区块见闻 区块见闻
Ctrl+D收藏区块见闻

CHA:跨链桥多签权限被替换,Celo到底发生了什么?_Thinkium

作者:

时间:

北京时间11月23日晚,鱼池F2Pool创始人神鱼于微博转发安全组织Rugdoc的风险提示称:“有在Celo链上挖矿的请注意,跨链桥的多签被人换了,疑似有问题,降低风险的办法是把Celo链上的其他资产卖成Celo,目前卖的人还不多,亏几个点。大家自行判断风险,是一还是止损,全凭实力,胆子大的还可以套利。”

作为Celo官方牵头构建的跨链桥协议,Optics是当前资金从外部生态流入Celo的主要渠道,该桥出现问题,无疑会对整个Celo生态的资金流通造成影响。因此,在Optics的问题被爆出之后,恐慌情绪也开始在社区之内弥漫。

DeFi平台Grizzly.fi在社区启动仪式上筹集2600万美元:金色财经报道,DeFi加密平台Grizzly.fi在社区博览会启动仪式上,已经募集了2600万美元。该公司采用的创新发布策略吸引了许多知名的DeFi投资者。Grizzly.fi平台经过18个月的开发、规划和建立伙伴关系后正式上线。此外,Grizzly.fi在2021年9月宣布与瑞士加密谷协会合作。Grizzly.fi团队将继续建立他们的生态系统,以加速DeFi的大规模采用,并改善他们的产品供应。(prnewswire)[2022/8/9 12:10:51]

根据来自Celo背后开发团队cLabs的首席执行官TimMoreton的事件解释声明,多签权限被替换是因为有人单方面激活了GovernanceRouter合约上的Optics修复模式,虽然桥梁服务一切正常,但这一操作导致Optics协议被修复管理账户完全控制,原本的多签权限也被覆盖。不过,Tim认为锁定在桥上的资金当前没有风险。而从Tim披露的链上事务记录可以看出,该事件实际发生于25天之前的10月29日,也就是说,在10月29日后,Optics一直处于修复模式之中,但cLabs团队直到11月22日才向社区公开披露了事态情况。

ConsenSys Mesh选择Codefi Staking运营其在以太坊上的验证器:据官方消息,ConsenSys Mesh选择了ConsenSys的机构级质押服务Codefi Staking来运营其在以太坊上的验证器。

ConsenSys于2020年12月推出Codefi Staking,作为一个面向交易所、托管方、基金、钱包和其他机构的以太坊质押即服务平台。Codefi Staking有助于消除质押ETH的技术和操作风险,帮助机构实现回报最大化。如今,Codefi Staking运行着超过8000个以太坊验证器节点,拥有99.95%的正常运行时间记录。

Codefi Staking将在其多区域、多云和多客户端平台上分发MESH的验证器。在与Codefi Staking合作时,MESH将保留对其ETH的托管和控制权。[2022/6/1 3:56:48]

DeFi协议dForce上线质押功能,并提供自由质押和锁定质押两种模式:3月25日消息,DeFi 协议 dForce 宣布上线协议 Token DF 质押功能,并提供自由质押和锁定质押两种质押模式。用户可根据需要选择 DF 锁定方式,以获取不同的收益率。

此前报道,dForce 是一个去中心化借贷协议,允许用户通过超额抵押的方式生成不同的 Stablecoin 贷款。[2022/3/25 14:18:24]

最值得注意的是,除了解释多签权限被替换的技术原理之外,Tim还提到了一位已被cLabs开除的前高级开发者JamesPrestwich。Tim声称,修复模式被激活就发生在James因行为不当而被解雇后的15分钟,且在Optics的部署过程中,James曾为配置创建过一个包括修复地址的pullrequest,且曾请求确认过这个地址并要求报销费用。Tim还表示,自从发现问题后,cLabs曾想尽了一切办法与James接洽以解决问题,但迄今并未成功。

Aave创始人:所有DeFi协议都应努力实现交叉可组合性:Aave创始人Stani Kulechov在推特上表示,最近与yearn.finance的合作对DeFi来说是一个积极信号。 所有DeFi协议都应努力实现交叉可组合性。从今年年初到现在,Aave一直在与Andre Cronje合作,我们取得了积极的网络效应。[2020/11/30 22:33:06]

不过,对于Tim的“指控”,James本人却回应称:“我从来都不是Optics修复模式的密钥持有者;我很失望cLabs和Celo选择将他们的欺凌公开化,他们正通过撒谎来攻击我的声誉;根据律师的建议,我现在什么都不会说。”显然,Tim与James的说法存在矛盾,如果二人都没有说谎,那么究竟是谁激活了修复模式呢?在事件发生之后,社区之内也通过链上记录展开了调查,社区成员@diwu1989指出,在激活修复模式的最后一笔交易中,修复管理地址从「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」,而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」创建,所以问题的关键就是要找到0x2f开头地址的所属。

当前DeFi中锁定资产总价值达26.69亿美元:金色财经报道,据DeBank数据显示,DeFi中锁定资产总价值达26.69亿美元,Compound以6.95亿美元排在首位、Maker锁定资产总价值6.27亿美元、Synthetix锁定资产总价值为4.72亿美元。

注:总锁仓量(TVL)是衡量一个DeFi项目使用规模时最重要的指标,通过计算所有锁定在该项目智能合约中的ETH及各类ERC-20代币的总价值(美元)之和而得到。[2020/7/17]

另一位社区成员@Ryan沿着这一思路继续调查发现,该地址与另一家项目PartyDAO存在关联,因其是当前少数持有PARTY代币的地址之一,如果可以联系到该项目,或可知晓其身份。社区成员@Deepcryptodive也指出,0x2f开头地址的资金来自于0x2a98开头的Kucoin地址,通过Kucoin的KYC系统,应该也可查出此人的身份。在多人的共同调查之下,真相最终水落石出,由去中心化内容平台Mirror的地址备注中可知,0x2f开头地址的资金归属于一名叫做Anna的人,那么Anna会是激活了修复模式的那个人吗?

