对于近日BSC跨链桥攻击事件,Cosmos联合创始人EthanBuchman在推特上表示,此次事件问题的关键在于黑客能够伪造Merkle证明。这本不应该,因为Merkle证明应该提供高完整性。区块链轻客户端建立在Merkle证明之上,许多区块链将数据存储在Merkle树中,这样就可以生成证明,证明某些数据包含在树中。币安的情况是攻击者能够证明某些数据在树中,但它实际上不在树中。Cosmos链使用一种称为IAVL的Merkle树,IAVL存储库公开了一个使用范围证明“RangeProof”的API,但事实证明RangeProof的内部工作存在严重错误。一个证明应该由一个叶节点和一系列内部节点组成,这些节点勾勒出树中从叶到根的路径,具有足够的信息来计算树的Merkle根哈希并验证叶实际上是树的一部分。因为这是一个二叉树,所以每个内部节点都可以有一个左分支和右分支。但证明是通过跟踪树中的路径,所以内部节点应该只包含其左分支或右分支哈希,另一个是根据证明中其他节点的哈希构造的。IAVLRangeProof的代码问题在于其允许填充InnerNode中的Left和Right字段,攻击者基本上利用了将信息粘贴到Right字段中的优势,这些信息从未得到验证,也从未影响哈希计算,以使验证者相信某些叶节点是树的一部分。因此,他们成功地伪造了Merkle证明。
Cosmos启动Interchain Hackathon:4月26日消息,Cosmos 启动 Interchain Hackathon,已开放注册和项目提交。本次黑客松旨在推动此前完成测试的 ICS-721 格式跨链 NFT 的应用。本次黑客松获奖者将有机会获得由 Cosmos Hub、IRISnet、Stargaze、Uptick、OmniFlix 提供的代币奖励。此外,参赛者还有机会申请价值最高 5000 美元的 AWS Activate 积分。[2023/4/26 14:28:09]
Buchman表示,虽然使用RangeProof不是一个好主意,但有一个方式或可以解决这个问题,即当任何内部节点同时填充了左右字段时,则预先拒绝证明。虽然RangeProof是核心Cosmos存储库(IAVL)的一部分,但它实际上并未用于Cosmos堆栈中的区块链协议。IAVL树本身被所有Cosmos-SDK链使用,但RangeProof不是。对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,ICS23代码没有这个漏洞,它可明确“拒绝”范围证明。
Cosmos上IBC DeFi协议Gravity DEX已完成部署:据官方消息。7月13日,Cosmos上IBCDeFi协议GravityDEX宣布已完成部署,后续将上线GravityBridge以连接以太坊和其他EVM兼容链。GravityDEX是为CosmosHub创建的链间去中心化交易所,并将CosmosHub确立为链间中心,允许交易任何连接链的代币。[2021/7/13 0:47:15]
据悉,Cosmos旧版本存在RangeProof相关漏洞,目前Cosmos链经过多次迭代更新,根据Buchman的说法,虽然币安是Cosmos软件的最大用户,但其不关注Cosmos进展,所以导致此次攻击事件。
公告 | 由于Cosmos网络升级 Bitfinex已暂停ATOM充提业务:Bitfinex官方刚刚发布消息称,由于Cosmos正在进行网络升级,Bitfinex已暂停ATOM充提业务,待Cosmos网络稳定后再重新开放,且暂停充提不会影响ATOM交易。[2019/9/25]
据CoinDesk报道,64名Celsius的托管账户持有人向破产法庭提出申请,要求Celsius在诉讼程序之外将他们的资金退回.
据官方公告,Polygon宣布PolygonzkEVM公共测试网已上线,这是第一个使用开源ZK证明系统进入公共测试网的zkEVM.
据TheBlock报道,美国商品期货交易委员会主席RostinBehnam在DC金融科技周上发表讲话,期间他谈到了CFTC最近在加密领域获得更多监管权力的闪电战.
据Cointelegraph报道,在公链Aptos早期投资者ShariGlazer对AptosLabs首席执行官MoShaikh发起的10亿美元股权欺诈的诉讼中.
据Cointelegragh消息,在9月5日提交给美国破产法院的一份文件中,律师事务所Kirkland&EllisLLP代表Celsius联合创始人DanielLeon提交了一份声明.
DeFi借贷协议CreamFinance在回应BNBChain上流动性危机事件中声称,此次事件是由于Cream协议在2021年7月启动的BoostedSaving计划所致.