比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BTC > Info

簡析Arbitrum 生態協議Camelot(神劍)_Camelot

Author:

Time:1900/1/1 0:00:00

Camelot的來歷:項目原先是在Fantom上發布的,當時叫:Excalibur但是由于主要穩定幣采用了UST,隨著崩盤而崩盤了然后項目移到Arbitrum上,更名:Camelot但群友還是依照原先的習慣,稱為:神劍BTW:在項目決定遷移到Arbitrum上的時候,我曾經建議團隊更名,當時的回復是不考慮更名。

神劍其本質為CEX,但做出了些微創新:

安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

a)動態定向費可以為每個池子及不同的買賣方向設定不同的交易費用。

慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。

針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

b)引入Positions概念,針對同一個池子,流動性提供者可以構建多個Positions,這些Position可以進行不同的鎖定,參與不同的流動性激勵以更靈活的獲取不同收益。

Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

c)項目代幣鎖定,項目代幣產出需要鎖定15天至6個月以獲取最終可交易代幣$Grail。

成長空間

a)定位為Arbitrum上原生的Dex,這是要做Arbitrum上的Dex入口,成為全鏈的生態連接點。在其上線時這樣的角色其實有一個我們稱之為369的3xcalibur。但顯然神劍要成功很多。

b)目前雖然其Launchpad功能比較簡單,且未賦能平臺幣$Grail,但已成為Arbitrum事實上的IDO首選。

項目優勢

a)完善且穩定的產品,經過在Fantom上的錘煉,目前項目使用流暢,功能相對完備,沒有嚴重的使用或功能上的問題。

b)強大的BD能力,相區別于原有Pancake類Dex,神劍更注重生態建設,在產品設計和合作上,與生態內各個項目方均聯系緊密,交了不少朋友。

c)其代幣經濟設計尤為優秀,平臺Fee經收集后按比例分發,而非UniV2那樣直接回饋至Pool,這確保了ProtocolEarnings,并使流動性提供者,及平臺幣持有者有著實打實的收益,而其代幣鎖定機制又一定程度上降低了代幣流通。

d)目前市場總計25k$Grail,其中51%還是鎖成xGrail的,剩余那12K多,還有不少在LP中,并且截至目前,其鎖定機制已經Burning掉了657.69個$Grail,這相當于年通縮4%。

可能需要提升的地方

a)網站頁面尤其是Menu的展現邏輯混亂,Positions是個好設計,但在如何理解其與YieldFarms和各個Pools之間的關系,用戶需要教育和學習。

b)增強的LaunchPad,現有的LaunchPad當時主要是自用的,要支撐目前越來越多的其他生態項目的發行,還需要更多功能及模式。并最好能賦能到平臺幣。Btw:當時有說的空投,后續沒落實:

最后:

歡迎私信進交流群!

感謝閱讀,喜歡的朋友可以點個贊關注哦,我們下期再見!

Tags:ArbitrumFantomCamelotArbitrum幣是什么幣Fantom幣是什么幣Camelot幣是什么幣

BTC
金色觀察|“首次去中心化搶劫”:還原Nomad被攻擊始末_WBTC

8月2日7時,加密KOL@0xfoobar發推稱,跨鏈互操作性協議Nomad橋正在被黑客攻擊,WETH和WBTC正以每次百萬美元的頻次轉出,合約中仍有1.26億美元可能存在風險.

1900/1/1 0:00:00
金色觀察|Metamask空投指南_MASK

文/@FlowsLikeosmo,譯/金色財經xiaozou$MASK代幣空投已經確認。不要錯過獲得加密領域最大空投之一的機會。這里為你準備了一個快速指南,告訴你如何獲得$MASK代幣.

1900/1/1 0:00:00
比特派攜手慢霧AML阻斷盜幣攻擊,保障用戶資產安全_比特幣

近期,比特派通過接入慢霧的AML系統,檢測到了一筆可疑資產流入兌換系統。比特派的風控系統被第一時間觸發,并迅速啟動了相關預案,將該可疑資產及時凍結在兌換系統中.

1900/1/1 0:00:00
比特幣上揚,喜迎新春_比特幣

昨夜星辰歸北斗,此時人間過新年。以色列查獲超770萬美元比特幣、以太坊和狗狗幣等加密貨幣:7月10日消息,此前以色列國防部長下令扣押用于資助哈馬斯活動的加密貨幣錢包.

1900/1/1 0:00:00
狗狗幣(GODE)兩天狂漲1065%_瑞波幣

在沒有任何征兆的情況下,狗狗幣用兩天的時間最高漲幅達到1065.87%,一下帶動了所有低面值幣種的瘋狂拉升,當屬于這幾天的明星幣種.

1900/1/1 0:00:00
比特幣一波提速,決定投資者 命運的不是市場而是投資者自己_ETH

今天就對昨天做個總結吧!昨天只是沖高回落幅度比較大,但整體行情波動不算大,對整個行情技術走勢形態也沒有出現太大的影響,就是這樣的一得一失就造成很多人慌了,收到了很多消息,基本都是問.

1900/1/1 0:00:00
ads