QOS技术团队利用漏洞击破Cosmos测试网，获Cosmos官方承认和奖励！

北京时间11月12日晚间，QOS核心技术团队做为链圈内翘首以待的Cosmos项目测试网的成员之一，在gaia-9001版本上发现了重大bug，QOS技术团队给这个漏洞命名为XYZ实现代码漏洞（由发现漏洞的核心技术的名字组成），该漏洞致使全网的steak代币流通量翻了10倍，系统风险和破坏性可想而知。

那QOS的技术团队是如何发现XYZ实现代码漏洞的呢？QOS CTO李杰介绍说，主要是基于团队成员对Cosmos 0.26.1-rc1版本源码的熟悉，以及对Cosmos主体逻辑的把握。以下图标记的三个步骤所示，经过构造必定的触发条件，使程序只执行步骤一和步骤二，忽略步骤三，就能够凭空产生代币。

发现bug的源码文件是github.com/cosmos/cosmos-sdk/x/auth/ante.go。

（发现漏洞的代码截图）

事实上，对于任何一个公链生态系统来讲，其代币的发行与流通是生态稳定运做的一个重要环节，主要是经过完备的通证经济模型来实现的，这次QOS技术团队发现的这个bug正属于这个范畴。简单来讲，这个bug的存在容许各个节点无视系统规则自行发代币，其结果可能致使各个节点上的代币总和大于项目自己预计的代币总数，从而引起系统瘫痪，这对整个项目和生态来讲都是致命的打击。

昨晚XYZ实现代码的漏洞一经出现就致使gaia-9001全网瘫痪，在Cosmos社群也引发了极大的关注和热议。

（社区引发热议的截图）

截止目前，gaia-9001测试网仍处于升级状态，项目方原定于今日举行的牛排大赛（Game of Stakes，GoS）也所以次漏洞日后推移。随后，Tendermint实验室负责人、丰元创投（Amino Capital）顾问、可信物联网联盟（Trusted IoT Alliance）执行董事Zaki Manian 先生做为 Cosmos表明，对QOS技术团队的贡献给予确定，还表示将给予QOS核心技术团队奖励。此外，多位社区开发者也为QOS技术团队的贡献点赞并我的给予代币激励。

（zaki给予确定的截图）

（社区其余我的技术开发者称赞并奖励的截图，KAUCHY是QOS核心技术团队在Cosmos社区的帐号之一）

Cosmos是一个由区块链组成的网络 (Internet of Blockchains)，它的建立是为了解决一些区块链社区长久以来存在的问题，Cosmos 网络由不一样的独立、平行区块链组成，其中的每条区块链都经过例如 Tendermint 这样的经典拜占庭容错共识运行，在互操做性、可扩展性、可升级性等等方面都有极大的突破。

QOS CTO李杰表示，QOS技术团队深刻研究了Cosmos的整个技术架构以及经济模型，也学习和借鉴了不少Cosmos在分区、跨链等问题上的处理方式，虽然QOS和Cosmos都采用了Tendermint共识引擎 ，但QOS在业务场景上跟Cosmos仍是有很大的差别。两个项目在技术定位和架构上有不一样的特征和侧重，但也有互通、互相值得学习的地方，目前QOS技术团队也在申请成为Cosmos的验证节点，争取在技术层面作更多的沟通与交流。