Cosmos安全漏洞解析：21天鎖倉資金可提前贖回？_OSM

今晨，Cosmos團隊表示在CosmosSDK發現嚴重安全漏洞。PeckShield安全人員分析發現，原本Cosmos抵押之后需要等待21天才能贖回，但合約代碼里Validator狀態變化時存在一種邏輯缺陷，使得用戶可以減少21天固定贖回時間，從而提前贖回抵押的數字資產，進而破壞原本的POS共識可更短周期使用資金進行重復抵押賺取利息。

Cosmos是最新上線的基于Tendermint共識的區塊鏈網絡，提出IBC通迅協議，用于解決資產跨鏈的問題，其核心主鏈被稱為CosmosHub，號稱『萬鏈之王』。其上的平臺代幣為Atom，用戶通過驗證者投票參與服務治理與維護，同時接收系統激勵，史稱『Staking模式』，為2019年區塊鏈明星項目之一。

CosmosHub是基于Tendermint，它依靠一組驗證者來保護網絡，等同于Bitcoin、Ethereum等PoW網絡中的礦工角色；

Cosmos生態質押協議Quicksilver宣布將于12月16日上線主網:12月14日消息，Cosmos生態質押協議Quicksilver宣布將于12月16日上線主網，預計屆時將有100個創世驗證者。隨后將提出在該協議上加入Cosmos Hub的提議，預計該集成將于12月22日得到Quicksilver的支持，屆時該協議的用戶將能夠抵押他們的Atom并鑄造qAtom。預計2023年第一季度初，該協議的用戶將逐漸能夠充分使用Quicksilver的全部功能，Osmosis上的qAsset池預計將于2023年1月上線。[2022/12/14 21:43:54]

驗證者運行一個完整的Cosmos節點，并通過廣播包含由其私鑰簽署的加密投票參與共識，有一定的硬件投入成本；

驗證者需要抵押定額的Atom作為保證金，且系統只有股權最高的100個節點會成為驗證者；

人工智能項目Fetch.ai宣布跨鏈計劃，將利用Cosmos IBC提供跨鏈服務:人工智能區塊鏈項目Fetch.ai （FET）宣布將進行跨鏈服務升級，未來的Fetch 2.0主網將通過Cosmos Hub的IBC網橋實現跨鏈功能，從而實現向其他區塊鏈網絡提供機器學習服務。此外，Fetch.ai虛擬機將于本周在測試網上進行升級，新的FET虛擬機將基于 WebAssembly，聚集性能表現，Fetch.ai團隊還將提供新的技術文檔，幫助開發人員能夠為遷移到活動網絡做準備。[2020/7/21]

驗證者在區塊鏈中打包交易提交新塊并獲得系統激勵，這是驗證者的收入，等同于挖礦收益；

另外，驗證者在參與治理方面，他們還必須對網絡中的提案進行投票，只有投票通過的提案才能發揮效應，投票權重根據每一位驗證者存放的總權益進行加權；

動態 | 谷歌云故障影響 Cosmos 驗證人 Polychain Labs 前夜暫時下線 現已恢復驗證:谷歌云前夜在美國東海岸發生大規模故障，影響了包括 Gmail、Snap、Discord 等互聯網服務，也影響了部分美國的 Cosmos 驗證人節點。Cosmos 的主要驗證人 Polychain Labs 昨夜發布消息，稱谷歌云故障影響該節點暫時離線，但是該團隊啟用備用服務，在一個小時左右恢復上線。Tendermint 研究負責人 Zaki Manian 表示，Cosmos Hub 在互聯網連接出現大故障時保持運行，表現不錯。[2019/6/3]

