跨鏈橋多簽權限被替換 Celo到底發生了什么？_CELO

北京時間11月23日晚，魚池F2Pool創始人神魚于微博轉發安全組織Rugdoc的風險提示稱：“有在Celo鏈上挖礦的請注意，跨鏈橋的多簽被人換了，疑似有問題，降低風險的辦法是把Celo鏈上的其他資產賣成Celo，目前賣的人還不多，虧幾個點。大家自行判斷風險，是賭一賭還是止損，全憑實力，膽子大的還可以套利。”

作為Celo官方牽頭構建的跨鏈橋協議，Optics是當前資金從外部生態流入Celo的主要渠道，該橋出現問題，無疑會對整個Celo生態的資金流通造成影響。因此，在Optics的問題被爆出之后，恐慌情緒也開始在社區之內彌漫。

根據來自Celo背后開發團隊cLabs的首席執行官TimMoreton的事件解釋聲明，多簽權限被替換是因為有人單方面激活了GovernanceRouter合約上的Optics修復模式，雖然橋梁服務一切正常，但這一操作導致Optics協議被修復管理賬戶完全控制，原本的多簽權限也被覆蓋。不過，Tim?認為鎖定在橋上的資金當前沒有風險。

Bitfinex支持將Terra Classic網絡交易銷毀稅增至0.5%:5月25日消息，據官方公告，在Terra社區批準提案11515后，Bitfinex將支持Terra Classic網絡上所有鏈上交易的新銷毀稅（Tax Burn）政策，將從之前的0.2%增加到0.5%。新銷毀稅預計在區塊高度12902400（大概UTC時間5月23日22:00）生效。

Bitfinex于UTC時間5月23日19:00左右暫停Bitfinex上LUNA Classic（LUNA）的充值和提現以及TerraUSD（TERRAUST）的提現，將在新銷毀稅執行并且網絡穩定后恢復。交易不會受到影響。[2023/5/25 10:39:17]

而從Tim披露的鏈上事務記錄可以看出，該事件實際發生于25天之前的10月29日，也就是說，在10月29日后，Optics一直處于修復模式之中，但cLabs團隊直到11月22日才向社區公開披露了事態情況。

a16z Crypto政策負責人：美SEC主席一直在監管方面“踢皮球”:金色財經報道，a16z Crypto 的政策負責人、前 CFTC 專員 Brian Quintenz 周五在2023共識大會中表示，美國證券交易委員會（SEC）主席 Gary Gensler 一直在監管方面“踢皮球”。他說：“我們已經看到SEC主席認為，除了比特幣之外，所有加密貨幣都在他的管轄范圍內，需要遵守他們的規則。一場地盤爭奪戰涉及兩方（SEC和CFTC），而現在，我認為球場上的一方正在跑到另一端并開始‘踢皮球’，CFTC 在這場爭奪戰中失去了位置”。

Quintenz 表示需要立法解決方案，他說：“如果沒有一個愿意接受該技術并制定適合該技術并以適當方式保護消費者的規則的監管機構，國會就必須介入”。[2023/4/29 14:34:17]

最值得注意的是，除了解釋多簽權限被替換的技術原理之外，Tim還提到了一位已被cLabs開除的前高級開發者?JamesPrestwich。Tim聲稱，修復模式被激活就發生在?James因行為不當而被解雇后的15分鐘，且在?Optics的部署過程中，James曾為配置創建過一個包括修復地址的pullrequest，且曾請求確認過這個地址并要求報銷費用。Tim還表示，自從發現問題后，cLabs曾想盡了一切辦法與?James?接洽以解決問題，但迄今并未成功。

谷歌CEO警告：不要在沒有監管的情況下倉促部署人工智能:4月17日消息，Alphabet和谷歌首席執行官Sundar Pichai在周日的一次采訪中表示，必須對推動采用人工智能技術的進程進行嚴格監管，以避免潛在的有害影響。當被問及是什么讓他在人工智能方面夜不能寐時，Pichai稱，是有關以一種有益的方式使它工作和部署它的緊迫性，以及對如果部署不當，它可能會非常有害的擔憂。Pichai稱，他們還沒有找到（如何用好AI技術的）所有的答案，但技術發展很快。盡管該行業存在緊迫感，但不要讓公司被競爭動態所席卷。

他以deepfake視頻為例，稱類似的可能造假說明了監管的必要性。他表示，人們會意識到，人工智能領域是一種如此不同、如此深刻的東西，我們需要社會法規來思考如何適應。[2023/4/17 14:08:01]

不過，對于Tim的“指控”，James本人卻回應稱：“我從來都不是?Optics?修復模式的密鑰持有者；我很失望cLabs和Celo選擇將他們的欺凌公開化，他們正通過撒謊來攻擊我的聲譽；根據律師的建議，我現在什么都不會說。”

Arthur Hayes地址以0.69 ETH買入Pepe Cheques-Notable Pepes NFT:金色財經報道，PeckShieldAlert監測數據顯示，標記為Arthur Hayes的地址在OpenSea平臺上以0.69 ETH（1,115美元）買入Pepe Cheques-Notable Pepes NFT。[2023/3/1 12:35:51]

顯然，Tim與James的說法存在矛盾，如果二人都沒有說謊，那么究竟是誰激活了修復模式呢？

在事件發生之后，社區之內也通過鏈上記錄展開了調查，社區成員@diwu1989?指出，在激活修復模式的最后一筆交易中，修復管理地址從「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」，而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」創建，所以問題的關鍵就是要找到0x2f開頭地址的所屬。

