日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。
StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。
Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:
Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上
Cobo與法國加密團隊ShibaBeast達成合作:1月25日消息,今天神魚在Twitter上發布Cobo與ShibaBeast合作的專屬NFT, 隨后Cobo官方宣布與ShibaBeast 達成合作,據了解,本次合作是繼上次冷兔后的第二次Cobo四周年限量版NFT賦能,白名單份額限量300份,Cobo NFT Holder先到先得的活動形式。根據Cobo內部人員介紹,日后將對NFT賦能進行產品化,目前已經接洽多家NFT項目方。Cobo NFT Holder 社區由大量行業Builder、公鏈發起人、安全專家、頭部KOL、VC基金Founder等行業優質成員組成。
ShibaBeast,由法國加密團隊發起,目前已與Cobo、Club 721、MekaVerse、8SIAN、Cobo等多個NFT社區進行達成合作。[2022/1/25 9:11:39]
Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證
Cobra稱受到來自BSV社區的死亡威脅:Bitcoin.org網站共同所有者Cobra今日發推文稱:“我收到了來自BSV社區的死亡威脅。這個人不知怎么發現了我的一個業務號碼,給我打了電話,并明確表示,一旦他們發現了我的個人信息,就會‘直截了當地向我開槍’。”此前消息,Cobra曾發推呼吁就比特幣白皮書版權等與CSW進行法律辯護。[2021/2/1 18:34:16]
如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作
LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。
動態 | Cobo錢包與熊貓礦機達成戰略合作:Cobo錢包近期宣布與熊貓礦機達成戰略合作,雙方將在資產端配置、資源共享、市場拓展等多方面展開深度合作。
Cobo致力于打造一站式數字資產存儲和管理平臺,旨在為用戶提供安全、可靠的存儲與支付環境。目前公司旗下業務模塊包括支持Staking的數字資產錢包—Cobo錢包、面向機構的錢包開發及數字資產托管解決方案—Cobo托管、軍工級安全硬件數字錢包—Cobo金庫。[2019/12/13]
補丁核心代碼如下:
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。
聲音 | 眼鏡蛇Cobra:今年Ledger表現超越Trezor 加密貨幣領域的技術必須保持創新:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra發推表示,今年Ledger的表現完全超越Trezor,令人難以置信。Trezor過去占據主導地位,但Ledger最近絕對在扼殺它。他們籌集7500萬美元的巨額投資,設計更好的時尚產品,與Blockchain合作,新推出Nano X,非常注重UX等。Cobra指出,創新才能成功。Trezor因為沒有創新被拋在后面。同樣的事情也會發生在加密貨幣上。技術必須永遠進步,否則就會消亡。[2019/1/8]
目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。
補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。
此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。
在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。
Reference:
https://eth.wiki/fundamentals/patricia-tree
https://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40
https://www.diffchecker.com/RJdDTCx7
尊敬的唯客用戶您好! 唯客已完成本次臨時系統維護,已于2022年03月24日21:40恢復交易,現在可以進行交易對正常交易操作,感謝您的理解和支持.
1900/1/1 0:00:00尊敬的中幣用戶: ???DFIAT“持倉分享187,500DFIAT獎勵”活動已圓滿結束,活動獎勵已全部發放至獲獎用戶的賬戶中,您可登錄賬戶后在查詢DFIAT獎勵到賬情況.
1900/1/1 0:00:00本文來自Decrypt,原文作者:AndrewHaywardOdaily星球日報譯者|余順遂 摘要: PUBG游戲開發商Krafton將在Solana區塊鏈上開發游戲.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線COW,並開啟COW/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月29日18:00; COW Aztec宣布與Nym達成合作,雙方.
1900/1/1 0:00:00Mar.2022,VincyDataSource:FootprintAnalytics-GameFiDatabyChainGameFi的熱度在持續發酵著,涌現許多公鏈和游戲項目.
1900/1/1 0:00:00原文作者:EvanShapiro,Mina基金會首席執行官去年以來,趨勢表明零知識證明(ZKP)將在未來的加密貨幣和Web3中發揮重要的作用,以實現可擴展性和用戶許可的隱私性.
1900/1/1 0:00:00