原文标题:《分不清楚?STARKs、StarkEx、StarkNet分别都是什么?》
作者:StarkNetIntern
编译:Kxp,律动BlockBeats
本文梳理自StarkNetIntern在社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:
概要:
STARKs证明了链上计算的完整性,使扩展成为可能
StarkEx是一个用于特定应用的扩容引擎
StarkNet是一个无需许可的Layer2网络
STARKs
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
在STARK方案中,只需要生成一份证明,计算结果就可以在简单几步内得到验证。?
安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]
有了STARKs,较大的计算可以在链下进行,减少了区块链上验证所需的计算量。只需几步链上操作,验证者就可以验证大规模的链下计算。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
STARKs解决方案可以用单一STARK证明进行组合、计算以及验证成千上万的区块链交易,处理成本将分摊到一批交易的所有交易中,保证了Ethereum的安全性,降低了Gas费用。
低计算成本的好处在于,它将方便新类型的应用在链上完成搭建,改善了用户体验,降低了Gas成本,并确保了Ethereum的安全性。
StarkEx
StarkWare为Ethereum扩容提供了两种解决方案:StarkEx和StarkNet。
StarkEx可以提供许可的、针对特定应用的扩容解决方案。有了StarkEx,链下计算的成本将大幅下降。STARK证明是在链外生成的,以验证执行情况,可以覆盖12000-500000个交易。同时,STARK验证器可以在链上验证该证明。
所有交易只用被验证一次,且每笔交易分摊下来的Gas成本低得惊人。
你可以在StarkEx上找到像dYdX、Immutable和Sorare、DeversiFi和Celer等应用。
为了满足市场和客户的需求,StarkEx正在进行扩容。
StarkNet
StarkNet是一个无需许可的Layer2网络,任何人都可以在这里部署智能合约。
StarkNet的生态系统类似于Ethereum,任何合约都可以与StarkNet上的任何其他合约互动,协议也可以进行自由组合。同时,非同步消息传递功能允许StarkNet与Ethereum合约进行通信。
StarkNet的排序器可以批量处理交易,而不像StarkEx那样由应用程序提交交易。目前,StarkNet的排序器由StarkWare运营,下一步将计划完成去中心化。
一旦应用程序部署了Cairo合约,就不再需要额外的运营商基础设施。StarkNet将支持Rollup数据的可用性,意味着Rollup状态与STARK证明将一起被写入Ethereum。
StarkNet的开发者构建了应用程序、工具和基础设施,而DeFi、游戏、投票、AI等功能已经可以在Testnet上运行了。另外,StarkNet还建立了开发者工具,如区块探索器、本地测试环境和几种语言的SDK。
在Shamans平台上,你可以自由提出改进意见、新功能以及最优方法。
总结
StarkEx和StarkNet都是基于STARK的扩容解决方案,每一个都兼备了可扩展性、低成本和安全性,只是操作参数有所不同。对于StarkEx来说,一个独立且兼容StarkEx的API的应用程序可能是最合适的选择。
对于那些与其他协议同步互动或需要比StarkEx提供更多功能的协议来说,使用StarkNet可能才是更优的选择。
STARKs彻底改变了Ethereum上的应用程序,与此同时,StarkEx和StarkNet也为区块链的应用创造了更多可能。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。