dent于它的网络和应用程序 Jump Crypto 的事后报告显示,该漏洞允许恶意验证者利用 SGN EndBlocker 代码中的错误,使他们能够对同一更新进行多次投票。
Web3 开发人员发布了他的报告
代码中的这一缺陷允许恶意行为者放大他们的投票权,可能会批准有害或无效的更新。 Celer是一个基于Cosmos区块链,促进跨链通信,它在GitHub上发布了部分链下SGNv2代码,促使Jump审查脚本并私下通知Celer的协议团队有关该漏洞的信息。 Celer 立即解决了该问题,并在任何恶意利用发生之前修复了该问题。
该漏洞为恶意验证者提供了一系列选项,包括操纵链上事件的能力,例如桥接传输、消息发送以及 Celer 主要 SGNtrac上的质押和委托。 虽然 Celer 已经实施了防御机制来防止过桥资金被完全盗窃,但 Web3 开发人员的报告强调了三项具体的保护措施。 其中包括转账超过一定值时由桥接trac触发的转账延迟、限制短期内提trac币的交易量控制机制以及因trac不足而紧急停止合约等恶意转账引起的事件。
然而,尽管采取了这些安全措施,报告强调该协议并未得到完全保护。 交易限制适用于每个链和代币,这意味着攻击者有可能在trac停止之前窃取价值约 3000 万美元的代币。 该金额约占 Celer 当前锁定总价值的 23%。
Celer 解决了这个问题并扩大了其错误赏金计划
Web3 开发人员的报告进一步强调,虽然 Celer 的内置机制可以保护其桥接trac,但默认情况下,构建在 Celer 链间消息传递之上的去中心化应用程序 (dApp) 仍然容易受到此类漏洞的影响。
Celer 有一个错误赏金计划,针对其网桥中的漏洞提供 200 万美元的奖励。 然而,它不涵盖链下错误,例如在 SGNv2 网络中发现的错误。 Jump Crypto 一直在与 Celer 就将 SGNv2 网络添加到其错误赏金计划进行讨论,Celer 团队目前正在评估 Jump 报告的潜在支出。
识别和快速解决凸显了区块链行业严格的安全措施和错误赏金计划的重要性dent 通过及时解决这些问题,网络可以增强其弹性并在不断发展的 Web3 环境中保护用户资产。
