一、事件概览
北京时间6月25日,链必安-区块链安全态势感知平台(Beosin-Eagle Eye)舆情监测显示,基于币安智能链(BSC)的链上DeFi协议xWin Finance遭到“闪电贷攻击”。据统计,xWin Finance代币(XWIN)24小时跌幅达近90%。
成都链安·安全团队第一时间介入分析,针对xWin Finance被黑事件启动安全应急响应。经由分析,xWin Finance被黑事件颇具“代表性”及“典型性”,有必要针对攻击流程进行披露,以起警示作用。攻击者通过“闪电贷”套出原始资金,并重复攻击步骤,最终完成获利,成功“薅羊毛”。
二、事件分析
首先,攻击者利用“推荐人将获得奖励”的特殊机制,利用“闪电贷”多次添加和移除流动性,从而获得了巨量奖励,以进行获利。
下图是攻击流程的一个循环:
1. 攻击者首先利用闪电贷借来的巨量BNB并调用Subscribe,从而获得了LP以及多余的XWIN(将向推荐人发放XWIN奖励);
2. 攻击者移除流动性,并兑换多余的XWIN进行回本;
3. 反复上述操作,不断积累奖励的XWIN;
4. 最终,攻击者取出积累的XWIN奖励,全部兑换成BNB,离场。
三、事件复盘
看到这里,不难发现,此次xWin Finance被黑事件攻击手法并不复杂;与其说此次事件是一次“黑客攻击”,其实更像是一次“黑客薅羊毛”。攻击者利用了xWin Finance的“奖励机制”,不断添加移除流动性,进而获取奖励。在正常情况下,由于用户的添加量不大,因此获取的收益可能会很小,甚至不足以支付手续费;但在巨量资金面前,奖励就会变得异常高了。
因此,成都链安·安全团队建议,项目方在日常的安全防护工作之中,除了要搭建起一整套健全的防范机制和风控系统以外,也应当注意核查项目自身的推广手段和奖励机制是否会存在一定漏洞,以防攻击者借机开展攻击,造成巨额损失。
文章来源:BSC链上“闪电贷攻击”再袭! | xWin Finance被薅羊毛事件简析
溫馨提示:本站所提供的資訊信息不代表任何投資暗示,本站所有資訊僅代表作者個人觀點,與幣圈財經官方立場無關。
相关推荐
-
Solana生态上的Mercurial
Solana生态项目逐步增加,借贷、DEX以及衍生品等协议开始丰富起来。Mercurial也是Solana生态上的项目之一。它提供稳定资产兑换服务,这听上去跟目前以太坊生态中的Curve似乎差别不大。不过,作为后来者,它有更多的机会去学习之前DeFi协议的一些优点。这可以从它的设计中看出来,它在用户最为关注的交易滑点、LP收益、资产利用率等方面都做了一定的迭代优化。 Mercurial从稳定币AMM资金池开始切入,为Solana生态提供USDC、USDT、wUSDC、wUSDT等稳定币的兑换服务,随着对用户需求的把握和生态的发展,Solana也计划为更多稳定资产提供流动性服务。 那么,Mercurial有哪些迭代值得关注?我们先从其整体框架入手。 理解Mercurial的框架 我们可以看看Mercurial的框架图: (Mercurial的核心部分,来自Mercurial) 可以看到核心有几个:Vault(资金库)、Yield(种地或挖矿)、动态费用、DAO治理。 Mercurial有动态的做市资金库。它的资金库为稳定资产兑换提供自动做市,LP可以将其稳定资产存入到Mercurial的资金库中,然后为稳定资产兑换提供流动性,同时通过种地或挖矿等获得外部协议的收益,如参与借贷、闪电贷以及收益聚合等。此外,LP的费用收益也不是固定的,而是动态变化的,这也是它与众不同的一个设计。 具体分解来看,有几个方面是理解Mercurial的关键: Mercurial在降低滑点上的设计 我们知道,目前AMM上进行较大额度的兑换,往往会带来较高的滑点。即便是稳定资产的兑换也会如此。 Mercurial跟通常的X*Y=Z的AMM做市模式不同,它的主要不同如下图: (Mercurial的做市滑点变化,来自Mercurial) 红线是传统AMM做市模式下的滑点变化,蓝线是Mercurial的做市模式下的滑点变化。这看上去滑点很低。它是怎么设计的? 主要有两个方面,一是在提供流动性代币对资产时,Mercurial并没有要求提供流动性的代币对一定为1:1配置,可以灵活配置。二是,Mercurial利用了放大化的价格曲线,将流动性集中到所需范围内。如果用户的交易超出交易率范围,会获得较少流动性的支持。 可以通过Mercurial提出的两个公式来简单说明: 有两个代币组成代币对提供流动性,假设代币为X1,X2;其兑换率波动范围为p1,p2,在常数乘积做市模式下,其公式表达为: (来自Mercurial) Mercurial在这个基础上,增加了一些放大系数a,那么得出如下的公式: (来自Mercurial) 在这个公式中,系数a如果是无限大,那么,其所有的流动性都集中在价格范围p1-p2;如果系数a无限接近于0,那么这个公式就相当于常数乘积的做市模式。 