Quicksilver 致力于为整个 Cosmos 提供 Interchain Liquid Staking 和支持去中心化
Quicksilver 致力于为整个 Cosmos 提供 Interchain Liquid Staking 和支持去中心化
Subscribe to Quicksilver中文资料
Subscribe to Quicksilver中文资料
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
2022 年 12 月 23 日,Quicksilver Liquid Staking Protocol 在 Cosmos Hub 上的加入令人遗憾地成为了有计划的恶意破坏企图的目标。攻击者利用 Cosmos Hub 版本的 IBC-go 中的安全漏洞来攻击并阻止 Quicksilver 加入 Hub。没有用户会因此事件而遭受资金损失。
该漏洞并未出现在 Quicksilver 的代码中,Cosmos Hub 团队正在与 Quicksilver 合作解决 Cosmos Hub 链安全漏洞被修补后加入 Hub 的问题。我们入职路线图上的其他三个即将推出的连锁店 Stargaze、Juno 和 Osmosis 不受此问题的影响。与此同时,Quicksilver 团队将继续推进其他链和协议功能的发布。
该事件报告将描述攻击是如何进行的、问题是如何解决的以及后续步骤。
背景
Quicksilver 是一个主权的 Cosmos SDK 区域,为 Interchain 提供流动性质押。由于其即插即用的设计,它可以扩展到无限数量的区域,而区域和验证器的入职工作为零。
2022 年 12 月 23 日,Quicksilver 加入了 Cosmos Hub,允许 ATOM 持有者流动性抵押他们的资产,并获得流动性代币凭证 qATOM。
在 Hub 上线时,不良行为者使用可预测的 ICA 地址生成来确定协议委托账户的地址,并通过在账户注册之前向其发送令牌来初始化该账户。这意味着 Quicksilver 协议永远无法访问有问题的 ICA,但 Cosmos Hub 回应说注册成功,尽管 Gaia(Hub)实际上从未授予 Quicksilver 协议对相关帐户的控制权。这导致了一种情况,即 Quicksilver 协议的代码认为它控制了该账户,并继续向其发送存款,尽管无法代表该账户执行交易。
委托账户已存入3460个ATOM,其中95%属于快银团队。其余311 ATOM归社区所有,将全额返还。
重要的是要注意,攻击者从来没有任何途径获得对资金的控制权;ATOM 仍然锁定在 Cosmos Hub 的委托帐户中,无法访问。
攻击者可以利用可预测地址生成的原因是可预测 ICA 地址生成的安全漏洞已在 ibc-go 版本 v3.3.0 中得到解决,但 Cosmos Hub 使用的是 ibc-go v3.0.0。
不幸的是,这是有人蓄意发动的攻击,他知道 Cosmos Hub 没有遵循适当的安全升级来缓解已知的安全漏洞。这是一次旨在破坏 Cosmos Hub 和 Quicksilver 社区的攻击。
Mitigation
为了保护用户和合作伙伴,Quicksilver 团队关闭了协议前端的质押页面并关闭了 ICQ 中继器,同时努力确定委托交易失败的原因。
然后,由于以下原因,Quicksilver 团队和验证者在 12 月 24 日 10:15 UTC 协调在 115000 区块抢先暂停链:
为了降低用户继续提交存款的风险,因为如果任何验证者初始化 ICQ 中继器,这些存款将被处理。
如果委托中锁定的 ATOM 与 qAtom 供应之间的差异大于预期,则会进行健全性检查以停止链条。鉴于委托失败,这肯定会在 12 月 25 日圣诞节 1300 UTC 触发链式停止,破坏许多验证者的假期。
前进的道路
Restarting the Quicksilver Chain
Quicksilver 链方面没有重大“修复”;唯一的更新是在 Quicksilver 链的软件中添加自定义逻辑,以删除“半注册”的 Cosmos Hub 区域,并允许 Quicksilver 链恢复生产区块。
Quicksilver 测试网将在 12 月 27 日那一周进行升级。计划在新的一年重启链,以保留验证者的假期计划