數據：以加密貨幣做為抵押品的主導地位峰值達到70%，創歷史新高:金色財經報道，據區塊鏈分析公司Glassnode披露數據顯示，以加密貨幣做為抵押品的主導地位峰值達到70%，達到了歷史最高，說明絕大多數新的未平倉合約都使用現金做為頭寸的保證金，也意味著在過去的18個月里，衍生品抵押品結構的健康狀況有了很大的改善，同時也說明市場對穩定幣抵押品的需求越來越大。比特幣市場目前處于歷史上的低波動期，鏈上和鏈下的許多指標都預示著未來可能會出現波動加劇。歷史上的熊市先例都是從這樣的市場結構中雙向突破的，在期貨市場的定價中幾乎沒有明顯的方向性偏差。通過評估期貨估計杠桿率，來比較所有主要交易所持有的比特幣儲備余額和未平倉約的相對規模。同樣可以觀察到，相對于交易所的比特幣余額，期貨未平倉合約有顯著增長，這明一個較低流動性環境正在發揮作用。[2022/10/20 16:30:46]

另一位社區成員@Ryan沿著這一思路繼續調查發現，該地址與另一家項目PartyDAO存在關聯，因其是當前少數持有PARTY代幣的地址之一，如果可以聯系到該項目，或可知曉其身份。

社區成員@Deepcryptodive也指出，?0x2f開頭地址的資金來自于?0x2a98開頭的?Kucoin地址，通過Kucoin的KYC系統，應該也可查出此人的身份。

在多人的共同調查之下，真相最終水落石出，由去中心化內容平臺Mirror的地址備注中可知，0x2f開頭地址的資金歸屬于一名叫做Anna的人，那么Anna會是激活了修復模式的那個人嗎？

答案似乎是肯定的，社區用戶從Github記錄上查到，正是在26天之前，一名頭像和姓名都相同的社區開發者，在Github上報告了一個關于?Optics修復模式時間鎖的漏洞，為了補上漏洞，需要激活修復模式并更換為一個更加安全的多簽地址。此外，從歷史提交代碼上看，Anna也的確參與了?PartyDAO的開發工作。

至此，真相基本水落石出，鏈上地址對的上，報告中提及的漏洞與解決方案與此次事件也相吻合，所以基本可以判斷正是Anna激活了?Optics的修復模式，修復管理賬戶大概率也在Anna的控制之下。

不過，雖然事態脈絡已然厘清，但部分社區成員對于CELO以及?cLabs在此事中的處理方式卻很不滿意。作為Celo的開發團隊，cLabs理應比任何外部調查者都更清楚事情的來龍去脈，但在Tim的聲明中卻并沒有給出一個清晰的解釋，反而是做了一些毫無根據的猜測，將矛頭引向一個已被解雇的開發者James。

除此之外，另一些社區成員也對Tim在聲明中提到的“橋上資金沒有風險”相當不滿，因為單從Tim的描述推斷，合約當前的控制權顯然并不在?cLabs或其他已知社區成員的掌握之中，所以單方面聲稱“資金沒有風險”是極其不負責任的。

推特大V?@MonetSupply就此事總結了該團隊所范的三個錯誤：

沒人在應用上線前檢查已部署的合約；

遲遲25天沒有向社區做任何披露；

Tim那則詭異的聲明。

MonetSupply最后將這一切歸因于Celo內部管理的混亂，并表示自己將因此看跌CELO。

昨日晚間，為了為了平息社區內的恐慌及不滿情緒，Celo官方組織了一場AMA對話，并就此事在官方論壇再次發聲加以解釋。這一次，代表cLabs發聲的不再是首席執行官Tim，而是換成了另外兩名開發者?Eric和Marek。

新的聲明披露了一些關鍵信息，包括將對?Optics合約進行一定審計并向社區披露，以及通過發布?OpticsV2來遷移用戶資金。Marek還提到：“我們肯定會從這次事件中吸取教訓，我們將繼續分析哪里出了問題，以及為什么會出問題。為此，我們計劃盡快發布一份完整的事件回顧報告。”

事已至此，雖然很多細節問題仍需等待Marek提到的報告發布后才可進一步明晰，但事態基本情況已大體明了。

整體來看，此次的“?Optics安全事件”多少存在一定的“虛驚”成分，作為社區開發者，Anna替換多簽的目的更像是在修復bug而非作惡，這也是為什么過去25天Optics沒有出現任何資金流失。不過，凡事也不能太過樂觀，在事件徹底收官之前，建議大家短期內盡量減少Optics的使用頻率，如有跨鏈需求，可盡量選擇同樣支持Celo生態的Anyswap，或如神魚建議的那樣將橋接資產兌換為CELO，再利用中心化交易所出入。

跨鏈賽道一直都是安全事故的高發領域，雖然暫時沒有造成任何資金損失，但此次事件所敲響的警示同樣不容忽視，希望Celo?開發團隊以及其他項目方能夠以此為戒，改善內部管理秩序，提高透明度，帶給用戶更安全、更放心的跨鏈體驗。

原創文章，作者：Azuma。轉載/內容合作/尋求報道請聯系report@odaily.com；違規轉載法律必究。

來源：金色財經

Tags：CELCELOTICOPTIcelsius幣官網WCELO價格NTIC價格OPTIG價格

歐易交易所app官網下載