Oasis Accelerate 2022 대상 프로젝트들이 발표되었습니다.
대상 프로젝트는
1. BetterData
2. Sendit.money
3. runeguard.net
4. toggle.io
5. LibertasDAO
6. RosArt
7. valaxyio
8. SilentData
9. Rhythm & Bizness
10. defibet.house
11. Proofmarked
12. Valoro
13. Billions Health
14. ForSale
15. Leadr
위와 같습니다.
각 프로젝트의 짤막한 설명은 트위터에 들어가셔서 확인이 가능하고,
개인적으로는 많이는 들어보지 않은 신생 프로젝트들이라,
이 프로젝트들이 잘 자라서 오아시스 랩스 체인상에서 킬러 댑으로 작용하길 바랍니다 :)
대상 프로젝트는
1. BetterData
2. Sendit.money
3. runeguard.net
4. toggle.io
5. LibertasDAO
6. RosArt
7. valaxyio
8. SilentData
9. Rhythm & Bizness
10. defibet.house
11. Proofmarked
12. Valoro
13. Billions Health
14. ForSale
15. Leadr
위와 같습니다.
각 프로젝트의 짤막한 설명은 트위터에 들어가셔서 확인이 가능하고,
개인적으로는 많이는 들어보지 않은 신생 프로젝트들이라,
이 프로젝트들이 잘 자라서 오아시스 랩스 체인상에서 킬러 댑으로 작용하길 바랍니다 :)
Forwarded from 오아시스 네트워크 ($ROSE) 공지 채널
2022년 1분기 오아시스 커뮤니티 타운홀
한국 시간 기준 2022년 2월 9일 수요일 오전 2시에 오아시스 재단 커뮤니티 타운홀에서 핵심 팀의 프로젝트 관련 업데이트 및 진행 상황을 확인해 보실 수 있습니다.
블로그 bit.ly/oasis_2022q1_townhall
한국 시간 기준 2022년 2월 9일 수요일 오전 2시에 오아시스 재단 커뮤니티 타운홀에서 핵심 팀의 프로젝트 관련 업데이트 및 진행 상황을 확인해 보실 수 있습니다.
블로그 bit.ly/oasis_2022q1_townhall
Medium
2022년 1분기 오아시스 커뮤니티 타운홀
한국 시간 기준 2022년 2월 9일 수요일 오전 2시에 오아시스 재단 커뮤니티 타운홀에서 핵심 팀의 프로젝트 관련 업데이트 및 진행 상황을 확인해 보실 수 있습니다.
Forwarded from 오아시스 네트워크 ($ROSE) 공지 채널
오아시스 네트워크, DappRadar와 $500,000 액셀러레이터 프로그램 발표
본 액셀러레이터 프로그램은 10개의 블록체인 팀에게 각각 최대 $50,000의 펀딩과 전문적인 지원을 제공합니다. 오아시스 네트워크에 Dapp을 성공적으로 배포하는 팀은 2억 달러 규모의 생태계 펀드의 추가 투자를 받을 기회가 있습니다.
블로그 t.co/6F26H5aAwF
본 액셀러레이터 프로그램은 10개의 블록체인 팀에게 각각 최대 $50,000의 펀딩과 전문적인 지원을 제공합니다. 오아시스 네트워크에 Dapp을 성공적으로 배포하는 팀은 2억 달러 규모의 생태계 펀드의 추가 투자를 받을 기회가 있습니다.
블로그 t.co/6F26H5aAwF
Medium
DappRadar X Oasis Network $500,000 Accelerator Program
DappRadar X Oasis Network $500,000 Accelerator Program
오아시스 네트워크 ($ROSE) 공지 채널
오아시스 네트워크, DappRadar와 $500,000 액셀러레이터 프로그램 발표 본 액셀러레이터 프로그램은 10개의 블록체인 팀에게 각각 최대 $50,000의 펀딩과 전문적인 지원을 제공합니다. 오아시스 네트워크에 Dapp을 성공적으로 배포하는 팀은 2억 달러 규모의 생태계 펀드의 추가 투자를 받을 기회가 있습니다. 블로그 t.co/6F26H5aAwF
오전에 공유드린 MetaMindLabs 의 액셀러레이팅과 다르게 댑레이더에와 함께 진행하는 프로그램으로 보이는데, 각 플젝당 5만불정도의 지원을 최대로 해주는 것 같습니다.
킬러댑들아 나와라!
킬러댑들아 나와라!
Forwarded from 오아시스 네트워크 ($ROSE) 공지 채널
오아시스 x 메타마인드 액셀러레이터 프로그램에 15개 팀 온보딩
메타마인드 액셀러레이터 프로그램에 선정된 팀들은 12주 동안 오아시스 테크놀로지, 전문가 멘토링 및 350만 달러 풀의 펀딩으로 차세대 블록체인 및 DeFi 앱을 구축할 것입니다.
