日前Stargate跨鏈橋的底層協議LayerZero更新了默認的交易驗證合約,經Cobo區塊鏈安全團隊分析,此次更新修復了之前版本中存在的嚴重漏洞,該漏洞可能導致所有依托LayerZero構建的跨鏈項目的資產受到影響。StargateFinance是近日最受人矚目的跨鏈橋項目,截至發文時TVL已超過35億美金。Stargate跨鏈橋底層基于LayerZero實現跨鏈消息傳遞。LayerZero完成跨鏈消息傳遞的基本原理是:Oracle會將源鏈上的blockhash和blockreceiptsRoot提交到目標鏈上Relayer會將源鏈上跨鏈消息所在交易的receipt以及該receipt與blockreceiptsRoot的路徑關係提交到目標鏈上,此時目標鏈上的交易驗證合約會基于EthereumMPT的依賴關係,對Relayer所提交的receipt和Oracle所提交的receiptsRoot的對應關係進行驗證如果驗證通過,該receipt被認為是合法的receipt,并向上層協議轉發,觸發后續的跨鏈資產操作LayerZero3月28日在未發表任何公告的情況下更新了跨鏈使用的驗證合約。Cobo安全團隊通過對比原始驗證合約和新驗證合約代碼,發現本次更新是對之前重大安全漏洞的修復。補丁核心代碼如下:
Cobo Custody宣布與TZ APAC達成戰略合作:據官方消息,Cobo Custody正式宣布與TZ APAC達成深度戰略合作,TZ APAC是公鏈咨詢公司,為Tezos生態系統提供支持。此次強強聯合,雙方將在全球區塊鏈企業市場共同拓展Tezos生態,Cobo Custody所有客戶均可零門檻對接Tezos,無需額外開發。
Cobo Custody是企業級數字資產錢包開發及托管服務平臺,以最高安全級的HSM加密機、多簽及冷溫熱分離存儲為安全保障基礎,服務于交易所、錢包、資管平臺等全球機構客戶。
Tezos是開放源代碼的去中心化平臺,提供資產、應用程序的區塊鏈及生態系統,具有良好記錄,可自我升級,無縫采用未來的創新技術,由驗證者、研究人員、開發人員和建造者等全球參與者共同支持。
TZ APAC由Tezos基金會支持,通過自下而上的方法與Tezos生態系統中的區塊鏈專家和其他利益相關者緊密合作,為企業和創建者設計了增值的區塊鏈轉型策略。[2021/5/17 22:09:50]
Cobra:本輪牛市比特幣價格峰值或在3萬美元左右:7月28日晚間,Bitcoin.org網站共同所有者Cobra發推稱,如果比特幣推動新的牛市,我們有責任不鼓勵人們在非常高的價格買入。這一次價格峰值可能在3萬美元左右,然后價格將回落到1.5萬美元左右。Cobra提醒稱,永遠不要在峰值買入,除非你打算持有很多年。[2020/7/29]
原始漏洞代碼在進行MPT驗證時,通過外部傳入的pointer來獲取下一層計算所用到的hashRoot。這裡使用solidity底層add,mload等匯編指令從proofBytes中獲取hashRoot,由于沒有限制pointer在proofBytes長度內,因此攻擊者可以通過傳入越界的pointer,使合約讀取到proofBytes以外的數據作為下一層的hashRoot。這樣就存在偽造hashRoot的可能,進一步導致偽造的交易receipt可以通過MPT驗證。最終可造成的后果是,在Oracle完全可信的前提下,Relayer仍可以單方面通過偽造receipt數據的方式來實現對跨鏈協議的攻擊,打破了LayerZero之前的安全假設。目前LayerZero協議的Oracle是一個類似多簽的合約,三位admin中的兩位提交相同的數據后,會被認為數據是有效的。但是Relayer是單簽EOA控制,任何一個Relayer都可以提交攻擊數據,完成所有的攻擊流程。