日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。補丁核心代碼如下:
Cobo COO:香港虛擬資產業務牌照申請者中包括很多傳統金融企業:6月19日消息,Cobo首席運營官Lily Z King表示,截止到目前,香港只有兩家企業此前已經獲得虛擬資產交易所業務所需的牌照,包括9號牌在內,目前還有140家企業在申請。
Lily表示,從香港本地市場來看,申請牌照的目的并不是出于經濟回報,而是為了整體戰略布局。一個有意思的現象是,申請人中,除了證券交易所或代理機構,還有很多傳統金融企業想要跨界,其中也不乏一些內地企業的海外子公司,他們也想在香港做一些布局。香港開放Web3零售端的舉措,表現的是一種擁抱Web3整個業態的姿態,所以最終有多少機構申請、多少機構得到牌照并不重要,重要的是大家對香港態度的認可。[2023/6/19 21:47:00]
聲音 | 眼鏡蛇Cobra:今年Ledger表現超越Trezor 加密貨幣領域的技術必須保持創新:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra發推表示,今年Ledger的表現完全超越Trezor,令人難以置信。Trezor過去占據主導地位,但Ledger最近絕對在扼殺它。他們籌集7500萬美元的巨額投資,設計更好的時尚產品,與Blockchain合作,新推出Nano X,非常注重UX等。Cobra指出,創新才能成功。Trezor因為沒有創新被拋在后面。同樣的事情也會發生在加密貨幣上。技術必須永遠進步,否則就會消亡。[2019/1/8]
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。Reference:https://eth.wiki/fundamentals/patricia-treehttps://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40https://www.diffchecker.com/RJdDTCx7
聲音 | Cobra:若Calvin Ayre破壞了ABC鏈 BCH SV是真正的BCH:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra發推文稱,若Calvin Ayre破壞了ABC鏈,比特幣現金SV是真正的比特幣現金。他稱:“稱他們為BCH ABC和BCH SV。若Calvin Ayre破壞了ABC鏈,我們應該能夠明確地聲明,BCH SV就是真正的BCH。比特幣可能有兩種版本,一種遵循最初的路線圖,另一種不遵循。”此前消息,11月4日,眼鏡蛇Cobra發推文表示,支持BCH社區的Craig Wright / Coingeek派系,并將運行比特幣SV。[2018/11/5]
聲音 | Cobra:沒有人應該使用Roger Ver創造的東西:比特幣官方論壇Bitcoin.org持有人Cobra在其社交媒體轉發了reddit上一篇有關Roger Ver曾濫用管理權身份,勒索賬戶的帖子。Cobra評論稱,bitcoin.com錢包從谷歌游戲商店被刪除了,這真是個好消息。沒有人應該使用Roger Ver創造的東西。[2018/9/13]
Tags:LAYERCOBROOZERShinji the Zombie SlayerCOB價格$CROOGEGizer
經過多年的開發和等待,以太坊從工作量證明(PoW)到權益證明(PoS)的過渡已接近完成,預計最終將在2022年第二季度末或第三季度到來。合并將帶來許多廣泛的影響.
1900/1/1 0:00:00頭條 橋水基金計劃首次投資加密基金兩名知情人士表示,橋水基金計劃支持一家外部加密投資工具,目前無意直接投資加密資產.
1900/1/1 0:00:003月23日,無聊猿母公司YugaLabs以40億美元估值完成4.5億美元融資,a16z領投,AnimocaBrands、LionTree、SoundVentures、ThriveCapital、.
1900/1/1 0:00:00「每周編輯精選」是Odaily星球日報的一檔“功能性”欄目。星球日報在每周覆蓋大量即時資訊的基礎上,也會發布許多優質的深度分析內容,但它們也許會藏在信息流和熱點新聞中,與你擦肩而過.
1900/1/1 0:00:00March2022,SimonDataSource:FootprintAnalytics1inchDashboard1inch在時隔一年后的2021年12月又迎來了它的B輪融資.
1900/1/1 0:00:00Odaily星球日報譯者|Moni StargateFinance是建立在LayerZero基礎之上的新興跨鏈橋項目.
1900/1/1 0:00:00