈資產轉賬。[2022/4/4 14:03:24]

另一位社區成員 @Ryan 沿著這一思路繼續調查發現,該地址與另一家項目 PartyDAO 存在關聯,因其是當前少數持有 PARTY 代幣的地址之一,如果可以聯系到該項目,或可知曉其身份。

社區成員 @Deepcryptodive 也指出,?0x2f 開頭地址的資金來自于?0x2a98 開頭的?Kucoin 地址,通過 Kucoin 的 KYC 系統,應該也可查出此人的身份。

在多人的共同調查之下,真相最終水落石出,由去中心化內容平臺 Mirror 的地址備注中可知,0x2f 開頭地址的資金歸屬于一名叫做 Anna 的人,那么 Anna 會是激活了修復模式的那個人嗎?

Cosmos跨鏈橋Gravity Bridge已啟動,明年初將遷移至Cosmos Hub:12月16日消息,負責管理Cosmos(ATOM)生態系統的瑞士非營利組織Interchain Foundation周三宣布啟動由去中心化互聯網服務提供商Althea構建的跨鏈橋Gravity Bridge。

Gravity Bridge允許在以太坊和Cosmos區塊鏈之間轉移ERC-20代幣。在最初階段,Gravity Bridge將作為一個獨立的鏈運行,然后在明年初遷移至Cosmos Hub。其關鍵技術特征包括跨兩個鏈的可互換代幣發行,以及對以太坊到Cosmos預言機的支持。(Cointelegraph)[2021/12/16 7:43:34]

答案似乎是肯定的,社區用戶從 Github 記錄上查到,正是在 26 天之前,一名頭像和姓名(Anna)都相同的社區開發者,在 Github 上報告了一個關于?Optics 修復模式時間鎖的漏洞,為了補上漏洞,需要激活修復模式并更換為一個更加安全的多簽地址。此外,從歷史提交代碼上看,Anna 也的確參與了?PartyDAO 的開發工作。

DCTDAO構建Polygon和Avalanche間跨鏈橋,連接代幣和NFT:9月20日消息,DCTDAO工程師團隊正在Polygon和Avalanche之間建立跨鏈橋,以連接代幣和NFT,使兩個鏈的項目能夠利用彼此的生態系統和技術優勢。此外,不久之后DCTDEX用戶也將能夠在Polygon區塊鏈上交換DCTEX上新的潛在流動性。此次安排進一步促進Polygon、Avalanche和DCTDAO項目之間交叉合作的可能性。

DCTDAO是第一個Gas-less Quantum Proof跨鏈DEX的創建者,該DEX運行在 DCore、Polkadot 、Moonbeam和Avalanche 上,更名為DCTDEX。在當前版本中,DCTDAO已經有一個從以太坊到Avalanche的可操作跨鏈橋,橋費僅為2美元。[2021/9/20 23:37:35]

至此,真相基本水落石出,鏈上地址對的上,報告中提及的漏洞與解決方案與此次事件也相吻合,所以基本可以判斷正是 Anna 激活了?Optics 的修復模式,修復管理賬戶大概率也在 Anna 的控制之下。

不過,雖然事態脈絡已然厘清,但部分社區成員對于 CELO 以及?cLabs 在此事中的處理方式卻很不滿意。作為 Celo 的開發團隊,cLabs 理應比任何外部調查者都更清楚事情的來龍去脈,但在 Tim 的聲明中卻并沒有給出一個清晰的解釋,反而是做了一些毫無根據的猜測,將矛頭引向一個已被解雇的開發者 James。

除此之外,另一些社區成員也對 Tim 在聲明中提到的“橋上資金沒有風險”相當不滿,因為單從 Tim 的描述推斷,合約當前的控制權顯然并不在?cLabs 或其他已知社區成員的掌握之中,所以單方面聲稱“資金沒有風險”是極其不負責任的。

推特大 V?@Monet Supply 就此事總結了該團隊所范的三個錯誤:

沒人在應用上線前檢查已部署的合約;

遲遲 25 天沒有向社區做任何披露;

