链资讯 链资讯
Ctrl+D收藏链资讯

EFI:跨链桥多签权限被替换,Celo到底发生了什么?_DEFI

作者:

时间:

作者:Azuma

北京时间11月23日晚,鱼池F2Pool创始人神鱼于微博转发安全组织Rugdoc的风险提示称:“有在Celo链上挖矿的请注意,跨链桥的多签被人换了,疑似有问题,降低风险的办法是把Celo链上的其他资产卖成Celo,目前卖的人还不多,亏几个点。大家自行判断风险,是一还是止损,全凭实力,胆子大的还可以套利。”

作为Celo官方牵头构建的跨链桥协议,Optics是当前资金从外部生态流入Celo的主要渠道,该桥出现问题,无疑会对整个Celo生态的资金流通造成影响。因此,在Optics的问题被爆出之后,恐慌情绪也开始在社区之内弥漫。

根据来自Celo背后开发团队cLabs的首席执行官TimMoreton的事件解释声明,多签权限被替换是因为有人单方面激活了GovernanceRouter合约上的Optics修复模式,虽然桥梁服务一切正常,但这一操作导致Optics协议被修复管理账户完全控制,原本的多签权限也被覆盖。不过,Tim?认为锁定在桥上的资金当前没有风险。

以太坊与Harmony间跨链桥Horizo??n遭到攻击,损失金额约1亿美元:6月24日消息,由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizo??n遭到攻击,损失金额约为1亿美元。Harmony表示,目前已与相关部门以及专家合作追查攻击者并追回被盗资产。此外,Harmony称无需信任的比特币跨链桥并未受到影响,目前已通知交易所并暂停了Horizo??n跨链桥。攻击者的地址为0x0d043128146654C7683Fbf30ac98D7B2285DeD00。[2022/6/24 1:28:09]

而从Tim披露的链上事务记录可以看出,该事件实际发生于25天之前的10月29日,也就是说,在10月29日后,Optics一直处于修复模式之中,但cLabs团队直到11月22日才向社区公开披露了事态情况。

The Block:跨链桥Wormhole计划发行代币HOLE,将在私募中筹集近2亿美元:金色财经消息,据The Block获得的文件显示,跨链桥Wormhole计划以每枚代币0.25美元的价格向机构投资者出售7.5亿枚HOLE代币(占总供应量的7.5%),代币将锁定一年,并分三年线性释放。此次代币销售将产生1.875亿美元的收益,该项目的估值为25亿美元。

知情人士证实,Wormhole正试图以该估值进行代币销售,Wormhole拒绝置评。[2022/4/1 14:32:13]

最值得注意的是,除了解释多签权限被替换的技术原理之外,Tim还提到了一位已被cLabs开除的前高级开发者?JamesPrestwich。Tim声称,修复模式被激活就发生在?James因行为不当而被解雇后的15分钟,且在?Optics的部署过程中,James曾为配置创建过一个包括修复地址的pullrequest,且曾请求确认过这个地址并要求报销费用。Tim还表示,自从发现问题后,cLabs曾想尽了一切办法与?James?接洽以解决问题,但迄今并未成功。

稳定币跨链桥Symbiosis Finance宣布启动Beta主网:3月10日消息,稳定币跨链桥Symbiosis Finance宣布启动Beta主网。Beta主网允许用户交换任何Token且不需要特殊软件。此外,Symbiosis还与MetaMask、Coin98、Trust Wallet和ONTO Wallet等钱包兼容。

主网推出后,Symbiosis将添加新的区块链,例如Solana, Terra, Celo, Boba和Aurora。同时致力于启动Symbiosis v.2协议。[2022/3/10 13:48:12]

不过,对于Tim的“指控”,James本人却回应称:“我从来都不是?Optics?修复模式的密钥持有者;我很失望cLabs和Celo选择将他们的欺凌公开化,他们正通过撒谎来攻击我的声誉;根据律师的建议,我现在什么都不会说。”