通过上述的设计,Mercurial试图降低用户兑换的滑点。这些的设计思路,我们在balancer和dodo上也看到过类似的思考,不过Mercurial目前主要聚焦于稳定资产的兑换为主。 Mercurial在增加LP收益上的设计 在传统的AMM中,LP的费用收益一般来说是固定的。比如Curve一般是0.04%;在Uniswap V2一般默认是0.3%;在Uniswap V3则做了可供选的费用:0.05%、0.3%以及1%。 跟这些相对固定的费用设计不同,Mercurial采用动态费用设计。在Mercurial中,所有的代币对资金库共享相同的动态费用机制。 采用动态费用机制的动机在于为LP提供更合理的收益,当兑换需求增加,其兑换手续费也会随之增加。尤其是当市场波动性大时,通过更高的手续费,可以减少LP的无常损失,并获得更高收益。如果市场波动小,用户兑换需求较小,手续费也会下降,从而激励用户进行交易。 Mercurial在确定其费用时,会使用长时间窗口和短时间窗口的交易量衡量,并采用EMA(Exponential Moving Average指数移动均线)计算,其费用基于交易量比率更新。下图表示基于市场波动性变化的费用更新。 (来自Mercurial) Mercurial在提升资产收益方面的设计 除了在降低滑点和为LP代提供动态费用收益方面的设计之外,Mercurial还有一个不同的设计是,它会从资金库的资产中进行动态分配管理,将其配置到外部协议。而其分配算法是通过链上的算法管理。除了资产的配置之外,Mercurial的资产管理还包括利息和收益收集,退出特定平台以及清算所得收益等。 (Mercurial资金库的部分资金用于种地耕作,来自Mercurial) 这些收益计划只有得到DAO的批准之后,才能部署到外部的平台。DAO来决定每个资金库可以部署到外部协议的比例。外部收益平台包括闪电贷、借贷平台、带杠杠的稳定币借贷或其…
-
圆桌实录:聚焦区块链网络安全“攻防战”,行业参与者如何避免资产损失?丨2021世界区块链大会
7月24日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心召开。本次大会由杭州时戳信息科技有限公司(巴比特)主办,杭州未来科技城管委会等机构支持 。 在创新融合与区块链安全治理论坛上,一场题为《区块链网络安全治理》圆桌讨论引得全场关注。 本场主持人是《财经》区块链频道链新主编朱星,嘉宾有浙江省公安厅刑侦总队区块链犯罪课题研究负责人徐昱、无极实验室首席研究员史金涛、PeckShield(派盾)创始人兼CEO蒋旭宪以及北京市中伦律师事务所律师谭天。 以下内容经巴比特整理,是本场圆桌的精华内容。 01《财经》链新主编朱星:首先请各位嘉宾做一个自我介绍。 徐昱:我从事了多年的新刑事网络犯罪的打击工作,也接触了很多区块链相关的犯罪案件。作为一个刑警,我更多关心的是案件和安全相关的问题。在平时案件研判的过程中,也会和行业内的企业进行良好的沟通和互动,希望更多的从业者可以关注犯罪相关的案件。 史金涛:我来自无极实验室。我是信息安全攻防出身,之前主要是做一些传统互联网行业的安全攻防、安全建设等工作,目前在无极实验室主要是负责区块链链上安全攻防研究以及区块链犯罪分析、溯源追踪等工作。无极实验室聚焦于区块链情报、安全、溯源追踪等多个方面的研究工作,是一家比较新的区块链安全独立供应商。 蒋旭宪:我来自于PeckShield(派盾),是一家专注于区块链安全的创业公司,成立已有三年的时间。 谭天:我来自北京市中伦律师事务所,律所于1993年成立,目前是国内规模最大的律师事务所之一。我们从2015年开始针对区块链相关的法律监管和法律合规的问题进行研究,也为很多的企业和项目提供了法律方面的咨询,包括合规的法律咨询和服务。 02《财经》链新主编朱星:徐警官,你办理的案件中,涉及到区块链或者是加密资产的时候有哪些特点,或者说在这个行业中从业,不管是投资,还是涉及到从业,应该避开哪些坑? 徐昱:这个领域对于投资者来说,首先有很多新的区块链相关的案件发生,这个领域趋势和我们传统犯罪的趋势是一样的,大家都知道几年之前更多的犯罪是线下的盗窃、抢劫等,但是随着电子支付以及互联网的发展,往往抢或者偷不到现金了,并且伴随路面监控和人像识别技术不断的发展,传统犯罪越来越少。在三四年前,线上的犯罪超过了线下的犯罪。区块链这个领域也是类似的,几年之前更多是使用区块链作为一个工具进行犯罪,但是现在的区块链犯罪侵害的主体更多的是区块链生态本身。 浙江省公安厅刑侦总队区块链犯罪课题研究负责人 徐昱 03《财经》链新主编朱星:史总主要是做一些安全方面的工作,目前黑客攻击或者说你们团队所接触的案件出现了哪些新的手段? 史金涛:针对不同的角色,对应面临的威胁也是不同的。 对于交易所等中心化机构来说,APT攻击以及链上攻击我认为是目前最大的两个威胁。