補丁后的代碼使用傳入的path并使用safeGetItemByIndex函數獲取MPT下一層的hashRoot,保證了hashRoot存在于當前的proofBytes中,從而可以使MPT驗證正確的進行下去。此次爆出漏洞的代碼是LayerZero協議中最核心的MPT交易驗證部分的代碼,是整個LayerZero及上層協議正常運作的基石。雖然LayerZero項目方已經修復了目前明顯的漏洞,但是不排除還存在其他被攻擊漏洞的可能性。此外,LayerZero項目的關鍵合約目前大都還被EOA控制,沒有採用多簽機制或者時間鎖機制。如果這些特權EOA的私鑰一旦泄漏,也可能會導致所有上層協議的資產受到影響。在此,Cobo區塊鏈安全團隊提醒投資者注意新項目的風險,同時呼吁LayerZero項目方在對合約代碼進行深度審計的同時,也盡快將目前EOA控制的特權轉移給多籤或者時間鎖合約,減少攻擊風險敞口。Reference:https://eth.wiki/fundamentals/patricia-treehttps://etherscan.io/tx/0xf4f0495bfed37d4d95b3342ead0962433c7973f240b9b0739faa91e6ccac9d40https://www.diffchecker.com/RJdDTCx7
Cobo錢包車向陽:數字資產錢包是重要的基礎建設:在XBIT算力存證舉辦的行業人物專訪中,Cobo錢包運營負責人車向陽為用戶普及了數字資產錢包的概念和種類,并表示數字資產錢包是重要的基礎建設,最主要的路徑貼合金融屬性,也貼合數字資產的交易屬性,未來一定是風口。在專訪中,車向陽詳細介紹Cobo錢包的優勢,以及Cobo錢包如何有效保護用戶資產安全。
XBIT現已開啟猜幣價贏比特幣活動,本次活動共有五十家企業參與,百位大咖助力,百家媒體支持。[2020/4/10]
聲音 | Cobra:若Calvin Ayre破壞了ABC鏈 BCH SV是真正的BCH:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra發推文稱,若Calvin Ayre破壞了ABC鏈,比特幣現金SV是真正的比特幣現金。他稱:“稱他們為BCH ABC和BCH SV。若Calvin Ayre破壞了ABC鏈,我們應該能夠明確地聲明,BCH SV就是真正的BCH。比特幣可能有兩種版本,一種遵循最初的路線圖,另一種不遵循。”此前消息,11月4日,眼鏡蛇Cobra發推文表示,支持BCH社區的Craig Wright / Coingeek派系,并將運行比特幣SV。[2018/11/5]
從ElonMusk推動Dogecoin的崛起,到Web3創新和NFT,再到比特幣和其他加密代幣的劇烈波動,對于加密貨幣世界來說,這是一個瘋狂的12個月.
1900/1/1 0:00:00內容來源:《UnchainedPodcast》Ep.335內容整理:0x137,律動BlockBeats從1月27日開始,被標記為Luna基金會的地址里比特幣持倉量不斷增加.
1900/1/1 0:00:00受訪者:HaseebQureshi編譯:胡韜,鏈捕手 近日,加密視頻播客UpOnly的主持人Cobie&Ledger采訪了DragonflyCapital合伙人HaseebQureshi.
1900/1/1 0:00:00有朋友來問我關于UST會不會像USDN一樣脫錨,Luna暴跌。今天又在社群進行了廣泛的討論,沒達成共識。我記錄些思考的碰撞,供大家參考.
1900/1/1 0:00:00Feb.2022,GraceDateSource:FootprintAnalyticsAnchorDashboard2022年2月10日.
1900/1/1 0:00:00頭條 周杰倫持有的BAYC#3738被盜周杰倫在Instagram上發文確認,此前由黃立成贈予的BAYC#3738NFT已被盜.
1900/1/1 0:00:00