來源:Cryptopedia
作者:Dr.StevenWaterhouse,OrchidLabsCEO
編譯:胡韜,鏈捕手
互聯網是日常生活的重要組成部分,影響著幾乎所有的商業和貿易。與任何通信系統一樣,互聯網連接也存在弱點,使你容易受到惡意和不道德的第三方的攻擊。互聯網連接的安全性對于保護用戶的身份和財務數據至關重要。Orchid旨在通過其VPN生態系統和伴隨的基于區塊鏈的支付機制來應對這一挑戰。
連接到互聯網
大多數用戶通過不安全的互聯網連接連接到網絡,這是大多數互聯網服務提供商(ISP)的標準產品。這些連接可能允許私人惡意方和政府實體在沒有明確目的且未經你同意的情況下獲取敏感數據和個人資料信息。在許多地區,政府嚴格審查哪些個人資料信息和內容可以在線訪問,以及人們可以在各種平臺上發布哪些內容。一些政府甚至會追查違規者,使他們的互聯網連接安全成為生死攸關的問題。
慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。
2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。
3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。
4.最后將LP發送至DEX中移除流動性獲利。
本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]
可以通過虛擬專用網絡(VPN)實現安全的互聯網連接,這是一種旨在混淆用戶身份和活動的加密連接。但即使是最好的VPN提供商也有自己的缺點。?
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
免費VPN提供商通過收集和出售你的數據來維持自己的財務狀況,這首先違背了使用VPN的大部分目的。另一方面,付費VPN是基于訂閱的,因此通常沒有提供優質服務的激勵——盡管它們通常具有更好的安全優勢,因為它們的收入模式不依賴于銷售用戶數據。VPN提供商最重要的缺點是它們代表了“單點故障”。如果該服務暗中記錄用戶活動,或者如果它遭受數據泄露,則用戶不受保護。在依賴單一VPN時,你自己的隱私完全掌握在該服務的手中。
Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]
Orchid:去中心化的VPN市場
Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。
1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;
2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;
3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;
4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;
5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;
6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;
7. 隨后攻擊者開始重復此過程持續獲利;
其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]
Orchid克服了現有VPN服務的缺點,利用各種加密貨幣和區塊鏈功能創建強大且具有凝聚力的解決方案,提供最高標準的隱私和安全性。?
OrchidVPN在一個由OXT代幣提供支持的獨特去中心化市場中聚合了眾多優質VPN提供商的服務。帶寬提供商通過以OXT的形式預先抵押自己的資本,在網絡上注冊為賣家。這種質押資本的作用類似于保證金,激勵VPN帶寬提供商為你提供高質量的服務。未能這樣做的供應商正在將自己的資金置于風險之中。?
尋求安全連接的用戶可以通過Orchid請求VPN服務,此時系統將他們鏈接到網絡上的VPN提供商之一——稱為“節點”。Orchid的VPN還具有一個高級選項,用戶可以配置多個“躍點”,在連接到Internet之前將來自不同提供商的多個VPN連接安全地鏈接在一起。這進一步掩蓋了用戶的在線活動,因為即使是VPN提供商本身也沒有個人網絡活動的完整信息。
與標準VPN服務不同,Orchid的供應商組合只為通過它們的數據流量付費。OrchidVPN是現收現付的,你可以隨時切換到競爭提供商的連接,因此無需處理連接速度不佳的問題。?
Orchid的OXT支付機制
Orchid去中心化VPN市場的基礎是網絡的原生數字資產OXT,它只能在Orchid平臺上使用。OXT是一種建立在著名且強大的以太坊區塊鏈上的ERC-20代幣,具有區塊鏈及其規模的社區所提供的所有好處和穩定性。基于以太坊的代幣因其安全性和快速交易速度而廣受歡迎。
購買后,用戶可以將OXT代幣轉移到支持Web3的加密錢包中,以開設OrchidVPN帳戶。這種轉移會產生交易費用,用戶必須用ETH支付,ETH是運行以太坊網絡的燃料。然后將錢包與Orchid連接,無需個人信息即可設置。在此之后,啟用VPN連接需要在Orchid應用程序中單擊。
Orchid采用獨特的鏈下交易系統,依賴于所謂的概率極微支付。該系統降低了發送或接收OXT的以太坊交易費用。Orchid跟蹤用戶和VPN提供商之間的交易,然后每周處理總費用。
Orchid還提供預填賬戶,讓人們只需使用普通信用卡即可開始應用內購買。預充值賬戶與普通賬戶完全相同,但其功能類似于加載OXT的禮品卡。當你在Orchid上使用VPN服務時,這已耗盡;一旦你的帳戶退出OXT,你可以購買另一個預充值帳戶。
編譯:Evelyn|W3.Hitchhiker 一、關鍵信息 從夏季開始時Artblocks的銷售幾乎為零,再到8月最后幾周銷量暴漲,經常清倉,成交量達到10,000ETH.
1900/1/1 0:00:00翻譯:Ruki?? 校對:Barbarie,Rita相關鏈接:《《HowtoNFT》中文翻譯版》 第八章:元宇宙 元宇宙是虛擬增強的物理現實和物理持久的虛擬空間的融合,允許用戶體驗它.
1900/1/1 0:00:00鏈捕手消息,非洲Web3應用程序公司Jambo以5000萬美元估值完成750萬美元種子輪融資,Coinbase?Ventures、Polygon?Studios、DelphiVentures、T.
1900/1/1 0:00:00鏈捕手消息,知名自媒體微信公號“抄襲的藝術”曝光了一組關于NFT卡通頭像的對比圖,指出中央美院建筑學院教師王文棟抄襲了著名的“無聊猿NFT”系列.
1900/1/1 0:00:002月14日 人民網旗下靈境·人民藝術館將于2月14日至2月16日推出“人民數字虎帖”藏品慶新春活動.
1900/1/1 0:00:00鏈捕手消息,游戲行業開發者峰會GameDevelopersConference主辦方在2022年大會召開前,針對2700多名游戲開發者展開了問卷調查.
1900/1/1 0:00:00