作者:律动BlockBeats
想要创建一个可快速创新且适应性强的区块链来满足当今和未来数十亿人的需求。期望用户体验在安全性和可扩展性方面能得到明显的改善。使区块链对普通用户,尤其是非加密原生用户来说更具适用性,以加快互联网用户对web3的采用。
团队背景与项目起源
Aptos于2021年创立,总部位于加利福尼亚州的帕洛阿尔托,主要领导者MoShaikh与AveryChing也曾是Diem与Novi的主要构建者。
Meta踏足加密领域遇到坎坷重重,许多项目一度停摆,不少成员离开Meta,后继续投身加密领域。MoShaikh与AveryChing亦是如此,在Diem被阻止启动后离开了Meta,与许多Diem和Novi的初创造者、研究人员、设计师和建造者等核心开发人员聚集在一起,在开源的Diem代码库的基础上建立了一个名为Aptos的新网络。
当前许多Aptos的团队成员曾在Meta工作,这意味着Aptos团队有丰富的大规模开发和部署系统的经验,且Aptos使用团队成员同样熟悉Move语言,成员不必增加新的学习成本。
Beosin:BSC链上的gala.games项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BSC链上的gala.games项目遭受攻击,Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens(GALA) 代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB,攻击者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。
第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
据Aptos披露,联合创始人AveryChing是构建分布式系统的世界领先专家之一,除其以外,还有AldenHu、AlinTomescu、DahliaMalkhi、DavidWolinsky、GregNazario、JakeSkinner、JoshLind等许多由博士、研究人员、工程师、设计师和战略家组成的其他团队成员。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
Aptos将部分建立在其团队成员过去三年中公开开发的技术之上,计划在安全性、可扩展性以及可升级性三方面着手进行部署。
慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:
1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;
3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;
4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;
5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;
6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;
7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;
8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;
9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]
安全性
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
Move编程语言
在语言上,Aptos使用的是最初为Diem开发的Move编程语言,Move语言专为在区块链上进行安全资源管理和可验证执行而设计。三年前,这些工作人员同时开发了区块链和Move语言。当前账户、交易费用、标准库、验证节点管理和配置都通过Move实现。Move被很多?誉为Diem最大的创新。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
众所周知,以太坊的Solidity是当前开发者最常用的语言之一,功能强大具有良好的可扩展性。Move与其相比,安全性较为突出,从底层内存和智能合约编程的代码层面,提供了非常强大的安全保证。
Hotstuff共识衍生品
Aptos提出其开发了生产级、高保证、低延迟的拜占庭容错(BFT)引擎,在过去三年中,实施了共识协议的第四次迭代。HotStuff是一种基于领导者的拜占庭容错复制协议,用于部分同步模型。一旦网络通信变得同步,HotStuff使正确的领导者能够以实际网络延迟的速度推动协议达成共识。
Aptos团队在私有主网环境中升级了共识协议,添加了一个主动起搏器,使用超时来同步验证器,远快于等待增加的超时,区块只需两次网络往返即可提交,实现了亚秒级的最终确定性。且Aptos的声誉系统无需任何人为干预,即可分析链上状态并自动更新领导者轮换,适用无响应的验证者。协议清楚地将活性与安全区分开来。无论网络不可达或非安全核心以某种方式受到损害,只要BFT诚实保证得到维护,链就不会分叉。
验证测试、密钥与多代理交易
为保证安全性,Aptos团队在不同环境中运行大量验证器,对AptosCore进行了反复测试。
且Aptos中设置了帐户密钥恢复和轮换协议,主要防止密钥被盗的情况发生,具体表现为Aptos支持任何帐户轮换其私钥,验证者还可以定期轮换他们的共识密钥。为防止密钥丢失,Aptos还在开发可直接集成到区块链账户模型中的密钥恢复新技术。
