在最近的分享中,Cosmos联合创始人Ethan Buchman表达了对BSC跨链桥攻击的看法,他表示,事件的症结在于黑客可以伪造Merkle证明。
在 Twitter 帖子中,Cosmos 联合创始人 Ethan Buchman 给出了对 100 亿美元资金的一些想法 计分卡黑客 10 月 Binance 币安网是 Cosmos 软件的最大用户。
根据伊桑·布赫曼的说法, 此次黑客攻击的关键在于黑客能够伪造 Merkle 证据。同时,这很困难,因为默克尔证明据说可以提供高度的完整性。
区块链(和 IBC)轻量级客户端构建在 Merkle 证明之上,许多区块链将数据存储在 Merkle 树中,以便可以生成某些数据包含在树中的证明。
Cosmos 链使用名为 IAVL 的 Merkle 树,IAVL 存储库揭示了一个使用“RangeProof”的 API,但事实证明 RangeProof 的内部工作原理是严重错误的。 IAVL RangeProof 代码的问题在于,它允许在 InnerNode 中填充 Left 和 Right 字段,攻击者基本上利用将信息粘贴到 Right 字段中的优势。
该信息永远不会被验证,也不会影响哈希计算,以使验证器相信某些叶节点是树的一部分。于是他们成功伪造了默克尔证明。
Buchman 表示,虽然使用 RangeProof 不是一个好主意,但可能有一种方法可以通过在任何内部节点同时填充 Left 和 Right 字段时预先拒绝证明来解决这个问题。
对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,并且ICS23代码不存在此漏洞,这明确“拒绝”RangeProof 。
最后,Cosmos 联合创始人介绍 新规格 它是根据 IBC 标准规定的更严格的流程开发的。该规范称为 ICS23。
它是默克尔证明的通用标准,支持多种类型的默克尔树,包括 IAVL 树。
“ICS23 遵循了更严格的设计流程,旨在最大限度地减少表面积,同时仍然具有通用性——这是一项艰巨的任务!作为其中的一部分,它明确“拒绝”范围证明。 ICS23 中没有范围证明”
他说
2022年,桥梁被盗问题相当普遍、复杂,危害极大。 3 年 2022 月 321 日,基于 Solana 的 Wormhole 跨链协议遭到黑客攻击,造成超过 29 亿美元的损失。 2022 年 600 月 24 日,Axie Infinity 的 Ronin Bridge 跨链桥遭受攻击造成的总损失超过 2022 亿美元。 100 年 2 月 600 日,Harmony 宣布对 Horizon Bridge 发起攻击,预计损失达 XNUMX 亿美元。或者最近的 XNUMX 月 XNUMX 日,Nomad Bridge 上的黑客攻击超过 XNUMX 亿。
BSC 上的黑客攻击金额相对于链上来说并不算多,但这也是一个警告,需要吸取很多教训来增加跨链的安全性。
免责声明:本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
网站: coincu.com
狡
硬币铜 新闻
作者
知识库
Cosmos联合创始人声称黑客在BSC跨链桥攻击中伪造了Merkle证明
在最近的分享中,Cosmos联合创始人Ethan Buchman表达了对BSC跨链桥攻击的看法,他表示,事件的症结在于黑客可以伪造Merkle证明。
在 Twitter 帖子中,Cosmos 联合创始人 Ethan Buchman 给出了对 100 亿美元资金的一些想法 计分卡黑客 10 月 Binance 币安网是 Cosmos 软件的最大用户。
根据伊桑·布赫曼的说法, 此次黑客攻击的关键在于黑客能够伪造 Merkle 证据。同时,这很困难,因为默克尔证明据说可以提供高度的完整性。
区块链(和 IBC)轻量级客户端构建在 Merkle 证明之上,许多区块链将数据存储在 Merkle 树中,以便可以生成某些数据包含在树中的证明。
Cosmos 链使用名为 IAVL 的 Merkle 树,IAVL 存储库揭示了一个使用“RangeProof”的 API,但事实证明 RangeProof 的内部工作原理是严重错误的。 IAVL RangeProof 代码的问题在于,它允许在 InnerNode 中填充 Left 和 Right 字段,攻击者基本上利用将信息粘贴到 Right 字段中的优势。
该信息永远不会被验证,也不会影响哈希计算,以使验证器相信某些叶节点是树的一部分。于是他们成功伪造了默克尔证明。
Buchman 表示,虽然使用 RangeProof 不是一个好主意,但可能有一种方法可以通过在任何内部节点同时填充 Left 和 Right 字段时预先拒绝证明来解决这个问题。
对于IBC中的Merkle证明,IBC没有使用IAVL树的内置RangeProof系统,而是使用ICS23标准从IAVL树生成和验证Merkle证明,并且ICS23代码不存在此漏洞,这明确“拒绝”RangeProof 。
最后,Cosmos 联合创始人介绍 新规格 它是根据 IBC 标准规定的更严格的流程开发的。该规范称为 ICS23。
它是默克尔证明的通用标准,支持多种类型的默克尔树,包括 IAVL 树。
“ICS23 遵循了更严格的设计流程,旨在最大限度地减少表面积,同时仍然具有通用性——这是一项艰巨的任务!作为其中的一部分,它明确“拒绝”范围证明。 ICS23 中没有范围证明”
他说
2022年,桥梁被盗问题相当普遍、复杂,危害极大。 3 年 2022 月 321 日,基于 Solana 的 Wormhole 跨链协议遭到黑客攻击,造成超过 29 亿美元的损失。 2022 年 600 月 24 日,Axie Infinity 的 Ronin Bridge 跨链桥遭受攻击造成的总损失超过 2022 亿美元。 100 年 2 月 600 日,Harmony 宣布对 Horizon Bridge 发起攻击,预计损失达 XNUMX 亿美元。或者最近的 XNUMX 月 XNUMX 日,Nomad Bridge 上的黑客攻击超过 XNUMX 亿。
BSC 上的黑客攻击金额相对于链上来说并不算多,但这也是一个警告,需要吸取很多教训来增加跨链的安全性。
免责声明:本网站上的信息作为一般市场评论提供,不构成投资建议。 我们鼓励您在投资前进行自己的研究。
加入我们以跟踪新闻: https://linktr.ee/coincu
网站: coincu.com
狡
硬币铜 新闻
