作者:路畅
来源:律动研究院
链上除了可以记录交易,每笔交易更可附上自定义的文本。借助一最简单又最基础的功能,人们可以做很多有趣的事情。举一个最简单的例子——链上聊天。此前,律动曾撰文介绍过使用以太坊传递信息的情况,详情可见《其实有很多人在用以太坊聊天》。
而由于以太坊自身网络的特性,链上交易gas费用高昂。虽然有人在使用以太坊进行聊天,但这种使用方式难以普及。有多少用户愿意为了发送一条消息而支付十美元呢?
通过区块链聊天,这的确是一个有趣的想法,但在以太坊上似乎并不可行,但如果使用别的网络呢?建立在Solana之上的Jabber就在尝试实践这个有趣的构想。
11月底,Jabber上线了app的测试版。Jabber是一款「Telegramlike」的聊天App,而它有趣之处在于,每一条消息,都是一笔在Solana链上发送的交易。受益于Solana的高性能和低成本,将消息作为交易发送,并不会让用户的成本高到难以承受。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
当我们进入主界面,一个简洁的聊天列表呈现在眼前,基本操作逻辑与Telegram并无较大差异。用户需点击右上角的写信按钮,自行键入信息接收人的地址,就可以开始进入聊天了。除标准的钱包地址外,该App还支持.sol域名。
慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
除了点对点聊天外,该App还支持小费打赏、创建群聊、收费收信等功能。收费收信是其中一个较为新颖的设计。
链上信息传输因为其无需许可的特点,只要知道地址,任何人皆可发送任意的信息。假设这样一个场景,若Jabber成为像微信一样广泛普及的聊天应用,而你又恰好是一个地址已被公开的KOL,那你的聊天列表会被多少无效信息充斥呢?
通过收费收信的功能,这一问题得到了解决。在设置界面我们看到「SOLpermessage」这一项目,这一数值代表着向你发送信息每条需向你支付多少SOL。这一设计非常有趣。
而在群聊中也存在着类似的机制,用户加入群聊后需支付一定的SOL才可发送消息。这一机制可创造更多的用例,譬如付费社群、线上答疑等等。但目前在Web2的同类产品中,尚无有类似机制的用例。这一需求是否能产生真实的使用场景,仍然有待观察。
这款App与其他聊天软件最根本的区别,即所有数据全部链上传输。而这也是用户对其最大的担忧所在,链上数据公开透明,如何保证聊天内容的隐私性?
我们以真实的使用情况作为演示。笔者使用Jabber向某地址发送了「GM」两个字符,该笔交易收取了0.000005SOL的gas。
而在这笔的转账的log详情中,我们可以看到一些更细节的内容。
Jabber尽管会将全部信息上链,但消息是加密的并不会将你的聊天内容公开,用户无需担心聊天全部上链所使得隐私泄露。
而全部上链的缺点也是显而易见的,每次操作都要付出一定的gas是在所难免的。在进行多次尝试之后可以发现,修改个人资料、更改头像图片、设置是否显示SOL域名等等,在设置中的每一项操作几乎均需要进行链上交互,并付出gas费。而在实际的聊天过程中,发送不同数量的字符,付出的gas费用也都相同,与更改各项设置所需gas相同,均为0.000005。
Jabber由Bonfida团队开发,目前并无独立官网,现已提供iOS和Android版本。Bonfida是基于Solana建立的一款完整产品套件,其旗舰产品为基于Serum中央订单簿的DEX前端。目前Bonfida提供的功能除了基于Serum的基础交易功能以外,还有程序化交易机器人、SerumAPI、Solana链上永续合约协议、SOL域名等。
Jabber是基于Solana建立的第一个移动消息应用。Bonfida认为,Jabber最重要的价值在于它为用户提供了一种无需信任、去中心化的方式来将他们的交互货币化。这个特性或可为NFT和GameFi带来更多的用例。?
作者:zZ近期,以太坊网络的交易成本几近达到了近一年以来的低点。加密从业者开始反思,面对BSC、Heco等EVM兼容公链的冲击,以太坊是否正在衰落?还是暴跌的行情降低了财富效应促使以太坊活跃度的.
1900/1/1 0:00:00链捕手消息,据汕尾市局通报,近日汕尾市机关打掉了一个利用数字人民币犯罪团伙,涉案金额超亿元.
1900/1/1 0:00:00链捕手消息,漏洞赏金平台Immunefi发布Polygon漏洞修补事件报告。报告显示,12月3日一名白帽黑客在Immunefi报告PolygonPoS创世合约中的一个严重漏洞,Polygon的M.
1900/1/1 0:00:00原文作者:管筱璞李云舒、中央纪委国家监委网站原文标题:《深度关注|元宇宙如何改写人类社会生活》即将过去的2021年,被称为元宇宙元年.
1900/1/1 0:00:00正如标题所说,本文将不会介绍Opyn所提供的传统期权产品,而是重点解析由其开发的全新衍生品类别:Squeeth.
1900/1/1 0:00:00整理:念青,链捕手美国时间12月14日10点,美国参议院银行、住房和城市事务委员会举行了一场围绕稳定币的听证会,主题为“稳定币:它们如何工作,它们如何使用,以及它们的风险是什么?”.
1900/1/1 0:00:00