Aptos通过多代理交易,利用Move的签名者类型,允许在单个交易中跨多个链上账户进行任意数量的原子操作。
可扩展性
指标与测量
高交易费用、低吞吐量和高最终确定性限制了区块链的普及与发展,Aptos认为L1应该重视发展可扩展性,从而优化用户体验。
从区块链性能指标来说,因测试基准不同,所以数据可能存在差异,Aptos打算分享基准测试框架并比较不同区块链上各种用例的性能特征。如吞吐量TPS与最终确定性。
吞吐量与最终确定性
在提高吞吐量与最终确定性速度的规划中,Aptos计划将共识协议与交易执行完全分离。团队为推进交易传播,已着手开发迭代下一个共识协议,可能将于今年在测试网推出。
除此之外,另一个难题是交易执行时间。Aptos使用受软件事务内存启发的新技术,在仅执行基准测试中只使用32个内核实现了每秒超过130k的事务。
在性能方面最后一个瓶颈是经过身份验证的数据结构和相关的状态存储。在验证账本状态时,内存中的Merkletree在小规模上是有效的,但无法将大型Merkletree写入持久存储。为解决这个问题,Aptos正在通过探索更高的分支因子、访问模式优化的缓存和仔细的版本控制来设计经过身份验证的数据结构,且Aptos还在开发对大型帐户的支持。
并行账户交易及控制交易排序
与以太坊普及的序列号方法不同,Aptos使用的是尝试使用抗冲突的序列号来增强序列号方法,允许帐户在序列号窗口上并行,同时仍然允许用户在必要时控制交易排序。考虑未来实现更灵活和可组合的并行账户交易。
支持管理节点不同状态
高吞吐量区块链,节点之间的状态同步可能是CPU密集型的,Aptos支持一系列不同的状态同步协议。且为了支持廉价的全节点,Aptos中有一个协议可同步交易及其由法定人数验证者签署的执行结果,允许节点以更高的网络吞吐量为代价跳过计算,并直接从已执行的账本状态更新账本状态结果。
不同于大多数区块链需下载区块链来获取最新的分类账本,Aptos客户端可以使用交易累加器来获取最新提交的交易,且许对以前的交易和分类帐进行修剪。
可升级性
区块链发展日新月异,从Defi到NFT再到DAO,热点类型不停变换。但许多底层协议在发布后都难以做出重大改进,以至于当前网络难以快速适应不断发展的web3需求。
Aptos提出一些网络尝试进行重大升级时,有的曾停机数小时,有的经历了意外的硬分叉。而Aptos在验证者的管理和配置采用链上状态进行管理,方便社区投票和快速执行升级,在过去几年中成功执行了多次重大升级而没有停机,确保部署安全可靠。
融资情况与路线图
Aptos于3月15日表示完成了由a16z领投,TigerGlobal、KatieHaun、MulticoinCapital、ThreeArrowsCapital、FTXVentures和CoinbaseVentures等众多知名VC参投的2亿美元融资。
而后,不仅BinanceLabs宣布投资了AptosLabs,支付巨头PayPal也表示曾参与投资,这是PayPalVentures投资的首个Layer1公链项目。需要注意的是,为了保持与Meta的隔离,保证Aptos的独立性,该项目并未从Meta相关人员处融资。
根据当前Aptos的路线图规划,今年Q1发布开发者测试网,开发人员从3月15日起,即可开始在Aptos测试网上进行构建。在与战略合作伙伴和web3开发者社区合作,同时收集反馈并改进Move开发者体验和Move语言。
Q2启动激励性测试网,提供更大的测试平台,与节点运营商社区合作,共同运营去中心化网络。提出漏洞赏金完善基础架构,并为保护网络的参与者提供激励机制。这里需要注意的是,开发网和测试网的不同在于,开发网主要是为了尝试新想法构建,而测试网用于验证核心开发人员测试的结果,为主网上线做准备。
Aptos计划于今年Q3发布主网,Q4至明年Q1将下一个主要版本部署到Aptos主网。
当前开发人员可在激励测试网上进行构建,第二期激励测试也即将开始,符合其硬件要求的用户可以运行节点参与其中。
在应用方面,Pontem开发的Liquidswap是Aptos网络上的第一个去中心化交易所。Pontem是一家产品开发工作室,据其所说还可能与Aptos合作构建开发工具、EVM、AMM等其他Dapp与基础设施。除了Liquidswap之外,Aptos上还有Fewcha钱包。且MartianDAO也正在为Aptos生态系统构建各种产品,包括MartianWallet,以及一个名为Curiosity的NFT市场,可适当关注。
链捕手消息,隐私基础设施项目Nym宣布推出了Nym创新基金,目前已从一系列风险资本投资者获得了3亿美元的承诺.
1900/1/1 0:00:00作者:EOS网络基金会2022年6月15日20:00,EOS网络基金会最新一期非正式柚谈栏目开播,本期话题将围绕Web3展开.
1900/1/1 0:00:00链捕手消息,近日,火币科技控股有限公司旗下全资子公司火币资产管理有限公司联合TopValueFinance发布区块链储存IPFS基建矿业基金.
1900/1/1 0:00:00撰文:HaseebQureshi,DragonflyCapital编译:Aididiao随着跨链桥的普及,跨链资本流动在3月份超过250亿美元,达到顶峰.
1900/1/1 0:00:002022年奥斯汀区块链周即将拉开帷幕,区块链与加密爱好者将齐聚美国得克萨斯州首府奥斯汀,这将是一场令人期待的盛大活动周.
1900/1/1 0:00:00链捕手消息,针对Biance首席执行官赵长鹏提出,当Terra陷入困境时,Terra的比特币储备去了哪里的问题,据加密分析公司Elliptic的数据称,LFG基金会已将代币转移到两个地方.
1900/1/1 0:00:00