作者:Victoria,律动BlockBeats
ChainflipLabs是一种基于Substrate的去中心化、去信任的协议。该协议可以通过自动做市商模型在不同区块链之间实现自动跨链交换且无需验证用户身份。
与CEX一样,Chainflip通过在每条链上部署钱包来连接链。不同之处在于Chainflips的协议协调是通过广泛接受的数据库StateChain实现的,而非集中式数据库。
用户无需备份密钥文件、下载新的浏览器钱包或安装一些特殊软件,只需要网络、浏览器和目标地址,发送Token并提供兼容的地址就能够以无需信任的方式跨链swap。在swap的任何阶段,都不需要原生Token(FLIP),因为用FLIP支付的网络费用会自动从交换中扣除,并通过流动性池,最终被烧毁。
ChainflipLabs该项目具有swap速度快、易于使用、跨链扩展性强等优势。其最终目标是为所有主要区块链实现自动化交换,为用户提供一种易于使用、可靠、安全且无需许可的方法来完全避免托管交换。他们认为广义跨链能力、去中心化、产品的可用性等属性和指标对于实现该目标很重要。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
需要注意的是,该项目的安全模型侧重于惩罚恶意行为,仍存在由于智能合约漏洞或错误、支持链上重组等带来的安全风险。
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
由于ChainflipLabs在自己的独立执行环境中运行,大部分交换执行可以由验证者网络自动执行,无需复杂的用户交互。未来该项目应该最大限度地利用这一点,并且应该设计新功能以利用这一点为用户带来利益。
工作原理
Uniswap,Curve和其他现有的流动性池平台依靠以太坊智能合约保证安全,使用户可以无信任地将资金送入和送出这些平台。Chainflip作为跨链,不能依靠单一智能合约的安全来产生预期的结果。相反,Chainflip依靠的是一个保险库系统,它可以无信任地保护平台用户的资金。每个支持的区块链都有一个金库,由验证者操作,这是一种特殊类型的服务器,联合管理的加密货币钱包,由被称为验证者的桩节点控制。
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
为了创建这些金库,验证者参与了一个设置过程,在这个过程中,新节点被确定地选择为下一个活跃的金库服务。这些节点共同构建了一个阈值签名钱包,只有在给定的验证者的阈值签署交易时,才能从中发送交易。用于生成金库的方案在签署交易时不需要受信任的交易商或披露密钥,投入到网络中以获得奖励。验证者和他们的金库使Chainflip有能力以安全和无信任的方式存储资金,但与智能合约代码不同的是,它没有给出资金在金库中应该如何处理的明确规则集。
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
为了实现这一点,Chainflip的设计包括一个状态链,基于Polkadot的Substrate框架,作为Chainflip的协调机制。它包含所有与金库内容有关的数据,以及交易进入金库后如何处理的规则集。正是通过状态链,验证者对所有互换的状态,流动性,以及何时何地发送出去的交易达成了共识。应用状态链的规则和金库的无信任性质,用户可以使用Chainflip以无信任的方式跨链交换资产,从而满足Chainflip的三个主要目标。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
Chainflip与其最接近的竞争对手ThorChain或Qredo等其他互操作性解决方案提供商没有太大区别。其设计中使用的技术以及协议的功能可能存在以下细微差别:
Chainflip与钱包无关。
Chainflip依赖于更大的验证者数量。
Chainflip不要求原生链实现任何复杂的协议或其他更改,包括基础设施。
它使用Ed25519签名算法来实现其阈值签名。
Chainflip不依赖其网络代币来配对资产,而是依赖于广泛采用的稳定币。
Chainflip可以在没有任何额外软件、专用钱包、预存款、挂钩/包装代币、合成资产和用户抵押要求的情况下使用。
Token经济
Chainflip的网络TokenFLIP基于以太坊的ERC-20标准。FLIP的Token设计类似于以太坊EIP-1559的实现,遵循通货膨胀和通货紧缩模型。因此,FLIPToken供应量不会是有限的,未来该项目可能会改变其Token模型。
金库抵押和激励
验证器操作员将FLIPTokenStaking以换取区块奖励。所有节点都获得相同的奖励,无论其注的大小。网络的整体安全性取决于其抵押品,而抵押品又取决于区块奖励收益率。Chainflip的注机制的一个基本变化是,它不允许委托。拟议的验证人奖励是:
Sandstormlaunch–5%
Ibizarelease–6%?
