OSMO:Cosmos 聯創：BNB Chain 攻擊事件中黑客通過 RangeProof 偽造 Merkle 證明_COMOS價格

鏈捕手消息，Cosmos聯合創始人EthanBuchman對BNBChain跨鏈橋BSCTokenHub攻擊事件發表看法表示，此次事件問題的關鍵在于黑客能夠偽造Merkle證明。這本不應該發生，因為Merkle證明應該提供高完整性。區塊鏈輕客戶端建立在Merkle證明之上，許多區塊鏈將數據存儲在Merkle樹中，這樣就可以生成證明，證明某些數據包含在樹中。

Web3 數據解決方案 KYVE 將把其區塊鏈協議遷移至 Cosmos SDK 的鏈:5月17日消息，Web3 數據解決方案 KYVE 宣布將把區塊鏈協議從基于 EVM 的鏈遷移到基于 Cosmos SDK 的鏈。KYVE 允許項目輕松標準化、驗證和永久存儲數據，例如原始區塊數據、交易、應用數據等。[2022/5/17 3:22:20]

Cosmos鏈使用一種稱為IAVL的Merkle樹，IAVL存儲庫公開了一個使用范圍證明“RangeProof”的API，但事實證明RangeProof的內部工作存在嚴重錯誤。IAVLRangeProof的代碼問題在于其允許填充InnerNode中的Left和Right字段，攻擊者基本上利用了將信息粘貼到Right字段中的優勢，這些信息從未得到驗證，也從未影響哈希計算，以使驗證者相信某些葉節點是樹的一部分。因此，他們成功地偽造了Merkle證明。

Cosmos已推出Cosmos SDK v0.41.0和Gaia v4.0.0版本:1月28日消息，跨鏈項目Cosmos官方宣布，已正式推出Cosmos SDK v0.41.0版本的“Stargate”，以及Gaia v4.0.0版本。Cosmos SDK v0.41.0版本包含兩項重大更改，以及對此前版本錯誤做了修復。[2021/1/28 14:14:44]

Buchman表示，雖然使用RangeProof不是一個好主意，但有一個方式或可以解決這個問題，即當任何內部節點同時填充了左右字段時，則預先拒絕證明。對于IBC中的Merkle證明，IBC沒有使用IAVL樹的內置RangeProof系統，而是使用ICS23標準從IAVL樹生成和驗證Merkle證明，ICS23代碼沒有這個漏洞，它可明確“拒絕”RangeProof。

以太坊基金會社區經理：Polkadot和Cosmos等L1鏈上治理仍不奏效:11月20日，以太坊基金會社區經理Hudson Jameson剛剛發推稱，Layer 1鏈上治理仍然是一個壞主意，Polkadot和Cosmos嘗試的鏈上治理并不奏效。[2020/11/20 21:28:55]

Tags：COSMMOSOSMOCOSCosmic CowCOMOS價格osmo幣值得買嗎COS價格

DAI