APT攻击,高级持续性威胁,一般都是一些职业黑客团队组成的。在来到区块链行业之前,这些组织一般都是盯着政府、商业情报、SWIFT跨境结算系统这些行业的。这些组织有着体系化的分工,执行公司化运作,使用各种方式通过入侵到中心化机构内部,盗取核心钱包资产;而链上攻击主要是以双花攻击、基于漏洞的假充值攻击为主的攻击方式。根据无极实验室的跟踪研究,目前我们定位到一个专门进行双花攻击的团队,这些人来自多个东欧国家,具备专业的双花经验和设备,且有着成熟的变现渠道。从去年下半年到今年的多起双花攻击都与这些人有着极为密切的关系。 对于一些DeFi的区块链项目来说,通过找寻代码或者业务逻辑漏洞是黑客常用的手段。智能合约的授权机制漏洞、针对各类DeFi的“闪电贷”攻击等,都是黑客常用的手段。解决这些问题,主要还是依赖事前的措施,如严格按照规范编写合约、做好合约安全审计等。 对于普通用户,黑客常见的手段则是钓鱼、诈骗。通过“高额返现”的幌子,诱导用户使用钱包进行转账,通过使用技术手段盗取用户钱包资产;或者引导用户进行虚假投资,骗取用户资产等。黑客的手段随着时间以及新的业务模式在不断的变化,未来肯定还会有其他的手段等着我们去应对、解决。 无极实验室首席研究员 史金涛 04《财经》链新主编朱星:蒋总,你觉得在接下来哪些领域容易成为黑客攻击的重点领域,投资者应该注意什么? 蒋旭宪:我们看的问题跟你们的角度不一样,我们看到一些新的攻击发生的趋势,更多的是链上链下的融合,尤其是给勒索软件提供了便捷的渠道,也是一个新的行业在早期发展的时候,它们跑路、诈骗是很有市场的,这个时候规模也比较大。另一方面,尤其从新型的DeFi协议出现后的情况来看,攻击者的手段是很有准备的,不仅是协议漏洞的应用,还有跨链资产的转移,攻击发生之后,可以在半个小时内洗完盗窃的资金,这个给监管带来了很大的挑战。 如果投资者对这个领域感兴趣的话,首先是不要拿全部身家来投资,不要轻信“专家”、“内部人士”…
-
NFT新玩法 | 纳入14种最火的NFT资产,PLAY指数代币了解一下
你准备好参与PLAY了吗? PLAY是PieDAO与NFTX社区合作的产物,它是由14种精心挑选的NFT资产组成,而你只需要持有一种ERC-20代币,即可在迅速扩展的Metaverse虚拟世界中轻松获得NFT敞口与流动性。 这篇文章会讲述PieDAO为什么会和NFTX合作创建PLAY指数代币,其背后的方法论以及对所含资产的深入研究。 PLAY的预存款现在可通过PieDAO烤箱进行,在接下来的48小时内(直到世界标准时间3月25日下午5点为止),你可以免gas费铸造你的PLAY代币,而在此之后,你仍然可以和其他社区成员一起分摊费用来铸造PLAY代币。 此外,你还可以参加PLAY meme竞赛,排名前五的作品将赢得限量版NFT。 欢迎来到Metaverse虚拟世界。 “这个Metaverse虚拟世界将会比任何其他东西都更普及化和强大。如果一家中心化公司获得了控制权,那它将比任何政府都强大,并成为地球上的上帝。” – Tim Sweeney Metaverse是一个新兴的虚拟世界,它超越了物质的边界,重振了创造者的经济,Metaverse具有不同的形状与格式,它已经存在了一段时间:从基本的视频游戏到最近涉及AR和VR的更具沉浸感的体验。 但是,正是crypto与健全货币的出现,将Metaverse带到了一个全新的水平,为其居民提供了以不可阻挡的方式进行治理、交易、创造、拥有,投资和建设的手段。正是其“不可阻挡”的属性,使得开放的Metaverse具有了吸引力,因为它不受任何中央政府、个人或实体的控制。 Metaverse理论认为,加密货币实际上将发挥重要作用,它会创造出一个新的经济体系,并独立于物理世界,但能够创造可转移到物理世界的价值。 而NFT(非同质化代币)在这方面发挥着重要作用,因为它们能够捕获无法互换的数字化创建项目的唯一标识。与5美元纸币(甚至1 BTC)不同(你的朋友也可以拥有同样的货币),NFT具有稀缺性,因此具有独特的价值。 NFT不仅在加密领域,而且在其他领域都得到了越来越多的关注,其彻底改变了艺术行业、收藏品、体育迷等等。然而,NFT甚至可能走得更远,其有可能颠覆几乎所有行业,从学术认证到房地产、许可证和出席证明。 证明独特的所有权,会是游戏规则改变者。 而Metaverse和NFT是我们设想的未来的一个重要组成部分,任何人,无论其经济地位或地理位置是什么,都可以在虚拟世界中玩耍、生活和创造时积累财富,因此,Metaverse成为了PieDAO社区的最新焦点,为了这一愿景,我们创造了PLAY。 PieDAO与NFTX的爱情故事 PLAY是PieDAO和NFTX社区合作的产物,NFTX是一个NFT资产的ERC-20指数DAO社区,其为不断增长的NFT市场提供容易的敞口和流动性,在PieDAO提出PLAY指数提议之后,NFTX参与了进来,使得用户能够完全接触到Metaverse,包括领先的ERC-721 NFT,例如Crypto Punks和Hashmasks。 