撰文:0x13
Crypto是一个每一天都在飞速发展的行业,每一天都有无数新项目诞生,有时一个热点可能只会持续几天,一周前发生的大事回忆起来仿佛过了一个月之久。
在发展如此迅速的行业中,我们最需要做到也最难做到的事情就是跟上节奏不掉队,每一天在拓展知识广度的同时也需要不断加深自己的认知。也正是因此,信息的聚合、整理就变得格外重要,而这份工作很难独立完成,于是人们开始使用起了协同办公应用。
目前被广泛使用的是Notion。如果你在推特关注过一些Crypto行业的KOL,你就会发现他们中的很多人开始把自己整理的项目资料、信息等写进Notion并在社交媒体中分享出来,有一些人也会开放编辑权限来让大家共创,一起完善这些资料。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
目前,Notion需要使用邮箱登录,我们使用中心化第三方为我们提供的「数字身份」,我们在这个身份下的创作、工作并不代表着数字时代的「自己」。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
而中心化身份系统另一个缺陷在于不同应用之间的数据与身份都是一座孤岛,在联盟身份推出并广泛使用前,我们使用每一个应用都需要单独注册一个账户。而即便我们目前可以通过第三方登录其他应用,但同样无法解决身份及信息所有权的问题。
慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]
Web3时代中,人们需要拥有掌握在自己手里的数字身份,并以此身份在这个新世界中创作、工作、建设。虽然Notion的功能已经足够完备,但是我们仍然期待着一个可以使用Web3方式登录的「Notion」。
Clarity简介
Clarity便是可以使用Web3方式登录的「Notion」。
从目前的功能上来说,Clarity与Notion并无太大差别,最大的差异便是Clarity可以使用以太坊地址登录,而你的以太坊地址或者ENS域名可以直接用做你的Clarity用户名。
对于传统行业的用户来说,这是一次走入Web3时代的好机会;而对于Web3用户来说,这能过让他们使用自己的数字身份,这对于一个去中心化团队来说是极为重要的。
Notion的协同办公、共创功能很「Web3」,而通过以太坊地址登录的Clarity便将这些功能带到了Web3中。而在未来,与Web3数字身份链接的Clarity还可能会有哪些发展前景呢?
目前Clarity网站上已经清晰地写道,在链接以太坊地址后可以根据持币情况访问某些专属文档。
而这也就意味着Clarity将可以成为DAO的治理工具。目前DAO的社区通常建设在Discord,并通过机器人来对成员进行过滤筛选;提案、投票通常会在Snapshot进行。而对于DAO成员的协同工作等事项目前仍没有一个去中心化的协同办公应用。Clarity则很好地填补了这个空白。
一方面,Clarity可以根据持币情况筛选成员;另一方面,多种Web3玩法也可以通过与以太坊地址相链接的Clarity进行。比如根据地址的历史经历决定DAO内权重,根据地址与工作内容更便捷地分配奖励等。Web3的发展存在着巨大的想象空间,Clarity这个Web3的协同办公应用的未来自然也足够令人遐想。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。