트위터 twitter.com/oasisprotocol/status/1488992573695873027
메타마인드 액셀러레이터 프로그램에 선정된 팀들은 12주 동안 오아시스 테크놀로지, 전문가 멘토링 및 350만 달러 풀의 펀딩으로 차세대 블록체인 및 DeFi 앱을 구축할 것입니다.
트위터 twitter.com/oasisprotocol/status/1488992573695873027
Twitter
Oasis Foundation
We're thrilled to welcome 15 bright teams to the Oasis x MetaMind Accelerator! They'll spend 12 weeks building the next-generation of blockchain & DeFi apps with Oasis Technology, expert mentorship, & funding from a pool of $3.5M 🚀 Congrats & good luck! We…
Wormhole 유출에 대한 분석글 번역입니다.
요약하면, 가디언 증명을 공격자가 흉내낼 수 있는 보안 구멍이 있었고, 이를 통해 12만 이더를 솔라나에서 민팅, 이 중 93750개를 이더리움으로 다시 가져갔습니다.
아래는 상세 분석입니다.
———————————-
1. 취약점이 발생한 곳이 이더리움일지, 솔라나일지 확인이 필요합니다.
인코딩된 VM 확인시, 공격자는 Guradian의 유효 서명을 포함하고 있었으며, 이를 수행하기 위해서는
- 프라이빗 키를 탈취했거나
- 브릿지의 취약점을 공격
하였을 것으로 보입니다.
2. 브릿지에 $600MM에 달하는 토큰을 남겨둔 것으로 볼 때, 후자에 해당할 가능성이 높을 것입니다.
예상했듯, 솔라나 네트워크 상에는 공격자가 ETH를 브릿지를 통해 빼낸 트랜잭션이 남아있습니다.
3. 그런데 어떻게 12만 ETH를 빼낼 수 있던걸까요?
그 부분은 이전 트랜젝션에서 확인할 수 있습니다.
4. 이 트랜젝션에서, 웜홀의 Github 확인시 공격을 완료하기 위해서는 'complete_wrapped' 함수를 불러야 함을 확인했습니다.
5. 하지만 그 함수는 유효한 VAA가 필요합니다.
공격자가 어떻게 브릿지에서 먹히는 VAA 계정을 만들 수 있었을까요?
공격자가 사용한 VAA 계정을 확인하였을 때, 이것이 이전에 발생한 트랜젝션에서 발생하였음을 확인하였습니다.
6. 이 트랜젝션에서, 공격자는 post_vaa 함수를 메인 웜홀 브릿지에서 호출했습니다.
7. 이제는 그 post_vaa 함수를 통해서 어떻게 서명 검증을 통과하였는지를 알아야 합니다.
8. 공격자는 또 다른 트랜젝션 에서 SigenatureSet을 제공하였고, 이것이 메인 브릿지의 'verify_signatures' 를 호출하였습니다.
9. verify_signatures는 guardian에 의해 제공된 서명 집합을 SignatureSet으로 압축하는 역할을 합니다.
하지만 이 함수 내에서 어떠한 검증을 수행하지는 않죠. 대신에, 이 부분을 Secp256k1 프로그램에 위임합니다.
요약하면, 가디언 증명을 공격자가 흉내낼 수 있는 보안 구멍이 있었고, 이를 통해 12만 이더를 솔라나에서 민팅, 이 중 93750개를 이더리움으로 다시 가져갔습니다.
아래는 상세 분석입니다.
———————————-
1. 취약점이 발생한 곳이 이더리움일지, 솔라나일지 확인이 필요합니다.
인코딩된 VM 확인시, 공격자는 Guradian의 유효 서명을 포함하고 있었으며, 이를 수행하기 위해서는
- 프라이빗 키를 탈취했거나
- 브릿지의 취약점을 공격
하였을 것으로 보입니다.
2. 브릿지에 $600MM에 달하는 토큰을 남겨둔 것으로 볼 때, 후자에 해당할 가능성이 높을 것입니다.
예상했듯, 솔라나 네트워크 상에는 공격자가 ETH를 브릿지를 통해 빼낸 트랜잭션이 남아있습니다.
3. 그런데 어떻게 12만 ETH를 빼낼 수 있던걸까요?
그 부분은 이전 트랜젝션에서 확인할 수 있습니다.
4. 이 트랜젝션에서, 웜홀의 Github 확인시 공격을 완료하기 위해서는 'complete_wrapped' 함수를 불러야 함을 확인했습니다.
5. 하지만 그 함수는 유효한 VAA가 필요합니다.
공격자가 어떻게 브릿지에서 먹히는 VAA 계정을 만들 수 있었을까요?
공격자가 사용한 VAA 계정을 확인하였을 때, 이것이 이전에 발생한 트랜젝션에서 발생하였음을 확인하였습니다.
6. 이 트랜젝션에서, 공격자는 post_vaa 함수를 메인 웜홀 브릿지에서 호출했습니다.
7. 이제는 그 post_vaa 함수를 통해서 어떻게 서명 검증을 통과하였는지를 알아야 합니다.