以下是PLAY指数代币会涉及的一些项目: NFTX 代币:NFTX 市值:8700万美元,配置比例: 6.4% NFTX是一个由ERC-721 NFT池子作为支撑的ERC-20基金社区,用户可以存入他们的NFT并获得一个基金代币,该代币可以自由交易,可分割为部分所有权,并可用于提供流动性和赚取收益。 Cryptopunks、Hashmasks、Avastars、Auto Glyph等等都可以使用NFTX基金进行交易,协议的开源理念使得基金可以在NFT项目发布的同一天出现。 目前,PUNK和MASK都包含在PLAY当中,相当于持有者可接触到最便宜的Crypto Punk和Hashmask。 当流动性可用时,可以通过治理增加更多NFTX基金。 Axie Infinity 代币:AXS 市值:2.73亿美元 配置比例: 8.23% Axie Infinity游戏发生在魔幻世界Lunacia,玩家在那里战斗、培育和收集数字怪物,这些怪物既可爱又致命。而Axies是ERC-721 NFT,它们在以太坊主链上有自己的身份和基因。 游戏本身包括PVE玩法以及PVP战斗玩法,而通过使用Axie的内部侧链Ronin,这款游戏的上手是低消耗的。 玩游戏能够挣钱?是的,玩Axie确实能够赚钱,与怪物战斗会产生单一的爱情药剂,这是让Axies处于繁殖状态的必要成分。而SLP是一种自由交易的资产,它是培育者非常追捧的资产,这意味着即使是休闲玩家也能赚到钱,该社区正在迅速发展,并在发展中国家产生巨大影响。来自菲律宾的用户报告说,他们使用SLP为社区购买食物,甚至建立了自己的业务! 一些拥有珍稀特征的Axies甚至能够卖出300 ETH的高价! Aavegotchi 代币:GHST 市…
-
教程丨手把手带你玩跨链聚合协议O3 Swap,一起撸空投!
5月7日,跨链聚合协议O3 Swap在推特宣布其已获得软银新加坡的投资。此前,O3 Swap已经完成200万美元融资。据悉,O3 Swap是O3 Labs团队孵化的跨链聚合交易协议,目前的先行版测试已支持以太坊、BSC、Heco和Neo四条公链的跨链swap。 随着Solana、Fantom、Matic等DeFi生态的崛起,加上ETH、BSC、Heco等,公链太多资产切换也要忙不过来了。跨链聚合交易协议是个非常实用的方向。 跨链聚合交易协议到底能做什么?举个例子,在O3 Swap上,我们可以一键将BSC上BNB兑换成Heco上的HUSD,最终反映出来的结果就是BNB从BSC链上的小狐狸钱包地址中扣除,兑换的HUSD打到Heco链上的小狐狸钱包地址,由此完成跨链交易。 根据官方消息,O3 Swap目前还在进行测试活动,截止到北京时间5月11日上午7:59分,参与Swap的交易的体验者均有机会活动O3 Swap Token奖励。下面,我们就进入正题,体验一下O3 Swap的跨链交易。 首先,我们打开O3 Swap的链接https://o3swap.com/swap。 接下来,点击右上角的Connect Wallet,连接你的钱包。 左边竖向的一栏是O3 Swap目前支持跨链交易的4条公链,由上到下是以太坊、BSC、Heco和Neo。笔者用的是小狐狸,顺利链接上以太坊、BSC和Heco。 连接完毕之后,我们就可以看到右上角出现了三个图标。 下面,我们就可以准备进行跨链交易了。考虑到成本问题,我们选择把BSC上的BNB兑换成Heco上的HUSD,毕竟以太坊的gas费太贵了。这个时候,不要忘记把你的小狐狸钱包也切换到BSC链上。需要注意的是,测试阶段,每笔交易的价值需要低于20美元。 下面就可以进行swap了。输入需要兑换的资产,比如笔者是BNB。 我要兑换成HUSD,所以选择Heco链上HUSD。 完毕之后点击RFQ 此时,我们可以看到整个兑换的路由信息。BNB先在BSC上换成WBNB,然后换成BUSD,最终跨链兑换成为HUSD。接受HUSD的地址,就是我们第一步绑定的钱包地址。 点击Confirm,就可以进行兑换了。然后就可以看到整个兑换情况。 大约1-2分钟,兑换完成。 大功告成!总的来说,一键兑换,使用体验比较不错的。 很多朋友可能会对整个跨链swap的过程感兴趣。下图就是官方给出的一个例子,也是将BNB换成HUSD。BNB在Pancakeswap上换成BUSD,然后通过跨链swap换成HUSD。经过了上面的流程中,再看这个图,应该是比较清晰了。 这里很多朋友也许会问稳定币的跨链交易是怎么实现的?答案是通过O3 Hub 跨链资金池实现的。O3 Hub是基于Poly Network跨链协议搭建的跨链资产交易池。我们可以把各种链上的稳定币(USDT、USDC、HUSD、BUSD)质押进去,相当于一个跨链版的Curve。感兴趣的朋友可以体验一下去O3 Hub中添加流动性。 文章来源:教程丨手把手带你玩跨链聚合协议O3 Swap,一起撸空投!
