QOS技術團隊利用漏洞擊破Cosmos測試網，獲Cosmos官方承認和獎勵！

北京時間11月12日晚間，QOS核心技術團隊做爲鏈圈內翹首以待的Cosmos項目測試網的成員之一，在gaia-9001版本上發現了重大bug，QOS技術團隊給這個漏洞命名爲XYZ實現代碼漏洞（由發現漏洞的核心技術的名字組成），該漏洞致使全網的steak代幣流通量翻了10倍，系統風險和破壞性可想而知。

那QOS的技術團隊是如何發現XYZ實現代碼漏洞的呢？QOS CTO李傑介紹說，主要是基於團隊成員對Cosmos 0.26.1-rc1版本源碼的熟悉，以及對Cosmos主體邏輯的把握。以下圖標記的三個步驟所示，經過構造必定的觸發條件，使程序只執行步驟一和步驟二，忽略步驟三，就能夠憑空產生代幣。

發現bug的源碼文件是github.com/cosmos/cosmos-sdk/x/auth/ante.go。

（發現漏洞的代碼截圖）

事實上，對於任何一個公鏈生態系統來講，其代幣的發行與流通是生態穩定運做的一個重要環節，主要是經過完備的通證經濟模型來實現的，這次QOS技術團隊發現的這個bug正屬於這個範疇。簡單來講，這個bug的存在容許各個節點無視系統規則自行發代幣，其結果可能致使各個節點上的代幣總和大於項目自己預計的代幣總數，從而引起系統癱瘓，這對整個項目和生態來講都是致命的打擊。

昨晚XYZ實現代碼的漏洞一經出現就致使gaia-9001全網癱瘓，在Cosmos社羣也引發了極大的關注和熱議。

（社區引發熱議的截圖）

截止目前，gaia-9001測試網仍處於升級狀態，項目方原定於今日舉行的牛排大賽（Game of Stakes，GoS）也所以次漏洞日後推移。隨後，Tendermint實驗室負責人、豐元創投（Amino Capital）顧問、可信物聯網聯盟（Trusted IoT Alliance）執行董事Zaki Manian 先生做爲 Cosmos表明，對QOS技術團隊的貢獻給予確定，還表示將給予QOS核心技術團隊獎勵。此外，多位社區開發者也爲QOS技術團隊的貢獻點贊並我的給予代幣激勵。

（zaki給予確定的截圖）

（社區其餘我的技術開發者稱讚並獎勵的截圖，KAUCHY是QOS核心技術團隊在Cosmos社區的帳號之一）

Cosmos是一個由區塊鏈組成的網絡 (Internet of Blockchains)，它的建立是爲了解決一些區塊鏈社區長久以來存在的問題，Cosmos 網絡由不一樣的獨立、平行區塊鏈組成，其中的每條區塊鏈都經過例如 Tendermint 這樣的經典拜占庭容錯共識運行，在互操做性、可擴展性、可升級性等等方面都有極大的突破。

QOS CTO李傑表示，QOS技術團隊深刻研究了Cosmos的整個技術架構以及經濟模型，也學習和借鑑了不少Cosmos在分區、跨鏈等問題上的處理方式，雖然QOS和Cosmos都採用了Tendermint共識引擎 ，但QOS在業務場景上跟Cosmos仍是有很大的差別。兩個項目在技術定位和架構上有不一樣的特徵和側重，但也有互通、互相值得學習的地方，目前QOS技術團隊也在申請成爲Cosmos的驗證節點，爭取在技術層面作更多的溝通與交流。