FOR:簡析Clarity：支持以太坊地址登錄的協同辦公應用_formosa

撰文：0x13

Crypto是一個每一天都在飛速發展的行業，每一天都有無數新項目誕生，有時一個熱點可能只會持續幾天，一周前發生的大事回憶起來仿佛過了一個月之久。

在發展如此迅速的行業中，我們最需要做到也最難做到的事情就是跟上節奏不掉隊，每一天在拓展知識廣度的同時也需要不斷加深自己的認知。也正是因此，信息的聚合、整理就變得格外重要，而這份工作很難獨立完成，于是人們開始使用起了協同辦公應用。

目前被廣泛使用的是Notion。如果你在推特關注過一些Crypto行業的KOL，你就會發現他們中的很多人開始把自己整理的項目資料、信息等寫進Notion并在社交媒體中分享出來，有一些人也會開放編輯權限來讓大家共創，一起完善這些資料。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

目前，Notion需要使用郵箱登錄，我們使用中心化第三方為我們提供的「數字身份」，我們在這個身份下的創作、工作并不代表著數字時代的「自己」。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

而中心化身份系統另一個缺陷在于不同應用之間的數據與身份都是一座孤島，在聯盟身份推出并廣泛使用前，我們使用每一個應用都需要單獨注冊一個賬戶。而即便我們目前可以通過第三方登錄其他應用，但同樣無法解決身份及信息所有權的問題。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

Web3時代中，人們需要擁有掌握在自己手里的數字身份，并以此身份在這個新世界中創作、工作、建設。雖然Notion的功能已經足夠完備，但是我們仍然期待著一個可以使用Web3方式登錄的「Notion」。

Clarity簡介

Clarity便是可以使用Web3方式登錄的「Notion」。

從目前的功能上來說，Clarity與Notion并無太大差別，最大的差異便是Clarity可以使用以太坊地址登錄，而你的以太坊地址或者ENS域名可以直接用做你的Clarity用戶名。

對于傳統行業的用戶來說，這是一次走入Web3時代的好機會；而對于Web3用戶來說，這能過讓他們使用自己的數字身份，這對于一個去中心化團隊來說是極為重要的。

Notion的協同辦公、共創功能很「Web3」，而通過以太坊地址登錄的Clarity便將這些功能帶到了Web3中。而在未來，與Web3數字身份鏈接的Clarity還可能會有哪些發展前景呢？

目前Clarity網站上已經清晰地寫道，在鏈接以太坊地址后可以根據持幣情況訪問某些專屬文檔。

而這也就意味著Clarity將可以成為DAO的治理工具。目前DAO的社區通常建設在Discord，并通過機器人來對成員進行過濾篩選；提案、投票通常會在Snapshot進行。而對于DAO成員的協同工作等事項目前仍沒有一個去中心化的協同辦公應用。Clarity則很好地填補了這個空白。

一方面，Clarity可以根據持幣情況篩選成員；另一方面，多種Web3玩法也可以通過與以太坊地址相鏈接的Clarity進行。比如根據地址的歷史經歷決定DAO內權重，根據地址與工作內容更便捷地分配獎勵等。Web3的發展存在著巨大的想象空間，Clarity這個Web3的協同辦公應用的未來自然也足夠令人遐想。

Tags：FORARIORCFORCEformosaARIAdForceBanana Task Force Ape

火必APP