今晨,Cosmos團隊表示在CosmosSDK發現嚴重安全漏洞。PeckShield安全人員分析發現,原本Cosmos抵押之后需要等待21天才能贖回,但合約代碼里Validator狀態變化時存在一種邏輯缺陷,使得用戶可以減少21天固定贖回時間,從而提前贖回抵押的數字資產,進而破壞原本的POS共識可更短周期使用資金進行重復抵押賺取利息。
Cosmos是最新上線的基于Tendermint共識的區塊鏈網絡,提出IBC通迅協議,用于解決資產跨鏈的問題,其核心主鏈被稱為CosmosHub,號稱『萬鏈之王』。其上的平臺代幣為Atom,用戶通過驗證者投票參與服務治理與維護,同時接收系統激勵,史稱『Staking模式』,為2019年區塊鏈明星項目之一。
CosmosHub是基于Tendermint,它依靠一組驗證者來保護網絡,等同于Bitcoin、Ethereum等PoW網絡中的礦工角色;
Cosmos Hub將于3月15日進行V9 Lambda升級,將激活Replicated Security功能:3月8日消息,Cosmos Hub發推稱,v9 Lambda升級提案已經投票通過,支持率達99.48%。V9 Lambda升級將于3月15日進行。
根據該提案,本次升級旨在激活Replicated Security功能,這將強制執行鏈間安全性(ICS)的良好運行規則。Replicated Security功能可將Cosmos Hub的安全性復制到消費者鏈,并監控對規則的遵守情況,消費者鏈可以從Cosmos Hub的安全性中受益,而不必維護自己的驗證者。[2023/3/8 12:49:01]
驗證者運行一個完整的Cosmos節點,并通過廣播包含由其私鑰簽署的加密投票參與共識,有一定的硬件投入成本;
推特網友發布電報群出現的Cosmos釣魚詐騙警告:推特網友Chjango Unchained發布關于Cosmos的釣魚詐騙警告稱,電報群里出現一個由Cosmos Admin(詐騙賬戶)創建的假Cosmos電報群。請不要發送ATOM。Cosmos相關人員不會向你要錢或者進行AMA/黑客馬拉松以外的贈予活動。Cosmos官方也轉發了本條推文。[2020/8/9]
驗證者需要抵押定額的Atom作為保證金,且系統只有股權最高的100個節點會成為驗證者;
驗證者在區塊鏈中打包交易提交新塊并獲得系統激勵,這是驗證者的收入,等同于挖礦收益;
另外,驗證者在參與治理方面,他們還必須對網絡中的提案進行投票,只有投票通過的提案才能發揮效應,投票權重根據每一位驗證者存放的總權益進行加權;
COCOS上線MXC抹茶,開盤最高漲幅49.27%:官方消息,今晚20時,COCOS/USDT、COCOS/BTC交易對上線MXC抹茶,其中COCOS/USDT交易對COCOS開盤價格為0.0002338 USDT,最高報價0.000349 USDT,最高漲幅49.27%,現報價0.00034 USDT。
公開資料顯示,Cocos BlockChain Expedition,簡稱“Cocos-BCX\",其目標是打造一個完整的多平臺游戲運行環境,即為區塊鏈游戲開發者提供開發過程中的便利性和完善性,同時也為區塊鏈游戲用戶帶來全新的游戲體驗和超越以往的游戲形態,所有在游戲內獲得的資產將完全屬于用戶。[2020/5/19]
安全穩定的驗證者會產生穩定的收益,有問題的節點導致您損失本金,例如驗證者節點掉線會損失0.01%本金。
動態 | Cosmos跨鏈協議IBC有望11月上線:IRISnet 聯合創始人奚海峰表示,Cosmos團隊計劃在今年11月黑客松活動前發布跨鏈協議 IBC 的 v1 版本,Cosmos Hub將首先與 IRIS Hub通過IBC協議實現互聯。(區塊律動)[2019/7/19]
由此可知,運行一個Validator角色的難度不低于開一個PoW礦池,普通用戶要想加入Cosmos主網,并獲取收益是個門檻比較高的事情。
由于普通用戶持幣但又不想參與驗證,那么其手中的Atom會面臨增發而貶值,但是直接參與Cosmos主網有一定的技術難度,因此出現了委托人Delegator角色。委托人是那些不能或不想自己運行驗證節點的Atom持有者,普通用戶可以將Atom委托給驗證人并獲得部分收入,例如星火礦池提供的委托服務。
