数字货币包提供商 ZenGo 的研究部门 ZenGo X 表示,它在去中心化社交 (DeSo) 网络上发现了一个双花漏洞。
有问题的安全漏洞涉及潜在的双花漏洞,ZenGo X 的高级研究员 Matan Hamilis 表示,该漏洞可能会耗尽 DeSo 储备中名为 Gringotts Bank 的资金。
DeSo 奖励 ZenGo 75,000 美元——该项目有史以来最高——用于发现和报告漏洞。 ZenGo X 还表示,该安全性不会对用户资金或整个 DeSo区块链构成任何风险。
BitClout 的创始人 Nader Al-Naji 在获得了来自 Andreessen Horowitz (a16z)、Coinbase Ventures、Polychain Capital 和 TQ Ventures 等支持者的 2 亿美元投资后,于 9 月推出了 DeSo。 DeSo 是一个支持各种去中心化社交媒体平台的平台,包括 BitClout。
闯入古灵阁
要在 DeSo 上获得资金,用户需要使用 BTC-DeSo 桥交易所比特币。 尽管比特币有 10 分钟的区块时间来确认交易,但该桥旨在自动释放 deso 代币,而无需等待初始比特币交易的确认。
这种方法为双花攻击的可能性打开了大门。 因为有人可以向桥接器支付比特币,收到 deso,然后,比如说,贿赂矿工来进行不同的比特币交易——所以它首先没有被花掉。 为了防止此类攻击,DeSo 使用区块链浏览器工具 Blockcypher 来扫描可能的双花。
然而,ZenGo X 发现 DeSo 对双重支付的防御不够强大。 它注意到攻击者可以使用一种非常特殊的交易类型来欺骗系统,称为祖先交易。
当攻击者没有通过桥发送任何 BTC 时,这些漏洞可能允许流氓行为者欺骗桥协议将比特币换成 deso 代币。
这个漏洞被称为“拉环”——这是对哈利波特故事中帮助古灵阁闯入的妖精角色的一种致敬。
ZenGo X 还声称攻击者可以发起多次攻击,利用 Gringotts 的自动充值协议从 DeSo 金库中窃取数百万美元。
解决问题
ZenGo X 建议的解决方案已由 DeSo 实施,是手动确认所有传入桥接的交易,特别关注祖先交易,以更好地检测可能的双花。
其他建议的修复包括部署多个浏览器 API 以及最大限度地减少 Gringotts 金库中持有的 deso 令牌数量。
“我们非常有信心,该解决方案将防止发生类似的攻击。 我们相信,Bitclout 的服务现在正在执行的检查将通过显着降低成功的可能性并需要非常强大的矿工的合作来使类似的攻击变得更加复杂,”Hamilis 告诉 The Block。
© 2021 The Block Crypto, Inc. 保留所有权利。 本文仅供参考。 它不提供或旨在用作法律、税务、投资、财务或其他建议。
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