-
DeFi 下半场:一文纵览波卡 DeFi 生态全景
撰文:阿得 被视作跨链龙头的 Polkadot (波卡)是为数不多能在 DeFi 大火后仍能从以太坊处夺走部分关注目光的市场焦点,2020 年下半年,在以太坊 DeFi 发展如火如荼的另外一个角落, 波卡 DeFi 的生态构建同样在紧锣密鼓地进行着。 据 PolkaProject 统计,目前波卡生态应用数量已达 310 个,涵盖包括底层技术、钱包、预言机、NFT、DAO、智能合约、桥接器、DeFi、物联网和游戏等领域,其中基于 Substrate 发行的有 97 个项目,占比 31.29%。其中 DeFi 项目有多少?目前发展如何?分别归属于什么类别?又对波卡的生态造成了什么改变?本文将带读者一览波卡 DeFi 生态的现状。 Substrate 的模块化与灵活性高度契合 DeFi 基础设施诉求 Substrate 是区块链构建框架,可轻松创建针对 独特场景 进行优化的自定义区块链。Substrate 是完全 模块化和灵活的 :混合和匹配现成的组件并构建核心业务逻辑,而其余部分留给框架。像共识网络和最终确定性这样的 即插即用 模块,让开发者可以自由地专注于特定专业领域,从而节省开发过程中的大量时间和精力。通过仅在自定义区块链上实现必要的功能来保持精益。 借助 Substrate 的无分叉升级和透明的治理工具,可以随着时间的推移添加新功能,而不必担心网络分叉,享受更轻松、无风险的升级。此外 Substrate 还提供了对直连 Polkadot 的 原生支持 ,Substrate 工具 Cumulus 还将解锁链间通信、协作和共享安全性。 目前 Substrate 已更新至 2.0 版本 ,该区块链框架现在包含链下工作机 (Off-Chain Workers) 和 70 多个可组合模块 ,并为构建优化的、与 Polkadot 兼容的、可投入生产的区块链奠定了坚实的基础。 受益于波卡网络的发展,2020 年其开发者数量急剧上涨。加密风投公司 Electric Capital 近日发布的《区块链开发者报告》显示,相比于 2019 年第三季度的 189 位开发者,截止 2020 年第三季度,波卡的开发者数量到 384 位,同比增长 103% 。 在这之中,波卡生态去中心化的金融中心和稳定币平台 Acala 的开发者数量增长了 200%。目前 Acala 已推出了一系列的 DeFi 金融产品 :如去中心化超额抵押借贷的稳定币体系、Staking 衍生品、去中心化交易所等 Layer 1 核心模块等。 波卡通过建立起一套 跨链底层架构 ,允许所有接入此架构的不同类型的区块链能协同工作。这意味着,只有足够丰富的生态项目能在这个去中心化体系内良好的交互起来才能发挥该系统真正的潜力。 五大维度探析波卡 DeFi 生态现状 链闻根据对波卡目前的 DeFi 项目进行归类与总结,将其分为跨链 (转接桥) 、预言机、应用、DEX 和钱包 五类 ,对其生态进行剖析。 跨链 / 转接桥 波卡使用 跨链消息传递 ( XCMP) 进行平行链之间的异步通信。借助 XCMP,既可以发送无需响应的消息 (但可以保证接收链将按照它行动) ,也可以进行要求返回某些特定信息的通讯 (例如接收链上调用的某函数的返回值) 。 简单来说,XCMP 在波卡体系中扮演「 桥 」的角色,类似于互联网常用的 TCP/IP 协议,能够让消息在波卡的 各个平行链 之间传递,并支持这些平行链上的组件进行交互。 转接桥为波卡体系之外的区块链提供了与波卡生态跨链交互的可能性。波卡生态中的项目多数基于 Substrate 框架 ,拥有较大的区块链网络组件定制灵活性,通过对跨链的原生支持波卡的 DeFi 生态可以顺利的搭建起各类应用,甚至相对以太坊拥有更大的灵活性。 这一类别中,主要代表的项目为首个波卡生态比特币锚定币 PolkaBTC 、以 ChainX 为代表的资产跨链项目、定位于波卡的转接桥项目 Darwinia 等。 PolkaBTC 是 DeFi 互操作平台 Interlay 推出的首个无需信任的 比特币锚定币 ,允许用户 1:1 铸造比特币支持的资产 PolkaBTC 到 Polkadot 区块链上,并被广泛用于波卡的 DeFi 中。 PolkaBTC Alpha 测试网已于 12 月 9 日推出,该版本允许用户铸造和赎回第一枚 PolkaBTC,并连接至 BTC Parachain (「比特币平行链」) 测试网。据 Interlay 此前发布的路线图显示,BTC Parachain 预计将于 2021 年 2 月 或 3 月 启动。 ChainX 主网已于 5 月 25 日正式上线,主要采用跨链项目 Polkadot 的生态技术体系,通过去中⼼化的⽅式将链间资产统⼀转化,目标是打破链间资产…