8. 공격자는 또 다른 트랜젝션 에서 SigenatureSet을 제공하였고, 이것이 메인 브릿지의 'verify_signatures' 를 호출하였습니다.
9. verify_signatures는 guardian에 의해 제공된 서명 집합을 SignatureSet으로 압축하는 역할을 합니다.
하지만 이 함수 내에서 어떠한 검증을 수행하지는 않죠. 대신에, 이 부분을 Secp256k1 프로그램에 위임합니다.
Twitter
samczsun
First, we had to determine where the exploit occurred. Ethereum, or Solana? A quick check of the encoded VM that the attacker submitted showed that it contained valid signatures from the guardians. This meant that either they got the private keys, or they…
알랑이 정보교류소
Wormhole 유출에 대한 분석글 번역입니다. 요약하면, 가디언 증명을 공격자가 흉내낼 수 있는 보안 구멍이 있었고, 이를 통해 12만 이더를 솔라나에서 민팅, 이 중 93750개를 이더리움으로 다시 가져갔습니다. 아래는 상세 분석입니다. ———————————- 1. 취약점이 발생한 곳이 이더리움일지, 솔라나일지 확인이 필요합니다. 인코딩된 VM 확인시, 공격자는 Guradian의 유효 서명을 포함하고 있었으며, 이를 수행하기 위해서는 …
ㅠㅠ 열심히 썼는데 글이 짤려서 이어서 씁니다...
————————-
10. *** 그리고 이 부분에 문제가 있습니다.
'solana_program::sysvar::instruction' 모드는
Instructions sysvar의 명령어를 수행하여야 하며,
이는 Solana 내부의 precompile 라이브러리 중 하나입니다.
그러나,
웜홀이 사용하던 'solana_program'은 이 명령어를 호출하는 주소에 대한 타당성 검증을 수행하지 않았습니다.
11.
즉, 당신은 Instruction sysvar가 가졌을 같은 데이터를 당신의 계정에 저장하여, 이 계정을 verify_signatures 함수가 수행될 때 이 계정으로 검증을 대체할 수 있게 됩니다.
12.
그것이 공격자가 한 일입니다. 몇시간 전, 공격자들은 Secp256k1 contract를 호출하도록 하는 하나의 serialized instruction을 포함하는 계정을 생성하였습니다.
그리고 그 계정을 Instruction sysvar인것처럼 넘겼죠.
13.
그들이 가짜 SignatureSet을 가진 이후, 이를 통해서 유효한 VAA를 만들고 그들의 계정에 허가되지 않은 Mint를 수행하였습니다.
나머지는 아시는 대로입니다.
————————-
10. *** 그리고 이 부분에 문제가 있습니다.
'solana_program::sysvar::instruction' 모드는
Instructions sysvar의 명령어를 수행하여야 하며,
이는 Solana 내부의 precompile 라이브러리 중 하나입니다.
그러나,
웜홀이 사용하던 'solana_program'은 이 명령어를 호출하는 주소에 대한 타당성 검증을 수행하지 않았습니다.
11.
즉, 당신은 Instruction sysvar가 가졌을 같은 데이터를 당신의 계정에 저장하여, 이 계정을 verify_signatures 함수가 수행될 때 이 계정으로 검증을 대체할 수 있게 됩니다.
12.
그것이 공격자가 한 일입니다. 몇시간 전, 공격자들은 Secp256k1 contract를 호출하도록 하는 하나의 serialized instruction을 포함하는 계정을 생성하였습니다.
그리고 그 계정을 Instruction sysvar인것처럼 넘겼죠.
13.
그들이 가짜 SignatureSet을 가진 이후, 이를 통해서 유효한 VAA를 만들고 그들의 계정에 허가되지 않은 Mint를 수행하였습니다.
나머지는 아시는 대로입니다.
solscan.io
Account 2tHS1cXX2h1KBEaadprqELJ6sV9wLoaSdX68FqsrrZRd
View transactions, balances and other info of 2tHS1cXX2h1KBEaadprqELJ6sV9wLoaSdX68FqsrrZRd
Oasis Doodle도 나왔군요...
다른 곳에서 유망한 NFT들이 마이그레이션하는것도 나름 하이프가 있을랑가 모르겠네요...
일단은 디스코드 에 들어와있으시면 뭔가 있을 것 같고,
화리는 100 로즈에 민팅,
퍼블릭은 150로즈에 민팅이라고 합니다.
AI Rose랑 Pixel Oasis가 상대적으로 독창적이었다는 생각도 드네용 ㅎㅎ
다른 곳에서 유망한 NFT들이 마이그레이션하는것도 나름 하이프가 있을랑가 모르겠네요...
일단은 디스코드 에 들어와있으시면 뭔가 있을 것 같고,
화리는 100 로즈에 민팅,
퍼블릭은 150로즈에 민팅이라고 합니다.
AI Rose랑 Pixel Oasis가 상대적으로 독창적이었다는 생각도 드네용 ㅎㅎ