作者:Victoria,律动BlockBeats
ChainflipLabs是一种基于Substrate的去中心化、去信任的协议。该协议可以通过自动做市商模型在不同区块链之间实现自动跨链交换且无需验证用户身份。
与CEX一样,Chainflip通过在每条链上部署钱包来连接链。不同之处在于Chainflips的协议协调是通过广泛接受的数据库StateChain实现的,而非集中式数据库。
用户无需备份密钥文件、下载新的浏览器钱包或安装一些特殊软件,只需要网络、浏览器和目标地址,发送Token并提供兼容的地址就能够以无需信任的方式跨链swap。在swap的任何阶段,都不需要原生Token(FLIP),因为用FLIP支付的网络费用会自动从交换中扣除,并通过流动性池,最终被烧毁。
ChainflipLabs该项目具有swap速度快、易于使用、跨链扩展性强等优势。其最终目标是为所有主要区块链实现自动化交换,为用户提供一种易于使用、可靠、安全且无需许可的方法来完全避免托管交换。他们认为广义跨链能力、去中心化、产品的可用性等属性和指标对于实现该目标很重要。
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
需要注意的是,该项目的安全模型侧重于惩罚恶意行为,仍存在由于智能合约漏洞或错误、支持链上重组等带来的安全风险。
由于ChainflipLabs在自己的独立执行环境中运行,大部分交换执行可以由验证者网络自动执行,无需复杂的用户交互。未来该项目应该最大限度地利用这一点,并且应该设计新功能以利用这一点为用户带来利益。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
工作原理
Uniswap,Curve和其他现有的流动性池平台依靠以太坊智能合约保证安全,使用户可以无信任地将资金送入和送出这些平台。Chainflip作为跨链,不能依靠单一智能合约的安全来产生预期的结果。相反,Chainflip依靠的是一个保险库系统,它可以无信任地保护平台用户的资金。每个支持的区块链都有一个金库,由验证者操作,这是一种特殊类型的服务器,联合管理的加密货币钱包,由被称为验证者的桩节点控制。
Beosin:Skyward Finance项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Near链上的Skyward Finance项目遭受漏洞攻击,Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id,并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near,约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]
为了创建这些金库,验证者参与了一个设置过程,在这个过程中,新节点被确定地选择为下一个活跃的金库服务。这些节点共同构建了一个阈值签名钱包,只有在给定的验证者的阈值签署交易时,才能从中发送交易。用于生成金库的方案在签署交易时不需要受信任的交易商或披露密钥,投入到网络中以获得奖励。验证者和他们的金库使Chainflip有能力以安全和无信任的方式存储资金,但与智能合约代码不同的是,它没有给出资金在金库中应该如何处理的明确规则集。
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
为了实现这一点,Chainflip的设计包括一个状态链,基于Polkadot的Substrate框架,作为Chainflip的协调机制。它包含所有与金库内容有关的数据,以及交易进入金库后如何处理的规则集。正是通过状态链,验证者对所有互换的状态,流动性,以及何时何地发送出去的交易达成了共识。应用状态链的规则和金库的无信任性质,用户可以使用Chainflip以无信任的方式跨链交换资产,从而满足Chainflip的三个主要目标。
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
Chainflip与其最接近的竞争对手ThorChain或Qredo等其他互操作性解决方案提供商没有太大区别。其设计中使用的技术以及协议的功能可能存在以下细微差别:
Chainflip与钱包无关。
Chainflip依赖于更大的验证者数量。
Chainflip不要求原生链实现任何复杂的协议或其他更改,包括基础设施。
它使用Ed25519签名算法来实现其阈值签名。
Chainflip不依赖其网络代币来配对资产,而是依赖于广泛采用的稳定币。
Chainflip可以在没有任何额外软件、专用钱包、预存款、挂钩/包装代币、合成资产和用户抵押要求的情况下使用。
Token经济
Chainflip的网络TokenFLIP基于以太坊的ERC-20标准。FLIP的Token设计类似于以太坊EIP-1559的实现,遵循通货膨胀和通货紧缩模型。因此,FLIPToken供应量不会是有限的,未来该项目可能会改变其Token模型。
金库抵押和激励
验证器操作员将FLIPTokenStaking以换取区块奖励。所有节点都获得相同的奖励,无论其注的大小。网络的整体安全性取决于其抵押品,而抵押品又取决于区块奖励收益率。Chainflip的注机制的一个基本变化是,它不允许委托。拟议的验证人奖励是:
Sandstormlaunch–5%
Ibizarelease–6%?