-
Ledger被黑前在中国就不香了? 国民最佳钱包该是什么样丨链节点AMA
12 月 21 日,黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。 硬件钱包尽管主打安全牌,但是硬件钱包漏洞和丢币事件却也从未销声匿迹。随着比特币逼近30000美元,用户继续安全的地方来存储自己的比特币,而硬件钱包真的安全吗? 12月30日,周三,下午2:00,HolderWallet 负责人、巴比特 UED 总监阿本、库神钱包商务VP吴美霖做客链节点进行AMA,教你如何选择一款适合自己的硬件钱包。 以下是本场AMA的精彩部分(查看全部内容): 硬件钱包采用开源普通芯片Vs.和安全芯片问题,哪个更重要些? 阿本: 开源不等于安全(否则 Defi 就不会有那么多被黑事件了),开源只是自证清白的手段。在硬件钱包都属于完全隔绝网络的情况下,其实主要考虑的是如何不被「物理攻破」从而获取钱包里的私钥。在「物理攻破」层面,采用安全芯片会更加安全。 打个比方,如果硬件钱包是我们为用户搭建的「私人金库」,开源应用层代码其实是把「金库图纸」交给所有人,从而告诉你们该金库并没有保留用户所不知道的「后门」(自证清白),但同时增加了不法之徒想要通过图纸了解金库结构从而采用其他方式进入金库的可能性(尤其是一些 API 接口很容易被非法调用)。而安全芯片可以理解为「私人金库」里为你量身定做的军工级「保险箱」,里面存储着你的「私钥」,这样哪怕黑客进入了你的私人金库,但是没有保险箱的密码,他也永远拿不走你的「私钥」。 所以其实在「金库图纸」都公布的情况下,采用「安全芯片」相当于给用户在「私人金库」里再加了一个经过计算机安全国际标准认证的「保险箱」,成本虽然高了,但是更安全了。 吴美霖 : 安全芯片和钱包开源是不能兼顾的,目前库神钱包也是因为我们使用的是安全芯片,而安全芯片提供的算法致使我们无法开源。安全芯片和普通芯片的差别还是很大的。我们都在说数字货币加密,而加密算法背后最重要的核心就是随机数。安全芯片可以生成真随机数,随机性(安全性)大于非安全芯片生成的伪随机数。所以我们权衡利弊的时候,一定要保留安全芯片。 开源=绝对去信任?你手上的硬件钱包的代码真的是厂商说的代码吗? 吴美霖 : 开源与不开源决定不了钱包的安全性,开源就是把代码公开,更透明一些,至于代码以及到手的硬件钱包是否采用的源代码用户是不得而知的,除非像你说的那样把硬件拆下来拿去反编译一下。对没有过硬技术的普通用户来说,还是选择靠谱的品牌钱包比较重要。 4. HolderWallet 的双芯片架构智能硬件钱包,是否可以理解同时具备智能钱包和硬件钱包的优点?智能硬件钱包会是以后钱包的方向吗? 阿本: HolderWallet 采用双芯片架构,「安全芯片」保障私钥的安全,「AI 芯片」优化产品体验产品,所以同时兼顾了安全和智能。 我认为以后的硬件钱包能做更多事情,而不仅仅是「存储」,所以我们称 HolderWallet 为「第一款智能硬件钱包」,再加上今年 Defi 的爆发作为契机,以后的智能硬件钱包会有更多可能性。 DeFi保险类COVER最近被黑客侵入,价格甚至一度归零。硬件钱包如何解决这类问题? 阿本: COVER 这个案例特别典型,它的代码就是全开源的,但正是因为开源,让黑客发现了它的漏洞,从而铸造了基本无限量的 COVER 代币,这就是为什么「开源不等于安全,开源只是自证清白的手段」。 而 HolderWallet 采用的「双芯片架构」分工明确:「AI智能芯片」负责应用层的逻辑交互,而「安全芯片」只负责生成并存储用户的「私钥」以及在使用过程中的「签名」,而 CC EAL 6+ 是由国际权威机构认证的安全级别,保障了私钥的生成过程足够随机、「存储」及「签名」的方式足够安全。 CC 是指信息技术安全评估标准,这是基于计算机安全认证的国际标准(ISO / IEC 15408),而 EAL 是经过 CC 标准评估后给出的安全级别,目前共有 1-7 级,越高越安全。到目前为止,HolderWallet 采用的 CC EAL 6+ 安全芯片已经是业内最高标准,达到了军工级别。 安全芯片提供了增强型的安全特性,支持电气环境监测,可对抗功耗分析和故障注入等。具备安全芯片隔离区内生成密钥树种子,加密存储私钥,隔离区离线签名;具备防暴力撞击和暴力自毁保护,防供应链攻击、女佣攻击和字典攻击,防系统漏洞和中间人攻击。 芯片内置了物理真随机发生器,通过采集量子随机运动状态生成无规律的真随机数,摒弃一切软件钱包依赖的伪随机函数和算法,真正做到去伪存真,让规律碰撞攻击无从下手。 硬件钱包性价比本来就不高,安全芯片更是推高了成本。即便有硬件钱包,总还要把助记词备份在卡片上吧,明文…
-
论以太坊的六大系统性风险:区块链的信任关系面临哪些挑战?