Wanchain跨链桥WanBridge已集成Fantom:11月18日消息,Wanchain跨链桥WanBridge已集成Fantom,可以实现与FTM等Fantom链上资产的多链互跨,此前Wanchain通过跨链桥WanBridge已跨链集成Ethereum、EOS、XRP、BSC、Polkadot、Litecoin、Moonriver、Avalanche在内的区块链网络。

注:WanBridge跨链桥由25个跨链节点(Storeman)组成,每个节点通过每月的公开竞选产生,整个跨链节点组的密钥控制方式是分布式的,每个节点只掌握一个私钥碎片,通过安全多方计算和门限最优签名完成资产的跨链转账。[2021/11/18 22:01:30]

显然,Tim与James的说法存在矛盾,如果二人都没有说谎,那么究竟是谁激活了修复模式呢?

物联网区块链平台IoTeX即将推出跨链桥ioTube v4:官方消息,物联网区块链平台IoTeX即将推出跨链桥ioTube v4,支持跨链币安智能链BSC,实现BSC,IoTeX和ETH之间的资产双向跨链转换。

据悉,今年IoTeX跨链基础设施不断完善发展,后续还将支持波卡,Heco,Fantom等更多公链跨链,IoTeX生态dapp和DeFi项目启动后将实现无缝跨链流动。ioTube 是 IoTeX 2019年开始推出的跨链基础设施,是物联网开放金融#DeFIoT 的系列基础组件之一,为开发者提供去中心化资产和数据跨链协议模块,同时支持桌面和移动版本。[2021/3/13 18:42:10]

在事件发生之后,社区之内也通过链上记录展开了调查,社区成员@diwu1989?指出,在激活修复模式的最后一笔交易中,修复管理地址从「0x3d9330014952bf0a3863feb7a657bffa5c9d40b9」被修改成了「0xdcbf2088b7a6ef91f954be9ca658ea5b8e9b62d4」,而后者系由「0x2f4bea4cb44d0956ce4980e76a20a8928e00399a」创建,所以问题的关键就是要找到0x2f开头地址的所属。

另一位社区成员@Ryan沿着这一思路继续调查发现,该地址与另一家项目PartyDAO存在关联,因其是当前少数持有PARTY代币的地址之一,如果可以联系到该项目,或可知晓其身份。

社区成员@Deepcryptodive也指出,?0x2f开头地址的资金来自于?0x2a98开头的?Kucoin地址,通过Kucoin的KYC系统,应该也可查出此人的身份。

在多人的共同调查之下,真相最终水落石出,由去中心化内容平台Mirror的地址备注中可知,0x2f开头地址的资金归属于一名叫做Anna的人,那么Anna会是激活了修复模式的那个人吗?

答案似乎是肯定的,社区用户从Github记录上查到,正是在26天之前,一名头像和姓名都相同的社区开发者,在Github上报告了一个关于?Optics修复模式时间锁的漏洞,为了补上漏洞,需要激活修复模式并更换为一个更加安全的多签地址。此外,从历史提交代码上看,Anna也的确参与了?PartyDAO的开发工作。

至此,真相基本水落石出,链上地址对的上,报告中提及的漏洞与解决方案与此次事件也相吻合,所以基本可以判断正是Anna激活了?Optics的修复模式,修复管理账户大概率也在Anna的控制之下。

不过,虽然事态脉络已然厘清,但部分社区成员对于CELO以及?cLabs在此事中的处理方式却很不满意。作为Celo的开发团队,cLabs理应比任何外部调查者都更清楚事情的来龙去脉,但在Tim的声明中却并没有给出一个清晰的解释,反而是做了一些毫无根据的猜测,将矛头引向一个已被解雇的开发者James。

除此之外,另一些社区成员也对Tim在声明中提到的“桥上资金没有风险”相当不满,因为单从Tim的描述推断,合约当前的控制权显然并不在?cLabs或其他已知社区成员的掌握之中,所以单方面声称“资金没有风险”是极其不负责任的。