Berghainrelease–7%?
惩罚
惩罚也是为了阻止验证人的恶意行为。从理论上讲,如果FLIP的大部分股份低于各自金库中的资产价值,那么惩罚可能无法有效地阻止恶意行为。实际上,如果锁在金库中的资产略高于多数节点所押的价值,任何恶意行为者都会对攻击决策漠不关心。
然而,如果这个差距大到足以提供一个可接受的或有吸引力的超过注的回报水平,那么验证者在技术上就会被激励去进行攻击。因此,这个指标是Chainflip流动性提供者合理化他们所承担的风险的一个重要指标。当然,流动性会有上限,或与网络的抵押水平直接相关。在这种情况下,网络的增长将来自于FLIPToken价格所反映的高频率的互换。
Token燃烧
在ChainflipAMM上收取的互换费用是用来从USDC/FLIP池购买FLIPToken的,交换费用将以USDC收取。这些FLIPToken将自动被烧毁,并从总供应量中删除。
流动性引导
Chainflip不会通过使用典型的收益率耕作机制来引导流动性。相反,流动性提供者将根据他们在协议上赚取的流动性供应费用,给予FLIP美元的奖励。这种奖励机制最终会被缩减。
Token作用
质押并且运行验证节点
激励流动性提供者
团队介绍
Chainflip是一个由来自澳大利亚和欧洲超过25名经验丰富的专业人士组成的团队。该团队的经验涵盖软件和Web开发、软件工程、DevOps、区块链、研究和通信以及法律。该团队也在不断壮大,招聘不同技能水平的人才。该公司在柏林、布达佩斯和墨尔本设有办事处,下面是团队主要成员介绍。
SimonHarman
SimonHarman作为ChainflipLabs的创始人兼首席执行官,是数据隐私的倡导者,并与他人一起撰写了Loki和SessionApp的白皮书。其于2017年9月本科毕业于RMITUniversity音乐专业,毕业后6个月在BlockchainCentre担任EventsFacilitator。ChainflipLabs并不是Harman的第一个加密项目,此前他创立并继续担任Oxen的董事会成员,随后于2020年开始专注于ChainflipLabs,如今该公司拥有约25名员工。目前同时担任OXEN和ChainflipLabs的首席执行官。
TomNash
首席技术官TomNash也是FlexDapps的联合创始人兼首席技术官。此前,Tom曾短暂担任TypeHuman的区块链顾问和WeTrustPlatform的区块链开发人员。Tom毕业于兰开斯特大学,获得计算机软件工程学士学位。
ChrisMcCabe
ChrisMcCabe是该项目的联合创始人,也是Oxen和SessionApp的首席运营官。2016-2018年间,他曾担任区块链教育者和顾问。
AlastairHolmes
AlastairHolmes在Chainflip担任协议研究工程师。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust进行软件开发方面经验丰富。他在剑桥大学获得计算机科学硕士学位。
投资机构
ChainflipLabs第一轮融资600万美元,最近该项目与3家资深加密风险投资公司FrameworkVentures、BlockchainCapital和PanteraCapital达成了1000万美元的私募股权投资交易。目前融资总额1600万美元。据悉,所筹资金将用于建设跨链DEX,该团队计划今年晚些时候推出首版DEX产品。
参考资料:
ChainflipLabs文档:https://docs.chainflip.io/concepts/
Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf
Website:?https://ChainflipLabs.io/
Blog:?https://blog.ChainflipLabs.io/
Twitter:?https://twitter.com/ChainflipLabs
DCoreOfficial:https://platform.d-core.net/asset-review-summary-chainflip/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。