EOS:簡析Jabber：在Web3時代，網絡聊天應該完全上鏈嗎？_EOSC

作者：路暢

來源：律動研究院

鏈上除了可以記錄交易，每筆交易更可附上自定義的文本。借助一最簡單又最基礎的功能，人們可以做很多有趣的事情。舉一個最簡單的例子——鏈上聊天。此前，律動曾撰文介紹過使用以太坊傳遞信息的情況，詳情可見《其實有很多人在用以太坊聊天》。

而由于以太坊自身網絡的特性，鏈上交易gas費用高昂。雖然有人在使用以太坊進行聊天，但這種使用方式難以普及。有多少用戶愿意為了發送一條消息而支付十美元呢？

通過區塊鏈聊天，這的確是一個有趣的想法，但在以太坊上似乎并不可行，但如果使用別的網絡呢？建立在Solana之上的Jabber就在嘗試實踐這個有趣的構想。

11月底，Jabber上線了app的測試版。Jabber是一款「Telegramlike」的聊天App，而它有趣之處在于，每一條消息，都是一筆在Solana鏈上發送的交易。受益于Solana的高性能和低成本，將消息作為交易發送，并不會讓用戶的成本高到難以承受。

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

當我們進入主界面，一個簡潔的聊天列表呈現在眼前，基本操作邏輯與Telegram并無較大差異。用戶需點擊右上角的寫信按鈕，自行鍵入信息接收人的地址，就可以開始進入聊天了。除標準的錢包地址外，該App還支持.sol域名。

Beosin：ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道，10月25日，據Beosin EagleEye 安全預警與監控平臺檢測顯示，ULME代幣項目被黑客攻擊，目前造成50646 BUSD損失，黑客首先利用閃電貸借出BUSD，由于用戶前面給ULME合約授權，攻擊者遍歷了對合約進行授權的地址，然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格，然后黑客賣掉之前閃電貸借出的ULME，賺取BUSD，歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

除了點對點聊天外，該App還支持小費打賞、創建群聊、收費收信等功能。收費收信是其中一個較為新穎的設計。

鏈上信息傳輸因為其無需許可的特點，只要知道地址，任何人皆可發送任意的信息。假設這樣一個場景，若Jabber成為像微信一樣廣泛普及的聊天應用，而你又恰好是一個地址已被公開的KOL，那你的聊天列表會被多少無效信息充斥呢？

通過收費收信的功能，這一問題得到了解決。在設置界面我們看到「SOLpermessage」這一項目，這一數值代表著向你發送信息每條需向你支付多少SOL。這一設計非常有趣。

而在群聊中也存在著類似的機制，用戶加入群聊后需支付一定的SOL才可發送消息。這一機制可創造更多的用例，譬如付費社群、線上答疑等等。但目前在Web2的同類產品中，尚無有類似機制的用例。這一需求是否能產生真實的使用場景，仍然有待觀察。

這款App與其他聊天軟件最根本的區別，即所有數據全部鏈上傳輸。而這也是用戶對其最大的擔憂所在，鏈上數據公開透明，如何保證聊天內容的隱私性？

我們以真實的使用情況作為演示。筆者使用Jabber向某地址發送了「GM」兩個字符，該筆交易收取了0.000005SOL的gas。

而在這筆的轉賬的log詳情中，我們可以看到一些更細節的內容。

Jabber盡管會將全部信息上鏈，但消息是加密的并不會將你的聊天內容公開，用戶無需擔心聊天全部上鏈所使得隱私泄露。

而全部上鏈的缺點也是顯而易見的，每次操作都要付出一定的gas是在所難免的。在進行多次嘗試之后可以發現，修改個人資料、更改頭像圖片、設置是否顯示SOL域名等等，在設置中的每一項操作幾乎均需要進行鏈上交互，并付出gas費。而在實際的聊天過程中，發送不同數量的字符，付出的gas費用也都相同，與更改各項設置所需gas相同，均為0.000005。

Jabber由Bonfida團隊開發，目前并無獨立官網，現已提供iOS和Android版本。Bonfida是基于Solana建立的一款完整產品套件，其旗艦產品為基于Serum中央訂單簿的DEX前端。目前Bonfida提供的功能除了基于Serum的基礎交易功能以外，還有程序化交易機器人、SerumAPI、Solana鏈上永續合約協議、SOL域名等。

Jabber是基于Solana建立的第一個移動消息應用。Bonfida認為，Jabber最重要的價值在于它為用戶提供了一種無需信任、去中心化的方式來將他們的交互貨幣化。這個特性或可為NFT和GameFi帶來更多的用例。?

Tags：USDBUSDSOLEOSAUSDT幣BUSD幣SoliceEOSC

DOGE