作者:Victoria,律動BlockBeats
ChainflipLabs是一種基于Substrate的去中心化、去信任的協議。該協議可以通過自動做市商模型在不同區塊鏈之間實現自動跨鏈交換且無需驗證用戶身份。
與CEX一樣,Chainflip通過在每條鏈上部署錢包來連接鏈。不同之處在于Chainflips的協議協調是通過廣泛接受的數據庫StateChain實現的,而非集中式數據庫。
用戶無需備份密鑰文件、下載新的瀏覽器錢包或安裝一些特殊軟件,只需要網絡、瀏覽器和目標地址,發送Token并提供兼容的地址就能夠以無需信任的方式跨鏈swap。在swap的任何階段,都不需要原生Token(FLIP),因為用FLIP支付的網絡費用會自動從交換中扣除,并通過流動性池,最終被燒毀。
ChainflipLabs該項目具有swap速度快、易于使用、跨鏈擴展性強等優勢。其最終目標是為所有主要區塊鏈實現自動化交換,為用戶提供一種易于使用、可靠、安全且無需許可的方法來完全避免托管交換。他們認為廣義跨鏈能力、去中心化、產品的可用性等屬性和指標對于實現該目標很重要。
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
需要注意的是,該項目的安全模型側重于懲罰惡意行為,仍存在由于智能合約漏洞或錯誤、支持鏈上重組等帶來的安全風險。
由于ChainflipLabs在自己的獨立執行環境中運行,大部分交換執行可以由驗證者網絡自動執行,無需復雜的用戶交互。未來該項目應該最大限度地利用這一點,并且應該設計新功能以利用這一點為用戶帶來利益。
Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。
攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]
工作原理
慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。
2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。
3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。
4.最后將LP發送至DEX中移除流動性獲利。
本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]
Uniswap,Curve和其他現有的流動性池平臺依靠以太坊智能合約保證安全,使用戶可以無信任地將資金送入和送出這些平臺。Chainflip作為跨鏈,不能依靠單一智能合約的安全來產生預期的結果。相反,Chainflip依靠的是一個保險庫系統,它可以無信任地保護平臺用戶的資金。每個支持的區塊鏈都有一個金庫,由驗證者操作,這是一種特殊類型的服務器,聯合管理的加密貨幣錢包,由被稱為驗證者的樁節點控制。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
為了創建這些金庫,驗證者參與了一個設置過程,在這個過程中,新節點被確定地選擇為下一個活躍的金庫服務。這些節點共同構建了一個閾值簽名錢包,只有在給定的驗證者的閾值簽署交易時,才能從中發送交易。用于生成金庫的方案在簽署交易時不需要受信任的交易商或披露密鑰,投入到網絡中以獲得獎勵。驗證者和他們的金庫使Chainflip有能力以安全和無信任的方式存儲資金,但與智能合約代碼不同的是,它沒有給出資金在金庫中應該如何處理的明確規則集。
慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:
1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;
3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;
4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;
5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;
6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;
7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;
8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;
9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]
為了實現這一點,Chainflip的設計包括一個狀態鏈,基于Polkadot的Substrate框架,作為Chainflip的協調機制。它包含所有與金庫內容有關的數據,以及交易進入金庫后如何處理的規則集。正是通過狀態鏈,驗證者對所有互換的狀態,流動性,以及何時何地發送出去的交易達成了共識。應用狀態鏈的規則和金庫的無信任性質,用戶可以使用Chainflip以無信任的方式跨鏈交換資產,從而滿足Chainflip的三個主要目標。
Chainflip與其最接近的競爭對手ThorChain或Qredo等其他互操作性解決方案提供商沒有太大區別。其設計中使用的技術以及協議的功能可能存在以下細微差別:
Chainflip與錢包無關。
Chainflip依賴于更大的驗證者數量。
Chainflip不要求原生鏈實現任何復雜的協議或其他更改,包括基礎設施。
它使用Ed25519簽名算法來實現其閾值簽名。
Chainflip不依賴其網絡代幣來配對資產,而是依賴于廣泛采用的穩定幣。
Chainflip可以在沒有任何額外軟件、專用錢包、預存款、掛鉤/包裝代幣、合成資產和用戶抵押要求的情況下使用。
Token經濟
Chainflip的網絡TokenFLIP基于以太坊的ERC-20標準。FLIP的Token設計類似于以太坊EIP-1559的實現,遵循通貨膨脹和通貨緊縮模型。因此,FLIPToken供應量不會是有限的,未來該項目可能會改變其Token模型。
金庫抵押和激勵
驗證器操作員將FLIPTokenStaking以換取區塊獎勵。所有節點都獲得相同的獎勵,無論其賭注的大小。網絡的整體安全性取決于其抵押品,而抵押品又取決于區塊獎勵收益率。Chainflip的賭注機制的一個基本變化是,它不允許委托。擬議的驗證人獎勵是:
Sandstormlaunch–5%
Ibizarelease–6%?
Berghainrelease–7%?