将 Cosmos Hub 加入 Quicksilver Liquid Staking 协议 Quicksilver 仍然致力于加入 Cosmos Hub,让 Cosmos Hub 社区有机会质押 ATOM 并获得 qATOM。我们正在与 Cosmos Hub 团队合作解决安全漏洞,以便恢复 Hub 上线。升级后的 Hub 将确保这种情况不会重演。
我们还没有 Hub 的明确时间表,但它可能会在 2023 年初推出修复程序。这意味着它很快就会上线,并且 Hub 社区可以获得流动性质押协议的访问权。
更新 Quicksilver 协议的链上线流程 其他链的升级路径不应该是 Quicksilver 团队的审计责任,特别是当有建议立即进行安全升级的建议时;但是,我们有责任以所有潜在 Quicksilver 用户和更大的 Cosmos 社区的最佳利益行事。
因此,我们将在未来对我们推荐给社区加入协议的链的依赖性进行额外的检查。
受影响用户的补偿 漏洞利用中的3460个ATOM中,3149个ATOM属于Quicksilver团队,311个ATOM属于用户。用户资金将100%返还。
Quicksilver 团队有一份所有存款人的清单,以及为将资金载入协议而执行的交易。我们将使用此列表来退还所有存款人。我们预计退款流程将于本周完成。
一路领先 无论遇到什么挫折,Quicksilver 团队都将继续为整个 Cosmos 社区的利益而建设。我们将把我们的资源引导到其他链上,从 2023 年 1 月初的 Stargaze 开始,并继续努力稳步发布,如解除绑定和信号意图,这两者都计划在 1 月初进行。
Quicksilver 致力于为整个 Cosmos 提供 Interchain Liquid Staking 和支持去中心化。我们准备好再次出发,一如既往的强大。
保持联系 关注我们的社交渠道,了解我们的最新消息、空投和活动。
Twitter: https://twitter.com/quicksilverzone
Telegram: https://t.me/quicksilverzone
Discord: https://discord.gg/kTsQAZmmzZ
Website: https://quicksilver.zone
Whitepaper: https://quicksilver.zone/whitepaper.pdf
2022 年 12 月 23 日,Quicksilver Liquid Staking Protocol 在 Cosmos Hub 上的加入令人遗憾地成为了有计划的恶意破坏企图的目标。攻击者利用 Cosmos Hub 版本的 IBC-go 中的安全漏洞来攻击并阻止 Quicksilver 加入 Hub。没有用户会因此事件而遭受资金损失。
该漏洞并未出现在 Quicksilver 的代码中,Cosmos Hub 团队正在与 Quicksilver 合作解决 Cosmos Hub 链安全漏洞被修补后加入 Hub 的问题。我们入职路线图上的其他三个即将推出的连锁店 Stargaze、Juno 和 Osmosis 不受此问题的影响。与此同时,Quicksilver 团队将继续推进其他链和协议功能的发布。
该事件报告将描述攻击是如何进行的、问题是如何解决的以及后续步骤。
背景
Quicksilver 是一个主权的 Cosmos SDK 区域,为 Interchain 提供流动性质押。由于其即插即用的设计,它可以扩展到无限数量的区域,而区域和验证器的入职工作为零。
2022 年 12 月 23 日,Quicksilver 加入了 Cosmos Hub,允许 ATOM 持有者流动性抵押他们的资产,并获得流动性代币凭证 qATOM。
在 Hub 上线时,不良行为者使用可预测的 ICA 地址生成来确定协议委托账户的地址,并通过在账户注册之前向其发送令牌来初始化该账户。这意味着 Quicksilver 协议永远无法访问有问题的 ICA,但 Cosmos Hub 回应说注册成功,尽管 Gaia(Hub)实际上从未授予 Quicksilver 协议对相关帐户的控制权。这导致了一种情况,即 Quicksilver 协议的代码认为它控制了该账户,并继续向其发送存款,尽管无法代表该账户执行交易。