Berghainrelease–7%?
惩罚
惩罚也是为了阻止验证人的恶意行为。从理论上讲,如果FLIP的大部分股份低于各自金库中的资产价值,那么惩罚可能无法有效地阻止恶意行为。实际上,如果锁在金库中的资产略高于多数节点所押的价值,任何恶意行为者都会对攻击决策漠不关心。
然而,如果这个差距大到足以提供一个可接受的或有吸引力的超过注的回报水平,那么验证者在技术上就会被激励去进行攻击。因此,这个指标是Chainflip流动性提供者合理化他们所承担的风险的一个重要指标。当然,流动性会有上限,或与网络的抵押水平直接相关。在这种情况下,网络的增长将来自于FLIPToken价格所反映的高频率的互换。
Token燃烧
在ChainflipAMM上收取的互换费用是用来从USDC/FLIP池购买FLIPToken的,交换费用将以USDC收取。这些FLIPToken将自动被烧毁,并从总供应量中删除。
流动性引导
Chainflip不会通过使用典型的收益率耕作机制来引导流动性。相反,流动性提供者将根据他们在协议上赚取的流动性供应费用,给予FLIP美元的奖励。这种奖励机制最终会被缩减。
Token作用
质押并且运行验证节点
激励流动性提供者
团队介绍
Chainflip是一个由来自澳大利亚和欧洲超过25名经验丰富的专业人士组成的团队。该团队的经验涵盖软件和Web开发、软件工程、DevOps、区块链、研究和通信以及法律。该团队也在不断壮大,招聘不同技能水平的人才。该公司在柏林、布达佩斯和墨尔本设有办事处,下面是团队主要成员介绍。
SimonHarman
SimonHarman作为ChainflipLabs的创始人兼首席执行官,是数据隐私的倡导者,并与他人一起撰写了Loki和SessionApp的白皮书。其于2017年9月本科毕业于RMITUniversity音乐专业,毕业后6个月在BlockchainCentre担任EventsFacilitator。ChainflipLabs并不是Harman的第一个加密项目,此前他创立并继续担任Oxen的董事会成员,随后于2020年开始专注于ChainflipLabs,如今该公司拥有约25名员工。目前同时担任OXEN和ChainflipLabs的首席执行官。
TomNash
首席技术官TomNash也是FlexDapps的联合创始人兼首席技术官。此前,Tom曾短暂担任TypeHuman的区块链顾问和WeTrustPlatform的区块链开发人员。Tom毕业于兰开斯特大学,获得计算机软件工程学士学位。
ChrisMcCabe
ChrisMcCabe是该项目的联合创始人,也是Oxen和SessionApp的首席运营官。2016-2018年间,他曾担任区块链教育者和顾问。
AlastairHolmes
AlastairHolmes在Chainflip担任协议研究工程师。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust进行软件开发方面经验丰富。他在剑桥大学获得计算机科学硕士学位。
投资机构
ChainflipLabs第一轮融资600万美元,最近该项目与3家资深加密风险投资公司FrameworkVentures、BlockchainCapital和PanteraCapital达成了1000万美元的私募股权投资交易。目前融资总额1600万美元。据悉,所筹资金将用于建设跨链DEX,该团队计划今年晚些时候推出首版DEX产品。
参考资料:
ChainflipLabs文档:https://docs.chainflip.io/concepts/
Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf
Website:?https://ChainflipLabs.io/
Blog:?https://blog.ChainflipLabs.io/
Twitter:?https://twitter.com/ChainflipLabs
DCoreOfficial:https://platform.d-core.net/asset-review-summary-chainflip/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。