作者:Victoria,律动BlockBeats
ChainflipLabs是一种基于Substrate的去中心化、去信任的协议。该协议可以通过自动做市商模型在不同区块链之间实现自动跨链交换且无需验证用户身份。
与CEX一样,Chainflip通过在每条链上部署钱包来连接链。不同之处在于Chainflips的协议协调是通过广泛接受的数据库StateChain实现的,而非集中式数据库。
用户无需备份密钥文件、下载新的浏览器钱包或安装一些特殊软件,只需要网络、浏览器和目标地址,发送Token并提供兼容的地址就能够以无需信任的方式跨链swap。在swap的任何阶段,都不需要原生Token(FLIP),因为用FLIP支付的网络费用会自动从交换中扣除,并通过流动性池,最终被烧毁。
ChainflipLabs该项目具有swap速度快、易于使用、跨链扩展性强等优势。其最终目标是为所有主要区块链实现自动化交换,为用户提供一种易于使用、可靠、安全且无需许可的方法来完全避免托管交换。他们认为广义跨链能力、去中心化、产品的可用性等属性和指标对于实现该目标很重要。
安全团队:Defrost Finance被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Defrost Finance预言机被恶意修改,并且添加了假的抵押token清算当前用户,损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址,随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址,最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上,目前有490万美元的DAI在0x4e22地址上,有500万美元的DAI在0xfe71地址上,剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]
需要注意的是,该项目的安全模型侧重于惩罚恶意行为,仍存在由于智能合约漏洞或错误、支持链上重组等带来的安全风险。
由于ChainflipLabs在自己的独立执行环境中运行,大部分交换执行可以由验证者网络自动执行,无需复杂的用户交互。未来该项目应该最大限度地利用这一点,并且应该设计新功能以利用这一点为用户带来利益。
Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]
工作原理
Uniswap,Curve和其他现有的流动性池平台依靠以太坊智能合约保证安全,使用户可以无信任地将资金送入和送出这些平台。Chainflip作为跨链,不能依靠单一智能合约的安全来产生预期的结果。相反,Chainflip依靠的是一个保险库系统,它可以无信任地保护平台用户的资金。每个支持的区块链都有一个金库,由验证者操作,这是一种特殊类型的服务器,联合管理的加密货币钱包,由被称为验证者的桩节点控制。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
为了创建这些金库,验证者参与了一个设置过程,在这个过程中,新节点被确定地选择为下一个活跃的金库服务。这些节点共同构建了一个阈值签名钱包,只有在给定的验证者的阈值签署交易时,才能从中发送交易。用于生成金库的方案在签署交易时不需要受信任的交易商或披露密钥,投入到网络中以获得奖励。验证者和他们的金库使Chainflip有能力以安全和无信任的方式存储资金,但与智能合约代码不同的是,它没有给出资金在金库中应该如何处理的明确规则集。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
为了实现这一点,Chainflip的设计包括一个状态链,基于Polkadot的Substrate框架,作为Chainflip的协调机制。它包含所有与金库内容有关的数据,以及交易进入金库后如何处理的规则集。正是通过状态链,验证者对所有互换的状态,流动性,以及何时何地发送出去的交易达成了共识。应用状态链的规则和金库的无信任性质,用户可以使用Chainflip以无信任的方式跨链交换资产,从而满足Chainflip的三个主要目标。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
Chainflip与其最接近的竞争对手ThorChain或Qredo等其他互操作性解决方案提供商没有太大区别。其设计中使用的技术以及协议的功能可能存在以下细微差别:
Chainflip与钱包无关。
Chainflip依赖于更大的验证者数量。
Chainflip不要求原生链实现任何复杂的协议或其他更改,包括基础设施。
它使用Ed25519签名算法来实现其阈值签名。
Chainflip不依赖其网络代币来配对资产,而是依赖于广泛采用的稳定币。
Chainflip可以在没有任何额外软件、专用钱包、预存款、挂钩/包装代币、合成资产和用户抵押要求的情况下使用。
Token经济
Chainflip的网络TokenFLIP基于以太坊的ERC-20标准。FLIP的Token设计类似于以太坊EIP-1559的实现,遵循通货膨胀和通货紧缩模型。因此,FLIPToken供应量不会是有限的,未来该项目可能会改变其Token模型。
金库抵押和激励
验证器操作员将FLIPTokenStaking以换取区块奖励。所有节点都获得相同的奖励,无论其注的大小。网络的整体安全性取决于其抵押品,而抵押品又取决于区块奖励收益率。Chainflip的注机制的一个基本变化是,它不允许委托。拟议的验证人奖励是:
Sandstormlaunch–5%
Ibizarelease–6%?
Berghainrelease–7%?
