Cosmos聯創：BNB Chain攻擊事件中黑客通過RangeProof偽造Merkle證明_COC

對于近日BSC跨鏈橋攻擊事件，Cosmos聯合創始人EthanBuchman在推特上表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。幣安的情況是攻擊者能夠證明某些數據在樹中，但它實際上不在樹中。Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。一個證明應該由一個葉節點和一系列內部節點組成，這些節點勾勒出樹中從葉到根的路徑，具有足夠的信息來計算樹的Merkle根哈希并驗證葉實際上是樹的一部分。因為這是一個二叉樹，所以每個內部節點都可以有一個左分支和右分支。但證明是通過跟蹤樹中的路徑，所以內部節點應該只包含其左分支或右分支哈希，另一個是根據證明中其他節點的哈希構造的。IAVLRangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。

慢霧CISO：注意暗網中出現針對macOS大規模攻擊的軟件macOS-HVNC:8月3日消息，據慢霧首席信息安全官23pds發推稱，慢霧注意到最近暗網出現針對macOS大規模攻擊的軟件macOS-HVNC，Mac電腦和設備因其安全性和可用性比較好而被加密貨幣個人和中小企業廣泛使用。

macOSHVNC特性包括：隱藏操作，HVNC被設計為以隱身模式運行，使個人和中小企業難以檢測到其系統上的存在，這種隱藏的操作允許網絡犯罪分子在不引起懷疑的情況下保持訪問權限；維持權限，HVNC通常包括確保即使在系統重新啟動或嘗試將其刪除后仍保持活動狀態的機制；數據盜竊，HVNC的主要目的是從個人、員工的計算機中竊取敏感信息，例如登錄憑據、個人數據、虛擬資產、財務信息或其他有價值的數據；遠程控制：HVNC允許網絡犯罪分子遠程控制計算機，使他們能夠完全訪問系統。盡管Mac歷來較少成為網絡犯罪分子的目標，但攻擊者現在正在開發更多的macOS惡意軟件，注意風險。[2023/8/3 16:15:19]

Buchman表示，雖然使用RangeProof不是一個好主意，但有一個方式或可以解決這個問題，即當任何內部節點同時填充了左右字段時，則預先拒絕證明。雖然RangeProof是核心Cosmos存儲庫(IAVL)的一部分，但它實際上并未用于Cosmos堆棧中的區塊鏈協議。IAVL樹本身被所有Cosmos-SDK鏈使用，但RangeProof不是。對于IBC中的Merkle證明，IBC沒有使用IAVL樹的內置RangeProof系統，而是使用ICS23標準從IAVL樹生成和驗證Merkle證明，ICS23代碼沒有這個漏洞，它可明確“拒絕”范圍證明。

游戲公鏈Cocos-BCX在Gate.io第十七期投票上幣活動中勝出:據官方消息，Cocos-BCX最終以41,748,550的支持票數成為登陸Gate.io平臺第17期的投票上幣PK項目。目前Gate.io交易平臺已開放COCOS充值服務，并將于8月18日開通COCOS/USDT交易服務。Cocos-BCX作為下一代游戲數字經濟平臺以非售賣的形式發放了超過120萬張ChinaJoy Plus NFT門票。目前COCOS已經登陸Binance、MXC、虎符等交易所。截至發稿，COCOS已單日上漲超14%。[2020/8/18]

據悉，Cosmos舊版本存在RangeProof相關漏洞，目前Cosmos鏈經過多次迭代更新，根據Buchman的說法，雖然幣安是Cosmos軟件的最大用戶，但其不關注Cosmos進展，所以導致此次攻擊事件。

Cocos-BCX Token 回購啟動公告:2020年4月3日，Cocos-BCX 遭遇盜取 Token，項目基金會在確認事態后，經過緊急商討，并確定采取最終措施。經過近一個月的運作和準備，已完成除回購外的所有工作，現針對被盜取的1,087,522,819.2個COCOS，正式開啟交易所回購。回購進度預計從2020年4月30日起每日于官方公眾號和社區公示[2020/4/29]

Tags：COSCOCCOCOOSMOCosmo Coin原油幣cocEncocoinplusosmo幣簡介

以太坊價格今日行情