委托账户已存入3460个ATOM,其中95%属于快银团队。其余311 ATOM归社区所有,将全额返还。
重要的是要注意,攻击者从来没有任何途径获得对资金的控制权;ATOM 仍然锁定在 Cosmos Hub 的委托帐户中,无法访问。
攻击者可以利用可预测地址生成的原因是可预测 ICA 地址生成的安全漏洞已在 ibc-go 版本 v3.3.0 中得到解决,但 Cosmos Hub 使用的是 ibc-go v3.0.0。
不幸的是,这是有人蓄意发动的攻击,他知道 Cosmos Hub 没有遵循适当的安全升级来缓解已知的安全漏洞。这是一次旨在破坏 Cosmos Hub 和 Quicksilver 社区的攻击。
Mitigation
为了保护用户和合作伙伴,Quicksilver 团队关闭了协议前端的质押页面并关闭了 ICQ 中继器,同时努力确定委托交易失败的原因。
然后,由于以下原因,Quicksilver 团队和验证者在 12 月 24 日 10:15 UTC 协调在 115000 区块抢先暂停链:
为了降低用户继续提交存款的风险,因为如果任何验证者初始化 ICQ 中继器,这些存款将被处理。
如果委托中锁定的 ATOM 与 qAtom 供应之间的差异大于预期,则会进行健全性检查以停止链条。鉴于委托失败,这肯定会在 12 月 25 日圣诞节 1300 UTC 触发链式停止,破坏许多验证者的假期。
前进的道路
Restarting the Quicksilver Chain
Quicksilver 链方面没有重大“修复”;唯一的更新是在 Quicksilver 链的软件中添加自定义逻辑,以删除“半注册”的 Cosmos Hub 区域,并允许 Quicksilver 链恢复生产区块。
Quicksilver 测试网将在 12 月 27 日那一周进行升级。计划在新的一年重启链,以保留验证者的假期计划
将 Cosmos Hub 加入 Quicksilver Liquid Staking 协议 Quicksilver 仍然致力于加入 Cosmos Hub,让 Cosmos Hub 社区有机会质押 ATOM 并获得 qATOM。我们正在与 Cosmos Hub 团队合作解决安全漏洞,以便恢复 Hub 上线。升级后的 Hub 将确保这种情况不会重演。
我们还没有 Hub 的明确时间表,但它可能会在 2023 年初推出修复程序。这意味着它很快就会上线,并且 Hub 社区可以获得流动性质押协议的访问权。
更新 Quicksilver 协议的链上线流程 其他链的升级路径不应该是 Quicksilver 团队的审计责任,特别是当有建议立即进行安全升级的建议时;但是,我们有责任以所有潜在 Quicksilver 用户和更大的 Cosmos 社区的最佳利益行事。
因此,我们将在未来对我们推荐给社区加入协议的链的依赖性进行额外的检查。
受影响用户的补偿 漏洞利用中的3460个ATOM中,3149个ATOM属于Quicksilver团队,311个ATOM属于用户。用户资金将100%返还。
Quicksilver 团队有一份所有存款人的清单,以及为将资金载入协议而执行的交易。我们将使用此列表来退还所有存款人。我们预计退款流程将于本周完成。
一路领先 无论遇到什么挫折,Quicksilver 团队都将继续为整个 Cosmos 社区的利益而建设。我们将把我们的资源引导到其他链上,从 2023 年 1 月初的 Stargaze 开始,并继续努力稳步发布,如解除绑定和信号意图,这两者都计划在 1 月初进行。
Quicksilver 致力于为整个 Cosmos 提供 Interchain Liquid Staking 和支持去中心化。我们准备好再次出发,一如既往的强大。
保持联系 关注我们的社交渠道,了解我们的最新消息、空投和活动。
Twitter: https://twitter.com/quicksilverzone
Telegram: https://t.me/quicksilverzone
Discord: https://discord.gg/kTsQAZmmzZ
Website: https://quicksilver.zone
Whitepaper: https://quicksilver.zone/whitepaper.pdf
No activity yet