安全穩定的驗證者會產生穩定的收益，有問題的節點導致您損失本金，例如驗證者節點掉線會損失0.01%本金。

由此可知，運行一個Validator角色的難度不低于開一個PoW礦池，普通用戶要想加入Cosmos主網，并獲取收益是個門檻比較高的事情。

動態 | 金融業監管局警告SAFT框架不是監管機構批準ICOs的保證:據CCN消息，美國金融業監管局（FINRA）在一份投資者警報出版物中表示，SAFT框架絕不是監管部門批準的保證，投資者要警惕ICOs宣稱采用SAFT框架作為投資安全或監管合規的證據。未來令牌（SAFT）一個簡單協議是數字貨幣開發商向合格投資者提供的投資合同，承諾在網絡或公司運行時交付一定數量的令牌。它與標準ICO不同之處在于，ICO會立即發放Token或硬幣，而SAFT實際上是承諾交付Token。[2018/8/19]

由于普通用戶持幣但又不想參與驗證，那么其手中的Atom會面臨增發而貶值，但是直接參與Cosmos主網有一定的技術難度，因此出現了委托人Delegator角色。委托人是那些不能或不想自己運行驗證節點的Atom持有者，普通用戶可以將Atom委托給驗證人并獲得部分收入，例如星火礦池提供的委托服務。

用戶一旦贖回委托訂單，Cosmos將在贖回操作21天之后將委托抵押的Atom退回給委托人。

因此這21天為平臺固定的鎖倉時間，如果出現一種情況，Cosmos系統存在設計缺陷，導致委托人的贖回周期可變，這對平臺上的其它用戶來說，是不公平的，也破壞了Cosmos區塊鏈的共識機制。

在了解這個漏洞之前，我們先來看下Cosmos網絡之上的驗證者狀態變化圖：

其中，一共有三個狀態：

bonded

unbonded

unbonding

狀態之間的變化關系如下：

驗證者默認屬于unbonded狀態，當發起bondValidator之后，狀態變更為bonded，

變更這一狀態之后，驗證者開始接收系統收益；

而當驗證者發起beginUnbondingValidator以退出bonded狀態時，其狀態變更為unbonding，

同時系統不再給這一驗證者發送任何收益，同時這一驗證者的委托人可以發起贖回操作；

若委托人沒有發起贖回操作，那么處于unbonding狀態的驗證者可以重新bondValidator回到bonded狀態以接收系統收益；

處于unbonding狀態的驗證者，當用戶贖回時間21天到期之后，將進入到unbonded狀態，此時委托者接收到之前抵押的Atom及抵押期間的收益。

上面我們了解到驗證者在幫助抵押贖回方面的整體流程，表面上沒有什么問題，PeckShield安全人員在分析CosmosSDK代碼的時候，發現了這一贖回流程中的致命設計缺陷，可導致委托者利用驗證者unbonding狀態，突破21天鎖倉固定期而提前贖回。

我們先看舊版的贖回代碼：

其大體流程如下，獲取驗證者的unbonding完成時間和區塊高度；

將待贖回部分代幣根據鎖倉到期時間和區塊高度生成一個鎖幣贖回記錄；

將這一贖回記錄保存到隊列之中，等待時間到期之后，退還鎖幣資金給委托人。

細心的用戶發現了這里的問題，一圖以蓋之：

簡而言之，系統在計算鎖倉到期時間的時候，誤用Validator開始unbond狀態時間和Delegator贖回發起時間，使得Delegator可以使用這一時間差贈取差異：

Validator正常發起beginUnbondingValidator操作；

Delegator在Validator發起unbond操作之后7天時發起Undelgate贖回操作，理論上贖回時間為21天，但是這里計算的時候使用的是Validator發起unbond操作的時間，

因此，這一個Deletagor『免費』縮減了7天的贖回時間，再經過14天時間就可以收到鎖倉的資金。

此時，我們再來看修復之后的代碼：

此時，無論Delegator何時發起Undelgate操作，都會確保從操作發起時開始計算21天，而與驗證者無關。

Staking作為2019年新潮的區塊鏈方向，獲取了一定的矚目，無論你是Staking的項目方，還是參與Staking的驗證者及普通用戶，在資產面前，我們都應該保有敬畏之心。

Tags：COSOSMOSMOATOECOSCosmosis幣總量osmo幣價格atom幣挖礦app下載

FTT