Cosmos背后的开发者今天公布了关于“危险安全漏洞”的全部信息。据报道,该漏洞可以使黑客逃脱因恶性行为带来的惩罚。
Tendermint Inc是Cosmos核心技术背后的盈利实体,其董事Zaki Manian在接受Coindesk采访时详细介绍道:
“我们想尽力避免恶性行为,并且不希望看到黑客能通过立即解除Tokens押注去逃避恶性行为被发现后带来的惩罚,比如为糟糕的管理措施投票或者利用双重标识对抗交易所从而潜在的逆转账户状态。”
通常情况下,Cosmos上的验证者其实可以比作POW区块链网络上的矿工,他们的恶性行为要么是随意投票,要么是在虚假交易上签名。这种恶性行为一旦被检测到,他们所持有的ATOM tokens将会被削减,以此作为处罚。在网络充分检测和筛选完他们的行为之前,Cosmos设置了最低21天的等待时长去避免验证者立即解除自己的ATOM tokens的押注。
Tendermint团队在今天的帖子中说道:上个月发现的代码漏洞可以让验证者完全绕过这个“解除押注”或者“解除绑定”的等待时长,这就意味着他们的资金能够立即变成流动资金。简单点来说,他们的资金始终就是“未绑定设置”。
“在收到Bug报告的头24个小时内,我们的工具总共检测到22个相关事件。” 团队说道。
Cosmos是一个相对较新的区块链网络,它的设计目的是提高不同区块链平台之间的互操作性。2017年首次发币就筹集到了1600万美元的融资。
今次披露的安全漏洞实际上是在Cosmos软件开发工具包(SDK)的“Staking模块”中发现的,该工具包于2018年作为“最先进的”区块链工具包首次亮相。在之前的博文中,也有被描述为“构建区块链的另一种安全且容易的方式”。
经验教训
Tendermint的安全主管Jessy Irwin在接受CoinDesk采访时表示:“尽管今天披露的漏洞是第一个影响Cosmos主网的漏洞,但这并不是我们得到报告的第一个漏洞。”
“我们总共进行了7次安全审查,安全审查帮助我们发现了很多问题,同时我们还有一个活跃度很高的漏洞奖励计划作为官方审查的补充。”Irwin又说道,“自我加入团队以来,这一年半的时间里我们共同投入了相当多的精力,创建了一个用户积极寻找和报告bug的环境。”
如今这个漏洞已经在Cosmos的网络上被完全修复了,但的确需要Cosmos的验证部分执行紧急的硬分叉或者系统升级,更新编号为482100。
Irwin强调,为了在不导致主网分裂的情况下成功的执行这个硬分叉,需要将紧急通知推送给在其计算机上运行Cosmos软件的所有验证者以及其他服务供应商。
随后Irwin告诉CoinDesk,从发现安全漏洞和进行升级的过程中吸取的最大教训之一就是——需要与Cosmos验证者以及其他服务供应商建立更安全的通信通道。
最后,Irwin还强调:
“我们真的需要提倡我们的验证中心和交易所为了更安全的通信去开放他们的通道.……而且我们也的确要和我们的验证者们努力地将这个通道打开,这样下次就不会为了能够和他们取得联系而东奔西走。”
声明:本文由入驻金色财经的作者撰写,观点仅代表作者本人,绝不代表金色财经赞同其观点或证实其描述。
提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。
金色财经 善欧巴
金色精选
金色精选
TaxDAO