信任是复杂的,正如我在关于预言机(oracle)问题的文章中简要提到的,信任在很大程度上可以分为: 经济 – 设置激励机制,使得任何经济上理性的行为人都会采取理想的行动。 道德/规范- 建立激励措施和社会规范,使行为人能够执行某些行为,因为这些行动是道德的或基于行为人通常不希望偏离的预期规范。 基于声誉 – 设置激励措施,使得行为人更愿意维持现有的“信任”关系和声誉,作为更大激励系统的一部分。 区块链的设计更多地是依赖加密经济保证,而不是基于道德或声誉的保证,这背后的动机大概是: 较小的系统性风险 对风险程度有更多的确定性 当面对一个纯粹的的加密经济世界时。 系统性风险 例如,如果一家商店选择不在门口放置保安人员,则假定了绝大多数人有足够的道德操守,认为他们不会想要抢劫商店。或者,即使他们安置了一名保安,他们也愿意假设执行武装抢劫的人数会很少。当银行在没有全额抵押的情况下提供贷款时,他们假设所有贷款不会同时违约。当Aave 以 75% 的抵押因子向你提供贷款时,其假设了该抵押品的价格在两次预言机更新之间不会下跌超过25%。当法院对他们愿意在给定时间段内审理的案件数量设定上限时,他们就认为自己不会被毫无意义的诉讼而遭受DDOS攻击,这些诉讼会拖慢司法进程,并阻止司法公正的实施。 现实世界中的所有系统都会承担一定程度的系统性风险,也就是说,如果发生不太可能发生的事件,可能会使大型系统崩溃。有时候这样的事情确实会发生,例如,2008年的金融危机是由于系统性地高估了抵押担保证券的流动性。而内战,正是由一小群(但重要的)个人破坏现有系统引起的,而这些系统在设计上并没有一种机制来抵御这种破坏。 完全防范尾部风险是不可能的,任何第三方都无法抵消这一风险,尾部风险通常只能从一方转移到另一方。消除它涉及荒谬的资本效率低下,至少在市场环境中是如此。即使在非市场环境下,不承担任何系统性风险,也会大大减缓系统的运行速度。例如,如果司法部门对他们能审理的案件数量设定了一个严格的上限,并拍卖了这些时间段的权利,那么各种各样的合同和信任关系就根本无法建立,因为他们没有司法机构来为他们仲裁(顺便说一句,这正是区块链通过指定区块大小限制所做的事)。 确定性高于风险 系统性风险通常很难量化。例如,全国范围的地震是一种不可保险的系统性风险,其只能根据历史数据进行粗略估计。在商店发生持械抢劫的几率也是如此,这只能用历史数据才能非常不精确地估计出来。公开市场上资产的流动性数量也不是完全可衡量的。当然,你可以衡量当前的流动性,但不能保证这种流动性会在你实际需要的时候出现,也没有一个简单的方法来估计它的可能性(当然,一门完整的科学已发展到衡量这种风险的程度) 信任关系 现实世界中的大多数活动都是通过信任关系进行的。例如,公司们认定谷歌不会为了让其股价暴跌而删除他们的数据(这类似于数据不可用攻击),再比如,客户认为他们的医生或律师不会为了经济利益而出卖他们。 这种关系的形成,部分涉及到一个重复的游戏,在游戏中双方的行为都是可信的。在选择信任的参与者的头脑中,每个此类操作都有助于改变贝叶斯先验概率(指根据以往经验和分析得到的概率)。随着时间的推移,这种关系会越来越密切。由于构建这样的关系需要时间和精力,人们更愿意为未来的情况维持它们而不是背叛(即使这些未来目前未知)。 Nicky Case 的《信任的进化》是一款很好地解释了这种信任和先验演变的游戏。 谁是受信任的实体? 在基础层面上,信任是个人之间的信任(而不是像某些区块链分析所想的那样是一团一团的资本)。除此之外,信任是在系统之间建立的——每个系统都由各自的信任关系组成。例如,当用户信任谷歌不会让他们的数据不可用时,他们既信任谷歌公司架构内的一系列复杂关系,也信任谷歌与其他企业、司法机构和更广泛社会的共同关系,这些关系使得此类攻击变得困难。这些其他商业和司法系统中的每一个都是可信的,因为它们内部有复杂的可信关系。 以太坊中的社交层 一个纯粹依靠加密经济激励机制来建立信任的系统,要次于一个允许建立信任关系的系统。限制用于建立关系和朝着共同目标前进的工具包,会限制人们朝着这些目标前进的速度。 这些信任关系中的系统性风险,挑战在于这种系统性风险何时渗透到基础层本身。在创新和启用比特币所无法实现的新形式的活动过程中,以太坊引入了重大的系统性风险。这种系统性风险蔓延,是否是在区块链上启用更多类型有用活动所引发的必然结果,是一个悬而未决的问题。我强烈认为,这至少是由于预言机的必要性以及它们从中受益的信任关系所带来的。 硬分叉的系统性风险 通过社区协调的硬分叉是捍卫区块链的最后一道防线。这个社会层不可避免地存在很多系统性风险和低效率。例如,社交媒体上的受欢迎程度,将在塑造关于“使用哪个分叉”和“丢弃哪个分叉”的舆…
-
