来源:Cryptopedia
编译:胡韬,链捕手
什么是Loopring?
Loopring是基于以太坊区块链的去中心化交易所(DEX)的第2层扩展协议,每秒可以处理数千笔交易的结算。Loopring技术可作为协议层在DEX中使用,该平台还提供LoopringExchange,这是一个非托管交易平台,可提供安全、高速的交易,且不收取任何gas费。
Loopring利用零知识证明允许任何人构建高吞吐量、非托管的DEX。Loopring还使用其原生LCR代币奖励零知识汇总(zk-Rollup)运营商和流动性提供者。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
Loopring的零知识汇总(zk-Rollups)
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
许多像Uniswap这样的DEX利用自动做市商(AMM)来匹配买家和卖家。这些AMM协议自动执行交易,用流动性池代替传统的订单簿,流动性池是用于提供流动性的众包资产池。与使用订单簿的中心化交易所相比,DEX往往具有较低的交易费用和支持更多数字资产的特点。然而,中心化交易所仍然受益于比DEX更强大的流动性和更高的吞吐速度。Loopring旨在通过利用区块链技术的先进创新——zk-Rollups,将最好的中心化交易所带入去中心化生态系统。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
zk-Rollup是第2层功能——这意味着该技术在主区块链之上运行——它与以太坊网络集成以提高可扩展性。zk-Rollup可以将数百个交易捆绑在一起,并将它们转换为单个数据量极少的零知识证明,然后在以太坊网络上批量确认。这允许比以太坊目前单独处理的更高的事务吞吐量。zk-Rollup计算过程发生在链下,而数据和交易永远不会离开以太坊区块链。将zk-Rollup流程与DEX协议集成可以进行更复杂的计算,这意味着可以降低交易费用并显着提高流动性的优化。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
在更广泛的以太坊网络的背景下,使用zk-Rollups验证交易块更快且成本更低,因为包含的数据更少,并且仅需要智能合约来验证最终的、轻量级的加密证明。这些交易也作为调用参考数据写入以太坊区块链,与从网络中提取数据相比,这需要的计算量要少得多。通过将所有这些功能合并到一个单一的开放协议中,Loopring通过提高整个以太坊生态系统的效率来加速区块链技术的采用。
Loopring加密技术解绑:OCDA、环形矿工、订单环、订单共享
虽然zk-Rollups代表了为Loopring提供动力的技术,但正是它的实现使多方面协议如此有用,特别是通过其最新的Loopring3.0更新。Loopring具有称为OCDA的链上/链下开关,在数据可用于脱链进行计算的情况下,可以显著加快交易速度。Loopring还利用了高吞吐量套利机制,该机制使用订单环、订单矿工和订单共享系统来实现近乎即时的互联网规模流动性。
链上数据可用性(OCDA):Loopring加密协议使用称为链上数据可用性(OCDA)的功能。这种数据存储的混合方法允许用户选择他们的数据是存储在链上还是链下。当OCDA功能关闭时,数据存储在链上,网络可以实现每秒2,025笔交易。但是,如果打开OCDA并将数据存储在链下——通过使用所谓的Validium模式——那么吞吐量可以达到16,400TPS。通过使用像OCDA这样的Loopring3.0创新,非托管交易所可能能够匹配其中心化托管竞争对手的表现。
环形矿工:路印协议使用独特的共识协议,绕过传统的订单簿和管理流动性池的AMM机制。相反,称为环形矿工的网络参与者负责在订单被执行或取消之前快速填写订单。那些作为环形矿工操作的人以LRC代币的形式获得服务费,或者在订单金额的保证金上进行分割。
订单环:当环形矿工完成订单环时,Loopring智能合约决定如何填充它。如果它可以在交易的任何一方执行订单,智能合约将执行原子交换——从智能合约直接转移到用户的钱包。订单环还有助于环匹配,这是通过将订单串在一起并通过多个用户结算多笔交易来完成订单的过程。订单环将Loopring协议与Waves、IDEX和Bancor等其他DEX区分开来。
订单共享:订单共享功能也可以通过路印协议上的订单环实现。在路印协议DEX智能合约无法在单笔交易中执行订单的情况下,订单共享用于将订单拆分为部分组件,直到完成原始订单金额。环匹配技术将多个单独的订单聚合到一个订单环中。路印协议智能合约验证订单后,每一方都会收到资产作为交换。订单作为后续订单环的一部分通过订单共享系统运行,直到这些部分订单被完全执行。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。