目前以太坊基于零知識證明的擴容方案是ZK-rollup,但其實還有另外兩種解決方案——Validium和Volitions。本文簡單介紹以上3種基于零知識證明的擴容方案。
ZKrollup
ZK-rollup的運作簡單來說是將多筆交易打包在一起,發布到L1上,同時發布一個證明來聲稱這些交易有效,一旦在L1上驗證確實有效,那么zk-rollup的狀態就會更新。這套證明機制也被稱作「有效性證明」,目前ZK-rollup主要采用的證明機制是zkSNARK和zkSTARK。尤其是zk-SNARK應用最為廣泛,而zk-SNARK則是它的改進版,目前使用者并不多。zk-SNARK即zero-knowledgesuccinctnon-interactiveargumentonknowledge,是一種文件很小且很容易驗證的加密證明,而簡潔jiu就在于非交互式。傳統方案是交互式證明,即示證者和驗證者之間反復確認。你可以理解為示證者不斷向驗證者詢問「是或不是?」,然后驗證者不斷給出回答,直到最后碰出一個正確答案來,所以效率很低。而SNARK的解決方案是提前先搞一個「可信初始化」,從而生成公共參考字符串,這樣所有的示證者直接訪問它就可以了。你可以理解為有一個標準答案,示證者就像批改試卷那樣去驗證。但SNARK提前生成公共參考字符串提高了效率,但也留下了隱患——萬一公共參考字符串泄漏了呢?于是就催生出了STARK。STARK是交互式證明,但它是一種巧妙的交互式證明——通過哈希函數碰撞來保證安全性,因此也比較高效。Validiums
LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:
此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。
目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]
ZK-rollup是將交易分批發送到L1上去執行,是一種無需信任的「自定義安全性」。Validiums則是直接在鏈下執行,并通過零知識證明來維護數據,只有需要的時候才在主網上驗證取款請求的有效性證明。所以Validiums可擴展性要高于ZK-rollup,但它是把信任交給鏈外第三方的「弱信任擴容」,會被攻擊導致數據不可用或者用戶無法取出資金。解決安全的方式是采用PoS機制,用經濟激勵來確保數據儲存在各個節點之中并且隨時可用。目前采用Validiums方案的代表項目是ImmutableX,以NFT為中心的擴展解決方案。Vitalik認為Validiums其實被嚴重低估,因為大多數Dapp用Validiums就已經可以滿足運行需求了。Volitions
安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]
StarkWare團隊結合ZK-rollup和validium,創造性地推出了Volitions方案,顧名思義是關于「決斷能力」。Volitions方案本質上是同時提供ZK-rollup和validium這兩種服務,它們共享同一個狀態根,用戶可以自行選擇每筆交易的DA模式。即便Validium那部分被攻破,ZK-rollup上的資金仍然安全。用戶就可以在涉及重要資金往來時選擇ZK-rollup模式,共享以太坊的安全性,如果是日常娛樂、社交或者小額交易,自然選擇Validium模式來提高速度并節省成本。結語
安全團隊:Audius項目惡意提案攻擊簡析,攻擊者總共獲利約108W美元:7月24日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下:攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址,隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過,該提案允許向攻擊合約轉賬1,856w個AudiusToken,隨后攻擊者將獲得的AudiusToken兌換為ETH,總共獲利約108W美元,目前獲利資金仍然存放于攻擊者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
以太坊擴容戰爭還在剛開始,目前占據優勢的是Optimisticrollups陣營,它們可以做到EVM兼容甚至完全等效,另外社區運營能力也非常強勁。ZK-rollup落于下風很大程度上是因為一開始就要定制VM,這意味著來自EVM的代碼要從頭開始編寫。不過長遠來看,相比于Optimisticrollups,ZKrollups具有內置的隱私和安全優勢,未來實現EVM兼容性,很可能勝過Optimisticrollups。而且可以在ZK-rollup和validium之間做決斷的Volitions方案,也不失為一種兼顧了各種場景的解決方案。原地址
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
Tags:ROLROLLVALALIThe Troller Coinroll幣可以roll坐騎嗎value幣團隊Centrality
對Web2最為常見的一種批評是,用戶對參與貢獻的網絡或平臺沒有所有權,Web3提供了一種替代的、基于社區的所有權模型,而Token是這種新范式的關鍵部分.
1900/1/1 0:00:00在上周周末,所有人都被硅谷銀行事件吸引了眼球,但比特幣NFT社區卻好像在另一個加密世界,分享自己穿著巫師服裝洗澡的照片和視頻,熱絡的玩著社區的游戲.
1900/1/1 0:00:00繼Coinstack備受歡迎的2022年加密貨幣風險投資公司名單發布之后,上周制作了以下報告,對全球頂尖300家加密貨幣風險投資基金進行排名.
1900/1/1 0:00:003月13日,ZKRollup隱私及擴容解決方案AztecNetwork宣布將逐步關停其DeFi隱私橋項目AztecConnect.
1900/1/1 0:00:00剛從Denver回來,過去的一周精彩不已。分享一下個人感受,和整個會議傳遞的新趨勢。整體而言,EthDenver整體感受非常好,遠勝Consensus,Token2049.
1900/1/1 0:00:00一、整體概述 據官方消息,ConsenSyszkEVM已更名為Linea,并原生集成MetaMask和Truffle等工具。目前,Linea向所有開發人員、用戶或協議開放測試網.
1900/1/1 0:00:00