答案似乎是肯定的,社区用户从Github记录上查到,正是在26天之前,一名头像和姓名都相同的社区开发者,在Github上报告了一个关于Optics修复模式时间锁的漏洞,为了补上漏洞,需要激活修复模式并更换为一个更加安全的多签地址。此外,从历史提交代码上看,Anna也的确参与了PartyDAO的开发工作。

至此,真相基本水落石出,链上地址对的上,报告中提及的漏洞与解决方案与此次事件也相吻合,所以基本可以判断正是Anna激活了Optics的修复模式,修复管理账户大概率也在Anna的控制之下。不过,虽然事态脉络已然厘清,但部分社区成员对于CELO以及cLabs在此事中的处理方式却很不满意。作为Celo的开发团队,cLabs理应比任何外部调查者都更清楚事情的来龙去脉,但在Tim的声明中却并没有给出一个清晰的解释,反而是做了一些毫无根据的猜测,将矛头引向一个已被解雇的开发者James。除此之外,另一些社区成员也对Tim在声明中提到的“桥上资金没有风险”相当不满,因为单从Tim的描述推断,合约当前的控制权显然并不在cLabs或其他已知社区成员的掌握之中,所以单方面声称“资金没有风险”是极其不负责任的。推特大V@MonetSupply就此事总结了该团队所范的三个错误:

没人在应用上线前检查已部署的合约;迟迟25天没有向社区做任何披露;Tim那则诡异的声明。MonetSupply最后将这一切归因于Celo内部管理的混乱,并表示自己将因此看跌CELO。昨日晚间,为了为了平息社区内的恐慌及不满情绪,Celo官方组织了一场AMA对话,并就此事在官方论坛再次发声加以解释。这一次,代表cLabs发声的不再是首席执行官Tim,而是换成了另外两名开发者Eric和Marek。新的声明披露了一些关键信息,包括将对Optics合约进行一定审计并向社区披露,以及通过发布OpticsV2来迁移用户资金。Marek还提到:“我们肯定会从这次事件中吸取教训,我们将继续分析哪里出了问题,以及为什么会出问题。为此,我们计划尽快发布一份完整的事件回顾报告。”事已至此,虽然很多细节问题仍需等待Marek提到的报告发布后才可进一步明晰,但事态基本情况已大体明了。整体来看,此次的“Optics安全事件”多少存在一定的“虚惊”成分,作为社区开发者,Anna替换多签的目的更像是在修复bug而非作恶,这也是为什么过去25天Optics没有出现任何资金流失。不过,凡事也不能太过乐观,在事件彻底收官之前,建议大家短期内尽量减少Optics的使用频率,如有跨链需求,可尽量选择同样支持Celo生态的Anyswap,或如神鱼建议的那样将桥接资产兑换为CELO,再利用中心化交易所出入。跨链赛道一直都是安全事故的高发领域,虽然暂时没有造成任何资金损失,但此次事件所敲响的警示同样不容忽视,希望Celo开发团队以及其他项目方能够以此为戒,改善内部管理秩序,提高透明度,带给用户更安全、更放心的跨链体验。

标签:DEFIAINCHAINKBearn Defi Protocolblockchain钱包进不去HanChainThinkium

币安交易所app下载热门资讯
PIT:ENS创始人:如何看待ENS的长期愿景和Web3.0故事?_VentiSwap

继2019年后,Web3.0这个概念再次被提及,并被迅速传播,就在几天前,互联网KOL潘乱主持了一场关于Web2.0与Web3.0的讨论,最高流量接近20万.

ETH:星球日报 | 数字人民币应用场景将拓展到“2F”;萨尔瓦多将建世界上第一个“比特币城”(11月22日)_EUM

头条 北京试点“证监会版”监管沙盒:数字人民币应用场景将拓展到“2F”北京证监局、北京市地方金融监督管理局公布近日公布首批拟纳入资本市场金融科技创新试点的16个项目名单.

NER:走进Diviner Protocol元宇宙:用游戏化体验开拓「pridict to earn」新预测市场_Allocate Dividend

DivinerProtocol试图将当下火热的元宇宙、GameFi、Playtoearn等元素与预测市场融合在一起,让用户感受「免费预测,预测赚钱」的新体验.

VIN:DeFi 2.0生态系统的改进:追求可持续流动性_INE

重点摘要:lLP通证和去中心化稳定币是DeFi生态中的第一代“货币乐高”,它们也为新一轮的DeFi创新奠定了基础.

HTT:Gitcoin 12期捐赠活动已开启,这些项目值得重点关注_TPS

开源软件资助平台Gitcoin于12月1日至12月16日期间,启动第12轮捐赠活动。此次捐赠活动将支持Polygon网络作为支付渠道。GR12Hackathon活动将与此次捐赠活动一起举办.

TPS:服装奢侈品牌NFT需求剧增,元宇宙或为转型提供机遇_元宇宙专业国内开设的大学

近些日子,元宇宙相关的话题非常的火热。元宇宙被誉为是下一代互联网。许多科技公司都因为元宇宙未来的巨大潜力而纷纷布局元宇宙相关业务.