懲罰
懲罰也是為了阻止驗證人的惡意行為。從理論上講,如果FLIP的大部分股份低于各自金庫中的資產價值,那么懲罰可能無法有效地阻止惡意行為。實際上,如果鎖在金庫中的資產略高于多數節點所押的價值,任何惡意行為者都會對攻擊決策漠不關心。
然而,如果這個差距大到足以提供一個可接受的或有吸引力的超過賭注的回報水平,那么驗證者在技術上就會被激勵去進行攻擊。因此,這個指標是Chainflip流動性提供者合理化他們所承擔的風險的一個重要指標。當然,流動性會有上限,或與網絡的抵押水平直接相關。在這種情況下,網絡的增長將來自于FLIPToken價格所反映的高頻率的互換。
Token燃燒
在ChainflipAMM上收取的互換費用是用來從USDC/FLIP池購買FLIPToken的,交換費用將以USDC收取。這些FLIPToken將自動被燒毀,并從總供應量中刪除。
流動性引導
Chainflip不會通過使用典型的收益率耕作機制來引導流動性。相反,流動性提供者將根據他們在協議上賺取的流動性供應費用,給予FLIP美元的獎勵。這種獎勵機制最終會被縮減。
Token作用
質押并且運行驗證節點
激勵流動性提供者
團隊介紹
Chainflip是一個由來自澳大利亞和歐洲超過25名經驗豐富的專業人士組成的團隊。該團隊的經驗涵蓋軟件和Web開發、軟件工程、DevOps、區塊鏈、研究和通信以及法律。該團隊也在不斷壯大,招聘不同技能水平的人才。該公司在柏林、布達佩斯和墨爾本設有辦事處,下面是團隊主要成員介紹。
SimonHarman
SimonHarman作為ChainflipLabs的創始人兼首席執行官,是數據隱私的倡導者,并與他人一起撰寫了Loki和SessionApp的白皮書。其于2017年9月本科畢業于RMITUniversity音樂專業,畢業后6個月在BlockchainCentre擔任EventsFacilitator。ChainflipLabs并不是Harman的第一個加密項目,此前他創立并繼續擔任Oxen的董事會成員,隨后于2020年開始專注于ChainflipLabs,如今該公司擁有約25名員工。目前同時擔任OXEN和ChainflipLabs的首席執行官。
TomNash
首席技術官TomNash也是FlexDapps的聯合創始人兼首席技術官。此前,Tom曾短暫擔任TypeHuman的區塊鏈顧問和WeTrustPlatform的區塊鏈開發人員。Tom畢業于蘭開斯特大學,獲得計算機軟件工程學士學位。
ChrisMcCabe
ChrisMcCabe是該項目的聯合創始人,也是Oxen和SessionApp的首席運營官。2016-2018年間,他曾擔任區塊鏈教育者和顧問。
AlastairHolmes
AlastairHolmes在Chainflip擔任協議研究工程師。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust進行軟件開發方面經驗豐富。他在劍橋大學獲得計算機科學碩士學位。
投資機構
ChainflipLabs第一輪融資600萬美元,最近該項目與3家資深加密風險投資公司FrameworkVentures、BlockchainCapital和PanteraCapital達成了1000萬美元的私募股權投資交易。目前融資總額1600萬美元。據悉,所籌資金將用于建設跨鏈DEX,該團隊計劃今年晚些時候推出首版DEX產品。
參考資料:
ChainflipLabs文檔:https://docs.chainflip.io/concepts/
Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf
Website:?https://ChainflipLabs.io/
Blog:?https://blog.ChainflipLabs.io/
Twitter:?https://twitter.com/ChainflipLabs
DCoreOfficial:https://platform.d-core.net/asset-review-summary-chainflip/
Tags:AINHAIChainCHAprmichainblockchain是什么軟件Doki Doki ChainbindersSafe Exchange Coin
鏈捕手消息,韓國檢方對DoKwon的逃稅指控展開了全面調查。韓國檢方突擊搜查了國家稅務局,以扣押與調查DoKwon進行稅務欺詐有關的文件.
1900/1/1 0:00:00鏈捕手消息,Polygon首席執行官RyanWyatt表示,Polygon已啟動了一個相對沒有上限的數百萬美元的基金,以幫助Terra上的項目轉移到其區塊鏈上.
1900/1/1 0:00:00Web2存儲的缺陷和去中心化存儲體系的必要性?基于互聯網云的集中式存儲,一直是現階段的主流存儲模式,它為傳統互聯網體系的運行提供了必要的保障.
1900/1/1 0:00:00原標題:《TheBridgesAreDead,LongLiveTheBridges!》原作者:Rapolas,ZeeprimeCapital 編譯:餅干,鏈捕手 多鏈理論已經存在多年了.
1900/1/1 0:00:00鏈捕手消息,OpenSea在官方博客表示,將在下半年為保護Opensea的用戶以及NFT版權方面在技術等領域作出努力.
1900/1/1 0:00:00鏈捕手消息,USDC發行商Circle宣布將于6月30日在以太坊上發行由歐元支持的、受監管的全額抵押穩定幣EuroCoin,今年晚些時候支持其他區塊鏈.
1900/1/1 0:00:00