用戶一旦贖回委托訂單,Cosmos將在贖回操作21天之后將委托抵押的Atom退回給委托人。
因此這21天為平臺固定的鎖倉時間,如果出現一種情況,Cosmos系統存在設計缺陷,導致委托人的贖回周期可變,這對平臺上的其它用戶來說,是不公平的,也破壞了Cosmos區塊鏈的共識機制。
在了解這個漏洞之前,我們先來看下Cosmos網絡之上的驗證者狀態變化圖:
其中,一共有三個狀態:
bonded
unbonded
unbonding
狀態之間的變化關系如下:
驗證者默認屬于unbonded狀態,當發起bondValidator之后,狀態變更為bonded,
變更這一狀態之后,驗證者開始接收系統收益;
而當驗證者發起beginUnbondingValidator以退出bonded狀態時,其狀態變更為unbonding,
同時系統不再給這一驗證者發送任何收益,同時這一驗證者的委托人可以發起贖回操作;
若委托人沒有發起贖回操作,那么處于unbonding狀態的驗證者可以重新bondValidator回到bonded狀態以接收系統收益;
處于unbonding狀態的驗證者,當用戶贖回時間21天到期之后,將進入到unbonded狀態,此時委托者接收到之前抵押的Atom及抵押期間的收益。
上面我們了解到驗證者在幫助抵押贖回方面的整體流程,表面上沒有什么問題,PeckShield安全人員在分析CosmosSDK代碼的時候,發現了這一贖回流程中的致命設計缺陷,可導致委托者利用驗證者unbonding狀態,突破21天鎖倉固定期而提前贖回。
我們先看舊版的贖回代碼:
其大體流程如下,獲取驗證者的unbonding完成時間和區塊高度;
將待贖回部分代幣根據鎖倉到期時間和區塊高度生成一個鎖幣贖回記錄;
將這一贖回記錄保存到隊列之中,等待時間到期之后,退還鎖幣資金給委托人。
細心的用戶發現了這里的問題,一圖以蓋之:
簡而言之,系統在計算鎖倉到期時間的時候,誤用Validator開始unbond狀態時間和Delegator贖回發起時間,使得Delegator可以使用這一時間差贈取差異:
Validator正常發起beginUnbondingValidator操作;
Delegator在Validator發起unbond操作之后7天時發起Undelgate贖回操作,理論上贖回時間為21天,但是這里計算的時候使用的是Validator發起unbond操作的時間,
因此,這一個Deletagor『免費』縮減了7天的贖回時間,再經過14天時間就可以收到鎖倉的資金。
此時,我們再來看修復之后的代碼:
此時,無論Delegator何時發起Undelgate操作,都會確保從操作發起時開始計算21天,而與驗證者無關。
Staking作為2019年新潮的區塊鏈方向,獲取了一定的矚目,無論你是Staking的項目方,還是參與Staking的驗證者及普通用戶,在資產面前,我們都應該保有敬畏之心。
今年年初,我寫過一篇文章叫《一篇文章讀懂2019》,現在因故被和諧。只是再讀時依然感慨萬千。當時寫的大部分會發生的事情都應驗了,剩下還沒有發生的就要等時候到了再驗證了.
1900/1/1 0:00:00親愛的社區用戶: 依據FMEX申購及配售實施計劃,現公布定向配售的細則如下:自2019年6月5日開始,每日16:00開放不超過1000萬FMEX額度的定向配售.
1900/1/1 0:00:00最近離職的Coinbase首席技術官巴拉吉S.斯里尼瓦桑在周六晚華盛頓特區舉行的一次Block.One活動上代表他的前雇主表示:“我們認為,很多人將通過購買或開采而不是通過免費獲取加密貨幣.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:005月31日,《平安區塊鏈白皮書》在北京發布。白皮書中認為,總的來看,區塊鏈作為一種新的計算機和網絡技術的融合應用模式,實現其性能、安全、隱私保護、治理和跨鏈互操作等方面技術的大規模商業部署,還是.
1900/1/1 0:00:00近日,美國司法部聯合其他政府機構一起抓獲了一些暗網非法物品供應商,沒收了武器,同時,也沒收了超過2000萬美元的比特幣.
1900/1/1 0:00:00