原文作者:GaryMa?
近日,Vitalik發布了以太坊的最新路線圖,在此前的五大關鍵路線的基礎上,新增了以解決交易審查和MEV風險為中心的關鍵路線TheScourge。至此,以太坊未來的發展進化將主要分為六大關鍵路線,分別是:TheMerge、TheSurge、TheScourge、TheVerge、ThePurge、TheSplurge。值得注意的是,這六大關鍵路線是同時推進的。下面,我們也根據這最新的路線圖表,簡單描述一下各個關鍵路線。
TheMerge
安全公司:AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道,據區塊鏈安全審計公司Beosin EagleEye監測顯示,2022年11月23日,AurumNodePool合約遭受漏洞攻擊。
Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證,導致攻擊者可以調用該函數進行任意值設置。
攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數,接下來調用claimNodeReward函數提取節點獎勵,而節點獎勵的計算取決于攻擊者設置的rewardPerDay值,導致計算的節點獎勵非常高。而在這一筆交易之前,攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR,創建了攻擊者的節點記錄,從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]
該路線的主要目標是構建去中心化、健壯簡潔的PoS共識機制。以太坊目前已經成功切換為PoS,接下來主要是針對網絡驗證者安全以及零星功能的修修補補:
Beosin:BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BSC鏈上的gala.games項目遭受攻擊,Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens(GALA) 代幣增發,累計增發55,628,400,000枚pTokens(GALA),攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB,攻擊者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。
第一筆攻擊交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二筆攻擊交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
信標鏈取款功能的激活:目前已經作為EIP-4895的主要內容,準備于上海升級時部署,至于具體實施時間,在最新以太坊核心開發者會議上,開發者們只能模糊地估計數月內。
Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]
DistributedValidators:分布式驗證者技術,旨在將以太坊驗證者的工作分布到一組分布式節點中的技術,與目前在一臺機器上運行驗證者客戶單的傳統技術相比,更加能夠提高安全性、在線彈性等,具體可見DV技術規范。
Harvest.Finance被黑事件簡析:10月26號,據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊,損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。
1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費;
2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT;
3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC,此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小;
4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中,充值的同時 Harvest 的 Vault 將鑄出 fUSDC,而鑄出的數量計算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC;
5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常;
6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC;
7. 隨后攻擊者開始重復此過程持續獲利;
其他攻擊流程與上訴分析過程類似。參考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源),導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量,從而使攻擊者有利可圖。[2020/10/26]
SingleSecretLeaderElection:單一秘密領導者選舉,目前信標鏈采用的是SingleLeaderElection,即每個Slot所選出的提議者會提前公開,使他們容易受到DoS攻擊。通過將這一過程加密隱藏,只有提議者知道自己的身份,能夠有效緩解潛在風險。
SingleSlotFinality:單Slot最終性,當前以太坊區塊需要64到95個slot才能實現最終確定性,不過Vitalik認為有充分的理由把最終確定性時間縮短為一個slot,從而實現更好的用戶體驗,具體可見SSF。
實現Rollup的初步擴容:EIP4844向以太坊引入一種新的交易類型,這種交易類型攜帶短暫存在的blob數據,將使得rollup的開銷降低10-100倍,同時結合初步的OPRollup欺詐證明以及ZK-EVMs的輔助,實現初步擴容。
實現Rollup的完全擴容:在前者基礎優化完善的同時,重點著手數據可用性DA方面的優化,如數據可用性抽樣的客戶端、P2P設計等。
TheScourge
該路線的主要目標是確保可靠可信中立的交易納入區塊,避免網絡出現中心化以及MEV相關風險等,而這其中的關鍵里程碑是在協議層面實現區塊提議者與構建者分離,即Proposer-BuilderSeparation/PBS。
在PBS的設計中,區塊提議者負責從內存池中收入交易,并創建一個包含區塊交易信息的列表crList傳遞給區塊構建者們。區塊構建者們以最大化MEV為目的對crList中的交易進行重新排序并構建區塊,然后再向區塊提議者提交他們的出價,而區塊提議者就會選擇出價最高者為有效的區塊。
在實現PBS之后,進一步的還有以太坊開發者提出的SmoothingMEV方案,旨在減少每個驗證者之間捕獲的MEV的差距,最終目標是使每個驗證者的獎勵分布盡可能接近均勻,從而保證協議共識的穩定,同時還考慮潛在的MEV銷毀可能。
VerkleTrees:圍繞Verkle樹設計對Merkle樹進行優化,使得驗證者無需存儲所有狀態也能參與由交易驗證成為可能。
FullySNARKed:將SNARK全面引入到以太坊協議,如EVM、Verkle證明以及共識狀態轉換等,即使到了量子計算時代,也可切換到量子安全的STARKs。
TheSplurge
該路線主要是一些零碎的優化修復,如賬戶抽象、EVM優化以及隨機數方案VDF等。
相關鏈接
DV?|?SSF?|?SmoothingMEV?|?VerkleTrees
Tags:FORORCFORCEINGForeverGrowORCL5價格Work Force CoinYachtingVerse
Polygon今日兌美元匯率下跌-3.46%Polygon目前的交易價格比我們在2022年11月12日的預測低10.82%Polygon上個月上漲了36.74%.
1900/1/1 0:00:00市場如期的在進行自我修復,畢竟加息日的時候雖然鮑威爾鷹派發言較為嚴重,但畢竟對于加息第一階段已經是結束了,而隨著第二階段的開始,12月的加息選擇75個基點的可能性已經在無限縮小了.
1900/1/1 0:00:00世界顛倒了。比特幣現在穩定嗎?還是其他一切都突然變得非常不穩定?隨著地球陷入混亂,比特幣仍然處于一種奇怪的邊緣,這與資產不同,似乎并沒有結束。這既是感覺,也是統計數據所說的.
1900/1/1 0:00:0011月6日消息,跨鏈協議pNetwork發布此前GALA異常事件分享,稱團隊在11月3日注意到GALA的pNetwork跨鏈橋的一個配置錯誤.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶:由于IMETA節點升級,大幣網(Dcoin)已暫停IMETA的充提幣服務。如有任何問題,請咨詢在線客服.
1900/1/1 0:00:00流動質押 首先,如果您不熟悉流動性質押,基本上當您質押諸如$ETH之類的代幣時,根據驗證協議,您可以獲得代幣衍生品作為回報,類似于證明您已經質押您的$ETH的收據.
1900/1/1 0:00:00