惩罚
惩罚也是为了阻止验证人的恶意行为。从理论上讲,如果FLIP的大部分股份低于各自金库中的资产价值,那么惩罚可能无法有效地阻止恶意行为。实际上,如果锁在金库中的资产略高于多数节点所押的价值,任何恶意行为者都会对攻击决策漠不关心。
然而,如果这个差距大到足以提供一个可接受的或有吸引力的超过注的回报水平,那么验证者在技术上就会被激励去进行攻击。因此,这个指标是Chainflip流动性提供者合理化他们所承担的风险的一个重要指标。当然,流动性会有上限,或与网络的抵押水平直接相关。在这种情况下,网络的增长将来自于FLIPToken价格所反映的高频率的互换。
Token燃烧
在ChainflipAMM上收取的互换费用是用来从USDC/FLIP池购买FLIPToken的,交换费用将以USDC收取。这些FLIPToken将自动被烧毁,并从总供应量中删除。
流动性引导
Chainflip不会通过使用典型的收益率耕作机制来引导流动性。相反,流动性提供者将根据他们在协议上赚取的流动性供应费用,给予FLIP美元的奖励。这种奖励机制最终会被缩减。
Token作用
质押并且运行验证节点
激励流动性提供者
团队介绍
Chainflip是一个由来自澳大利亚和欧洲超过25名经验丰富的专业人士组成的团队。该团队的经验涵盖软件和Web开发、软件工程、DevOps、区块链、研究和通信以及法律。该团队也在不断壮大,招聘不同技能水平的人才。该公司在柏林、布达佩斯和墨尔本设有办事处,下面是团队主要成员介绍。
SimonHarman
SimonHarman作为ChainflipLabs的创始人兼首席执行官,是数据隐私的倡导者,并与他人一起撰写了Loki和SessionApp的白皮书。其于2017年9月本科毕业于RMITUniversity音乐专业,毕业后6个月在BlockchainCentre担任EventsFacilitator。ChainflipLabs并不是Harman的第一个加密项目,此前他创立并继续担任Oxen的董事会成员,随后于2020年开始专注于ChainflipLabs,如今该公司拥有约25名员工。目前同时担任OXEN和ChainflipLabs的首席执行官。
TomNash
首席技术官TomNash也是FlexDapps的联合创始人兼首席技术官。此前,Tom曾短暂担任TypeHuman的区块链顾问和WeTrustPlatform的区块链开发人员。Tom毕业于兰开斯特大学,获得计算机软件工程学士学位。
ChrisMcCabe
ChrisMcCabe是该项目的联合创始人,也是Oxen和SessionApp的首席运营官。2016-2018年间,他曾担任区块链教育者和顾问。
AlastairHolmes
AlastairHolmes在Chainflip担任协议研究工程师。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust进行软件开发方面经验丰富。他在剑桥大学获得计算机科学硕士学位。
投资机构
ChainflipLabs第一轮融资600万美元,最近该项目与3家资深加密风险投资公司FrameworkVentures、BlockchainCapital和PanteraCapital达成了1000万美元的私募股权投资交易。目前融资总额1600万美元。据悉,所筹资金将用于建设跨链DEX,该团队计划今年晚些时候推出首版DEX产品。
参考资料:
ChainflipLabs文档:https://docs.chainflip.io/concepts/
Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf
Website:?https://ChainflipLabs.io/
Blog:?https://blog.ChainflipLabs.io/
Twitter:?https://twitter.com/ChainflipLabs
DCoreOfficial:https://platform.d-core.net/asset-review-summary-chainflip/
链捕手消息,非洲Web3应用Jambo完成3000万美元A轮融资,Paradigm领投,PanteraCapital、DelphiVentures、KingswayCapital和GeminiF.
1900/1/1 0:00:00链捕手消息,加密钱包服务商Coins.ph的创始人推出的NFT租赁市场Playdex获得200万美元种子轮融资,菲律宾加密货币交易所PDAX、OrangeDAO和BukoVentures参投.
1900/1/1 0:00:00来源:?Bankless原文作者:DavidHoffman编译:Katie辜,Odaily星球日报最近我们都在关注跌跌不休的价格走势,但不要忘记Web3正处于建设阶段.
1900/1/1 0:00:00作者:DODO研究院本文分析了几个历史上算法稳定币项目的问题,并得出了一些他们能带给我们的教训。同时也想在这个转折点上做出阶段性总结,为后续可能出现的更好的算法稳定币方案带来一些参考.
1900/1/1 0:00:00链捕手消息,Etherscan、CoinGecko、DexTools、DeFiPulse等加密数据网站报告出现恶意弹出事件,提示用户连接他们的MetaMask钱包.
1900/1/1 0:00:00作者:GokhanEr,IOSGVentures自从以太坊核心开发者围绕Rollups制定了以太坊的路线图后,很明显Rollups将在以太坊的未来发挥核心作用.
1900/1/1 0:00:00