长久以来,Cosmos由于治理机制过于分散,导致生态的繁荣与ATOM没有直接关系,市值在20名开外。反观同为「跨链双雄」之一的Polkadot,尽管生态后继乏力,但市值仍比Cosmos多一倍。问题的关键在于它们的平台币是否具备价值捕获。Cosmos社区意识到了这一点,并从去年开始推动让CosmosHub承担生态系统中区块链的验证任务,从而捕获生态内的价值。但最初的方案中通胀率过高不利于ATOM持有者而未通过,于是重新调整方案并在过去两周重新投票,最终以99.48%的支持率正式通过,并将于3月15日正式上线。这次升级的核心在于「复制安全」,就是原来的InterchainSecurity,允许Cosmos生态系统中的区块链共享验证资源以提高安全性,而CosmosHub则是安全提供商。这意味着基于IBC的区块链可以直接从CosmosHub那里共享安全性,而无需搭建自己的验证节点,而且未来也可以直接共享CosmosHub发布的新功能。而代价就是要将一部分费用和平台币未来的通胀的部分发送给CosmosHub,这将成为验证人和委托人的奖励。所以可以把Cosmos这次升级理解为变成类似于Polakdot平行线程的机制,但是不用去筹集DOT来拍卖中继链的插槽,只需要向CosmosHub添加提案,并经过三分之二的验证人投票即可启动。不过出于安全考虑,任何时候只要有三分之一的验证人不想验证这条链,服务就会立即终止。Cosmos生态其实一直都在低调地成长,技术栈也在开源生态里越发完善,此次升级对Cosmos生态的项目有不小的吸引力,已有一些头部项目对CosmosHub的ReplicatedSecurity表示出浓厚兴趣。相信未来会有越来越多的基于IBC的区块链选择由CosmosHub来提供安全,这样一来省去了自建节点的成本,二来ATOM真正拥有了价值捕获。尤其是未来在「NextBillionUser」的叙事之下,会有源源不断的开发者进来开发自己的区块链,而在技术上积累了很大的优势的Cosmos生态则是不错的选择。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。