COB:Cobo安全团队详解Stargate漏洞：可能导致伪造的交易receipt通过MPT验证

链捕手消息，Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析，称原始漏洞代码在进行MPT验证时，没有限制pointer在proofBytes长度内，这个漏洞有可能让攻击者伪造hashRoot，导致伪造的交易receipt可以通过MPT验证。最终可造成的后果是，在预言机完全可信的前提下，Relayer仍可以单方面通过伪造receipt数据的方式来实现对跨链协议的攻击。

Cobo宣布加入Celer状态守卫者网络:据官方消息，Cobo今日宣布加入Celer状态守卫者网络，与 Celer 共同维护其二层扩容网络的可用性和安全性。Cobo 作为 Celer 验证人节点，将持续提供安全的验证人节点服务与质押服务，帮助 Celer 维护网络安全并扩展网络规模。

Celer 的状态守卫者网络（State Guardian Network）是一个可扩展的、去中心化的瞭望塔侧链，通过一个分布式状态监控网络的架构，保证二层网络在用户离线时状态的持续保存，确保了二层状态通道网络的可用性和安全性。

Cobo作为一站式数字资产存储和管理平台，由F2Pool创始人神鱼（毛世行）和前Facebook高级科学家蒋长浩于2017年11月联合创立，旗下业务模块包括一站式数字资产金融服务平台——Cobo钱包、面向机构的钱包开发及数字资产托管解决方案—Cobo托管、全开源真脱网硬件数字钱包—Cobo金库。[2021/8/12 1:50:48]

值得注意的是，此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码，是整个LayerZero及上层协议正常运作的基石。

Cobo未受以太坊分叉影响，ETH与ERC20代币可正常充提:11月11日，提供免费的以太坊节点RPC API服务的Infura发生宕机，导致部分交易平台ETH与ERC20代币充提服务受到影响。Cobo联合创始人神鱼表示，此次Infura宕机是因以太坊旧节点版本和新的版本不兼容而发生了意外分叉，而Cobo使用的节点池具备防分叉机制，并对各种意外分叉情况进行了优化和异常处理，因此此次不受任何影响，Cobo Custody客户及Cobo钱包用户均可进行ETH与ERC20代币正常充提。

此外，神鱼建议仍在使用以太坊旧节点的钱包和交易所尽快升级，否则会存在被双花攻击的风险。[2020/11/11 12:20:12]

Cobo安全团队还表示，LayerZero项目的关键合约目前大都还被EOA控制，没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏，也可能会导致所有上层协议的资产受到影响。

声音 | Cobra：对以太坊感兴趣的人容易上当:Cobra发推文称，机器人总是偏爱ETH（转0.1个ETH，返你1个ETH），而不是BTC, BCH或LTC，因为即使是那些人的机器人也发现，对ETH感兴趣的人是最容易上当的人。[2018/8/15]

标签：COBETHCELELEKing of CobraIETHVeCeltronMELEGA

酷币下载热门资讯