簡析Bondly Finance：幫助NFT實現簡便的跨鏈交易_BOND

作者：秦曉峰，星球日報

隨著區塊鏈生態的拓展，跨鏈互操作性成為剛需。但目前絕大多數跨鏈方案多集中在代幣交易方面，NFT資產并不包括在內，一個名為「BondlyFinance」的跨鏈新玩家，試圖解決這些痛點。

BondlyFinance是一個可信任的、可移植的、透明的跨鏈交易協議，旨在幫助更多人進入去中心化金融市場，并推出了一系列NFT+DeFi?產品。

首先是?NFT創建、發行市場。BondlyFinance是最早與音樂家、有影響者合作的公司之一，其曾為兩屆全英音樂獎獲得者LewisCapaldi發行了「BigFatSexyCardCollection」NFT，還為油管網紅LoganPaul發行限量版NFT——該收藏品在不到30分鐘時間內售罄。目前，BondlyFinance正為Netvrk元宇宙出售虛擬土地，共計560塊。并且，NFT收藏者將能夠將他們的NFT資產從一個區塊鏈轉移到另一個區塊鏈，實現跨鏈交易。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

再者是?BONDSWAP，類似一些中心化交易平臺的場外交易功能，但該產品更多地專注于鏈上直接交易，而且能夠讓用戶使用不同區塊鏈并在各種聊天應用程序中發送交易。通過BSWAP，用戶可以：將自己手中的NFT與你想要的NFT或者代幣直接進行交易；在沒有滑點風險的條件下出售大量低流動性代幣；通過鑄造代幣，自主設置價格，然后將信息發布到社交媒體上以供受眾購買，聚合私域流量；使用借記卡/信用卡購買資產。

安全團隊：LPC項目遭受閃電貸攻擊簡析，攻擊者共獲利約45,715美元:7月25日，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下：攻擊者先利用閃電貸從Pancake借入1,353,900個LPC，隨后攻擊者調用LPC合約中的transfer函數向自己轉賬，由于 _transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD，最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC，攻擊者共獲利178 BNB，價值約45,715美元，目前獲利資金仍然存放于攻擊者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]

其次是?BOND?DEX，官方將為流動性提供者提供手續費以及代幣獎勵。BONDDEX的定價引擎會比較主要的跨鏈互換選項，并會用戶推薦利益最大化的交易途徑。通過BONDDEX，用戶可以：在以太坊上用?USDC?與波卡鏈上原生資產交易；獲得最便宜的交易路徑推薦；創建用戶自己的資產交易對。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

最后是?Bondly買家保護，類似Paypal、或是阿里巴巴AliPayExpress中的買方保護服務，但同時結合了Escrow.com和Zapper.fi的用戶體驗。該服務旨在用一個易于使用的API和智能合約驅動產品取代傳統網站托管加密托管產品，市場平臺可能仍然處于市場交易的"驗證者"角色，但現在他們無法直接獲得資金，降低了市場挪用以及詐騙跑路的可能性問題。對于加密市場中的每一位用戶來說，BPROTECT能夠對去中心化托管服務和代幣購買者提供最好的保護。

代幣方面，BONDLY平臺原生代幣，可以進行治理、Staking，還可以在Launchpad、IDO、獨家銷售等活動中獲得專屬權益。今年7月，BondlyFinance首席執行官賬戶遭遇黑客攻擊導致BONDLY代幣被盜砸盤，而后官方緊急部署新的代幣合約并采取多簽機制。

投資方面，今年9月，AnimocaBrands?宣布將收購BondlyFinance的多數股權。AnimocaBrands方面表示：“Bondly開發了強大的工具來幫助品牌和個人進入NFT世界，并與許多頂尖品牌和藝術家建立了深厚聯系。這些產品和關系將對AnimocaBrands和我們的投資組合公司大有幫助。”

Tags：BONDBONRIMGRIbond幣價格BOND價格Skrimplesgrin幣用哪個錢包

FIL