跨鏈收益提升平臺Popsicle Finance遭攻擊損失約2500萬美元，同一漏洞已出現在十多個協議中_ROLL:Gearbox

鏈捕手消息，推特用戶@Mudit__Gupta發布跨鏈收益率提升平臺PopsicleFinance遭黑客攻擊的漏洞分析。分析顯示，PopsicleFinance此次攻擊共損失約2500萬美元。漏洞詳情在于，一般合約而言，當用戶存入代幣時，合約會根據用戶的賬戶更新`token0PerSharePaid`和`token1PerSharePaid`等，以跟蹤他們存入代幣的時間，合約可以從用戶存入的日期而不是從第一天開始向用戶支付獎勵。

Vitalik：跨鏈證明是實現跨鏈社交恢復錢包的關鍵，ZK-SNARK等是可行選擇:6月20日消息，以太坊聯合創始人VitalikButerin在最新文章《更深入探討錢包和其他用例的跨L2讀取》中指出，實現跨鏈社交恢復錢包的一個可行方案是維護一個存放在特定位置的密鑰庫，以及多個不同位置的錢包，這些錢包可以讀取密鑰庫來更新自身的驗證密鑰視圖或在每次交易驗證過程中。跨鏈證明是實現這個功能的關鍵，需要對其進行深度優化，可能的方案包括零知識證明（ZK-SNARK）、等待Verkle證明或自定義KZG解決方案。

從長遠看，我們需要實現聚合協議，通過生成聚合證明來打包所有用戶提交的操作，以此來降低成本。這可能需要將其集成到ERC-4337生態系統中，可能需要對ERC-4337進行一些修改。同時，為了減少從L2內部讀取L1狀態的延遲，L2應被優化。

錢包不只可以放在L2上，也可以放在與以太坊連接程度較低的系統上，如L3或只同意包含以太坊狀態根的獨立鏈。然而，密鑰庫應放在L1或高安全性的ZK-rollupL2上。盡管這樣會增加復雜性，但從長期來看，可能在L2上設置密鑰庫才是成本更低的方案。在這個過程中，我們也需要致力于提供保護隱私的解決方案，并確保我們的方案可以與隱私保護方案兼容。[2023/6/21 21:50:47]

但在Popsicle中，當用戶將他們的資金轉移到不同的地址時，這些變量不會更新。新地址有資格從第0天開始領取獎勵，而不是從用戶存入代幣開始，黑客利用了這一點。此漏洞還允許用戶使用不同的賬戶多次轉移份額并領取相同份額的獎勵。

Multichain宣布將支持ARB在Arbitrum One、Arbitrum Nova和Ethereum之間任意跨鏈:3月23日消息，跨鏈路由協議 Multichain 宣布將在 ARB 上線第一時間搭建其在 Arbitrum One, Arbitrum Nova 和 Ethereum 之間的跨鏈橋，并且為了優化用戶體驗，增大流動性池，推出了第一周流動性挖礦計劃，每日釋放 1000 ARB。用戶添加 ARB 流動性并完成質押，就可以獲得流動性激勵，活動預計 3 月 24 日上線。[2023/3/23 13:22:08]

據該名用戶，同一漏洞已在十幾個其他協議中被利用。

Scroll高級研究員：Scroll正在測試L1、L2之間的資產跨鏈功能:7月28日消息，Scroll高級研究員Toghrul Maharramov在推特發布一張類似Hop Protocol的UI，正在進行從以太坊到Scroll進行USDC跨鏈的圖片。

Scroll團隊表示目前其正在測試L1、L2之間的資產跨鏈功能，該測試跨鏈橋僅僅使用Hop Protocol的UI，代碼則是由團隊自主研發。[2022/7/28 2:43:34]

Tags：ARBROLLROLCROGearboxroll幣在哪換TROLLBNB幣MicroSHIBA

以太坊交易所