Omni漏洞探究

9月18日凌晨，Omni官方Twitter发出公告，大意是说发现engine模块出现一个问题，导致了浏览器不可用，不响应，正在重启进程，预计会在北京时间9月18日11:00完成。

这到底是一个什么样的BUG？

对于Omni这个BUG Wormhole团队也在第一时间进行了跟进以及调研，我们在Omni官方twitter中可以看到Omni团队对这一BUG的解释：

可以看到Omni团队指出：“任何依赖于其他Omni节点的服务不受影响，但是如果服务运行依托于Omni的官方浏览器，那么会遭遇相同的服务暂停问题”。

由上述描述可以看出，Omni的核心客户端以及它的协议层未出BUG；当前出的BUG是由于他们的浏览器暂停服务，导致依赖于该浏览器API运行的其他服务，都出现停滞。

这个BUG会对Wormhole造成影响吗？

要回答这个问题我们先来看一看Omni2协议大概的架构:

可以看到Omni协议主要分为两块，一块是Omnicore，它负责接收区块以及Omini交易的解析。另一块是engine，它负责将Omnicore解析的交易数据写入数据库，以供钱包、浏览器、以及一些其他的外部应用使用。而Wormhole主要用了Omnicore模块，从Omni官方以及我们的测试得知：该模块并没有出问题。

出问题的这个engine模块到底有哪些作用呢？engine模块在系统中的作用如下所述：

• Engine定时向omnicore请求最新高度，和本地数据库中的块高度对比；
• 检查本地区块链是否和omnicore端出现分叉；
• 从omnicore端请求块信息及omni相关交易，提取信息写入本地数据库；
• 计算每笔omni交易中的每个地址不同token的交易流水，将地址余额写入本地数据库；
• 记录各种token的创建及更改信息；
• 记录每笔交易的原始json字符串；
• 记录钱包blob、sessions等信息；
• 记录交易所买卖等信息；

后记

综上这个BUG只会对Omni浏览器，钱包以及其他基于Omni协议的第三方应用造成服务暂停的影响，并不会对Wormhole造成影响。我们Wormhole团队也会持续关注该issue的最新进展。Omni对于本次BUG的事故报告可见参考这里