rangeproof

链捕手メッセージ、Cosmosの共同創設者Ethan Buchmanは、BNB ChainのクロスチェーンブリッジBSC Token Hubの攻撃事件について意見を述べ、今回の事件の問題の核心はハッカーがMerkle証明を偽造できたことにあると指摘しました。これは発生すべきではなく、Merkle証明は高い完全性を提供するべきです。ブロックチェーンの軽量クライアント（およびIBC）はMerkle証明の上に構築されており、多くのブロックチェーンはデータをMerkleツリーに保存することで、特定のデータがツリーに含まれていることを証明する証明を生成できます。CosmosチェーンはIAVLと呼ばれるMerkleツリーを使用しており、IAVLリポジトリは範囲証明"RangeProof"を使用するAPIを公開していますが、実際にはRangeProofの内部動作に重大な欠陥があることが判明しました。IAVL RangeProofのコードの問題は、InnerNodeのLeftおよびRightフィールドを埋めることを許可している点にあります。攻撃者は基本的に、検証されていない情報をRightフィールドに貼り付けることによってこの利点を利用し、その情報はハッシュ計算に影響を与えず、検証者が特定の葉ノードがツリーの一部であると信じ込ませることに成功しました。したがって、彼らはMerkle証明を偽造することに成功しました。Buchmanは、RangeProofを使用することは良いアイデアではないが、内部ノードの左右フィールドが同時に埋められた場合に証明を事前に拒否する方法があると述べました。IBCにおけるMerkle証明では、IBCはIAVLツリーの組み込みRangeProofシステムを使用せず、代わりにICS23標準を使用してIAVLツリーからMerkle証明を生成および検証します。ICS23のコードにはこの脆弱性がなく、明確に"RangeProof"を"拒否"することができます。（出典リンク）