Tim 那則詭異的聲明(我們失去了合約控制權,但資金很安全……)。

Monet Supply 最后將這一切歸因于 Celo 內部管理的混亂,并表示自己將因此看跌 CELO。

昨日晚間,為了為了平息社區內的恐慌及不滿情緒,Celo 官方組織了一場 AMA 對話,并就此事在官方論壇再次發聲加以解釋。這一次,代表 cLabs 發聲的不再是首席執行官 Tim,而是換成了另外兩名開發者?Eric 和 Marek。

新的聲明披露了一些關鍵信息,包括將對?Optics 合約進行一定審計并向社區披露,以及通過發布?Optics V2 來遷移用戶資金。Marek 還提到:“我們肯定會從這次事件中吸取教訓,我們將繼續分析哪里出了問題,以及為什么會出問題。為此,我們計劃盡快發布一份完整的事件回顧報告。”

事已至此,雖然很多細節問題仍需等待 Marek 提到的報告發布后才可進一步明晰(比如 Anna 和 cLabs 之間為何看起來毫無溝通?修復管理賬戶是否還在 Anna 的控制之下?),但事態基本情況已大體明了。

整體來看,此次的“?Optics 安全事件”多少存在一定的“虛驚”成分,作為社區開發者,Anna 替換多簽的目的更像是在修復 bug 而非作惡,這也是為什么過去 25 天 Optics 沒有出現任何資金流失。不過,凡事也不能太過樂觀,在事件徹底收官之前,建議大家短期內盡量減少 Optics 的使用頻率,如有跨鏈需求,可盡量選擇同樣支持 Celo 生態的 Anyswap,或如神魚建議的那樣將橋接資產兌換為 CELO,再利用中心化交易所出入。

跨鏈賽道一直都是安全事故的高發領域,雖然暫時沒有造成任何資金損失,但此次事件所敲響的警示同樣不容忽視,希望 Celo?開發團隊以及其他項目方能夠以此為戒,改善內部管理秩序,提高透明度,帶給用戶更安全、更放心的跨鏈體驗。

原創文章,作者:Azuma。轉載/內容合作/尋求報道請聯系 report@odaily.com ;違規轉載法律必究。

Tags:CELOCELTICOPTWrapped CeloCELR價格STATICOptionRoom

火星幣
NFT:金色觀察丨數據不會說謊:58%游戲工作室采用區塊鏈技術 47%將NFT作為游戲資產

金色財經  區塊鏈11月15日訊  根據區塊鏈平臺Stratis首次對游戲行業進行了一項調查結果顯示,目前已經有58%的游戲工作室開始使用區塊鏈技術和NFT了.

1900/1/1 0:00:00
DYDX:關于新型“數字人民幣”詐騙的疑問后續

前不久,移動支付網就近日頻繁出現的數字人民幣詐騙案進行了分析(鏈接:所謂的新型“數字人民幣”詐騙,這里有幾個疑點!)并給出了幾個疑問,后續通過行業了解發現文章存在考慮不周的地方.

1900/1/1 0:00:00
AVI:Gavin Wood:如何面對區塊鏈技術批判者?

“經過幾年的以太坊,很明顯缺少什么。” 伍德在 Unfinished Live 中接受采訪時說。在推出以太坊的五年后,Gavin Wood 仍然堅信區塊鏈技術具有改變世界的力量.

1900/1/1 0:00:00
NFT:全系列之:NFT發行亂象及法律合規建議(下篇)

全系列之:NFT發行亂象及法律合規建議(上篇)三、NFT發行平臺存在的法律風險NFT發行存在知產產權侵權問題現在部分NFT發行平臺是將現有的一些藝術作品進行數字化,并且再鑄成NFT的形式.

1900/1/1 0:00:00
DEF:金色DeFi日報 | 1inch Network開啟DAO治理第 2 階段

DeFi數據 1.DeFi總市值:1534.23億美元DeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:49.

1900/1/1 0:00:00
IMI:年內TVL漲110倍 以太坊的“Layer2們”都怎么樣了?

去年到今年,Layer2當屬加密領域最熱門的話題之一,就2021年來說,它也仍然是最值得關注的一個趨勢.

1900/1/1 0:00:00
ads