推特大V?@MonetSupply就此事总结了该团队所范的三个错误:

没人在应用上线前检查已部署的合约;迟迟25天没有向社区做任何披露;Tim那则诡异的声明。MonetSupply最后将这一切归因于Celo内部管理的混乱,并表示自己将因此看跌CELO。

昨日晚间,为了为了平息社区内的恐慌及不满情绪,Celo官方组织了一场AMA对话,并就此事在官方论坛再次发声加以解释。这一次,代表cLabs发声的不再是首席执行官Tim,而是换成了另外两名开发者?Eric和Marek。

新的声明披露了一些关键信息,包括将对?Optics合约进行一定审计并向社区披露,以及通过发布?OpticsV2来迁移用户资金。Marek还提到:“我们肯定会从这次事件中吸取教训,我们将继续分析哪里出了问题,以及为什么会出问题。为此,我们计划尽快发布一份完整的事件回顾报告。”

事已至此,虽然很多细节问题仍需等待Marek提到的报告发布后才可进一步明晰,但事态基本情况已大体明了。

整体来看,此次的“?Optics安全事件”多少存在一定的“虚惊”成分,作为社区开发者,Anna替换多签的目的更像是在修复bug而非作恶,这也是为什么过去25天Optics没有出现任何资金流失。不过,凡事也不能太过乐观,在事件彻底收官之前,建议大家短期内尽量减少Optics的使用频率,如有跨链需求,可尽量选择同样支持Celo生态的Anyswap,或如神鱼建议的那样将桥接资产兑换为CELO,再利用中心化交易所出入。

跨链赛道一直都是安全事故的高发领域,虽然暂时没有造成任何资金损失,但此次事件所敲响的警示同样不容忽视,希望Celo?开发团队以及其他项目方能够以此为戒,改善内部管理秩序,提高透明度,带给用户更安全、更放心的跨链体验。

标签:EFIDEFIAREMAREDefinexDeFi Coin Bonushare币最新价格MARE币

币安app官网下载热门资讯
BRD:Coinbase收购加密钱包提供商BRD的团队 BRD价格飙升500%_OIN

加密钱包提供商BRD表示,在被美国主要加密交易所Coinbase收购后,对用户来说“不会有任何改变”.

元宇宙:波场TRON元宇宙赛道布局再次提速 生态建筑群正式落成_tronlink钱包哪个国家的

最新消息,波场TRON生态建筑群于Cryptovoxels中正式落成,该生态建筑群由知名元宇宙房地产开发商MetaEstate设计搭建的.

EFI:区块链头条观察丨比特币ETF通过后,DeFi指数基金需求增大_bybit官网app下载

在传统金融领域,指数基金为寻求稳定长期回报的投资者提供了一种风险相对较低的方式。因为它们追踪多种资产,所以它们天生就是多元化的.

ICS:a16z合伙人:虚构的“ETH 杀手” 为何区块链的需求总是超过供应_ethics翻译

历史上每一个重要的计算资源,需求都超过了供应,这包括CPU、GPU、内存、存储以及有线和无线带宽。计算运动的核心动力是应用程序和基础设施之间相互加强的反馈循环.

BEN:SmartBCH首个DEX BenSwap登陆虎符 Hoo Labs将重磅开启EBEN代币空投_BCH

据虎符官方消息,11月23号15:00-11月24号15:00,虎符交易所HooLabs重磅开放EBEN超级投模式,用户可以在虎符交易所的HooLabs参与EBEN的IEO认购.

以太坊:三箭资本CEO:勿忘初衷,留给以太坊的时间不多了_LavaX Labs

来源|Cryptopotato 编译|白泽研究院 由于DeFi、链游和NFT的流行,关于使用以太坊作为加密领域领导者的可行性的争论再次升温。但考虑到目前的状况,前景并不乐观.