Staking 功能正式上線 Findora Anvil 測試網
Findora 的開發者發佈了新的更新,將會爲驗證節點和委託質押者提供 Staking 獎勵。 2021 年 7 月 1 日 – 繼 2021 年 3 月成功推出 Findora 主網 Beta 版 0.1.0 後,今天 Findora (一個具有可編程隱私的金融公鏈)背後的開發者之一 Discreet Labs 宣佈正式發佈 Findora Testnet (Anvil) Beta 版,該版本實現了無需許可的權益證明(PoS)共識、獎勵和懲罰等功能。 Anvil 上的 v0.2.0 版本是對之前發佈的 Forge Testnet 的升級,發佈了用 Rust 語言編寫的構建在 Tendermint Core 上的 Proof-of-Stake (PoS)。 在 Findora 上質押 Anvil 上的 Findora v0.2.0 版本包括對 Staking 和委託質押的支持,並對現有代碼進行了重大重構。 Findora 上的驗證節點對共識機制做出貢獻,參與未來的治理,並確保 Findora 網絡的快速發展。作爲共識過程的一部分,驗證節點在 Findora 上提出和簽署區塊,並將通過共識算法獲得區塊獎勵(未來還將獲得網絡交易費的部分收益)。驗證節點的經營方可以通過一個命令行界面(CLI)工具來設置、操作和管理他們的服務器。 Findora 網絡是完全無需許可的,這意味着任何人都可以操作驗證節點併爲共識做出貢獻。運行 Findora 驗證節點不需要 Findora 基金會、Discreet Labs 或任何其他方的特別許可或授權。 在 Findora 上授權質押 FRA 通證持有人可以選擇將他們的通證直接委託給驗證節點,以支持網絡的共識算法,而不需要自己運行驗證節點。委託質押者可以通過向驗證節點支付佣金的方式分享獎勵,驗證節點也可以配置這些佣金費用標準。委託質押者可以通過 Findora 錢包或任何其他支持 Findora 委託質押的平臺設置和管理他們的委託。 區塊獎勵和懲罰 驗證節點(和他們的委託質押者)會通過每一個成功創建的區塊賺取 FRA 獎勵。下面是一個示例曲線,示意驗證節點可以獲得的潛在 FRA 出塊獎勵年化收益率(APY)(基於總質押率—總質押量佔總流通供應量的百分比)。例如,如果總質押率是 10%,那麼 Findora 網絡將支付 53.6% 的年化收益率,以激勵更多的 FRA 持有者進行質押。一旦總質押率上升到 67%(最優目標總質押率),那麼 Findora 網絡將支付 8% 的年利率獎勵。 作爲 Findora 通證經濟設計的一部分,除了驗證節點通過參與共識的良好行爲得到獎勵外,Findora PoS 的實施也將對驗證節點的不良行爲進行罰沒,如重複簽名,以及驗證節點停機等。這種 ” 罰沒 ” 懲罰機制可以保護 Findora 網絡免受惡意攻擊。 Frontier 質押激勵計劃 隨着此次升級,Findora 基金會正式宣佈 Findora Frontier Staking 激勵計劃,通過支付 Findora 公鏈的 FRA 原生代幣,以幫助支付 Staking 驗證節點的部分運營成本。 Findora Frontier 計劃的初始階段將從 07/15/21 開始,在 Anvil Testnet 上進行,並且完成第一階段和第二階段的驗證節點將獲得 500 美元的獎勵(以 FRA 計算,僅限非美國參與者)。 第一階段–對抗性測試 Anvil 的第一階段將是對抗性測試,將持續 3-4 周。Findora Foundation 對能夠發現與 Tendermint PoS 共識實現有關的問題的開發者提供豐厚的獎勵。我們同樣預期在正常情況下這個階段內會出現一些混亂。 第 2 階段–網絡穩定性測試 Anvil 的第二階段將專注於網絡穩定性的測試,這一階段講持續 3-4 周,並且根據服務器正常運行時間、簽名區塊百分比和提議區塊來衡量參與率,最高的前 10 名驗證節點將獲得豐厚獎勵。我們預計在這個階段,整體 PoS 機制的運營會趨於穩定。 第三階段–網絡可靠性測試 Anvil 的第三階段將重點關注網絡可靠性和運行性能,期限不限(可能是 1 年或更長時間),並將向發現重大網絡優化問題的開發者提供豐厚的獎勵。 參與進來 如果 Anvil 在 Findora Testnet Beta v0.2.0 上能過順利運行 6-8 周,並有足夠數量的優質質押驗證節點時,那麼 Findora Mainnet Beta 屆時將升級到 v0.2.0 版本,將同樣支持 Staking 和委託質押等功能。 如果你是一個有興趣在 Findora 上進行質押驗證的驗證節點運營…