来源:ArweaveNews
原标题:《WhatisArweave?(AR)》
译者:Evelyn|W3.Hitchhiker
当试图解释Arweave时,通常会落入使用复杂术语的陷阱,以至于非技术读者无法轻松理解。当已经嵌入到生态系统中时,这就是一个很容易犯的错误——但我们希望对每个人来说,不管是在什么背景下,Arweave都是十分容易理解的。这就是本文的目的:我们将本文分解成了Arweave是什么,以及它是如何工作的——将用户所需要知道的一切都写出来。
Arweave的简述
简单地说,Arweave是一个帮助任何人永久存储数据的工具。它的工作方式是将存储的信息分布在一个称为节点或矿工的计算机网络中。这与我们所知道的模式不同,因为今天的互联网掌握在少数公司手中,这些公司的服务器可以在任何时候瘫痪——小编们也可以悄悄地改变内容。
Arweave通过一个广泛的节点网络来为一个平行的互联网「permaweb」提供服务,所有这些节点通过在很长一段时间内提供现有数据存储,并根据客户要求存储新数据的方式来赚钱。
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
就像许多去中心化的存储平台一样,Arweave使用自己的原生加密货币——AR来运行服务。当人们花费代币来存储数据时,会支付AR给矿工。从这些交易中,AR也会被储存在一个捐赠基金内,该基金能够在技术上无限期地缓慢释放奖励。通过这种机制,Arweave保证了无限的永久存储。
Beosin:sDAO项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/21 7:53:09]
使Arweave脱颖而出的一些新特点是,它可以通过传统的网络浏览器访问;另一个特点是它是开源的,所以社区可以参与其改进的过程。社区在很多方面都有很大的作用,因为Arweave有一个投票机制,允许其用户对内容进行审核,并可将某些标记为非法内容,此外还有一个蓬勃发展的新应用开发者生态系统。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
Arweave是如何创建的
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
早在2017年,那时Arweave被称为Archain。2018年,当Arweave团队参加Techstars时,它被重新命名。2019年,Arweave从包括Coinbase、a16z和MulticoinCapital在内的知名风险投资公司那里筹集了500万美元。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
2020年,Arweave又获得了830万美元的资金,他们计划将其用于建立在Arweave之上的用户和开发者社区上。这包括Verto、ArDrive和ArweaveNews等项目。
Arweave的创造者和创始人是SamWilliams,"他是一名博士,在去中心化系统设计和实施方面有着丰富的经验"。他在大学期间建立了Arweave,灵感来自于Orwell的《1984》,并将其作为对假新闻流行的反应。
Arweave是如何工作的
与通常的区块链不同,Arweave将数据存储在一个区块图中。通过这种方式,每个区块都与之前的两个区块相连,形成一个被称为「blockweave」的结构。
在这里有几个关键方面使Arweave与众不同:
获取共识的证明
Bundles
SmartWeave
Vartex网关
内容调节
这些功能使Arweave脱颖而出,我们将仔细研究每一个功能,看看它们是如何工作的,以及为什么它们很重要。
获取共识的证明
Arweave与其他加密货币的不同之处在于它检查交易准确性的方式。通常情况下,使用工作量证明系统,加密货币会要求让计算机竞争计算一个数学难题。Arweave使用一种不同的方法来解决这个问题,称为SPoRA。
Arweave要求网络中的每个节点检查一个新的交易区块是否包含一个从早期随机选择的区块,如果它是存在的,那么新的交易就可以被添加到网络中。
这种共识机制有助于验证新交易的准确性,并确认旧交易没有被篡改。这种方法被称为访问证明,添加新区块的节点会得到AR代币作为奖励。
Bundles
Bundles是一种保证一组交易最终会被开采进一个区块的方式。它解决了每个区块链都有的一个问题,即在其他人提交的交易对矿工奖励更多的情况下,交易可能会被拒绝的情况。
当Arweave作为一种存储大容量NFT项目的方式,有成千上万的媒体文件需要同时上传时,Bundles就成为一种必须。项目可能会发现,在他们上传的批次中,有几个文件被删除了,这就会破坏项目的上传。
SolanaFT市场的Metaplex是Bundles的第一个采用者,并与Bundlr的JoshBenaron合作开发了MetaplexCandyMachine,这是一个允许项目使用Arweave作为存储层来批量上传NFT的应用程序。其实,它也常用于非NFT的项目。
SmartWeave
SmartWeave是一个智能合约协议,使用AR代币,使开发人员能够使用JavaScript构建智能合约应用程序。像大多数代码一样,它是由用户的计算机运行的,而不是区块链本身。
它的工作方式与以太坊的合同执行方法不同,在以太坊中,整个网络被调用来验证交易;SmartWeave依靠智能合约,用户自己在本地客户端完成。
它不需要那么多的计算能力,因此使它成为了一个更环保的选择,也更加的安全。如果有人使用恶意代码,那么它也不会影响整个区块链。这样一来,它不需要那么多的安全检查和安全束缚,也可以运行得更快。
另一个值得注意的特点是,SmartWeave合约可以成为一个应用程序的整个后端。这意味着开发者不需要服务器,整个应用程序可以在区块链上运行。与以太坊不同的是,与SmartWeave合约互动的成本少于1美分。
Vartex网关
Vartex是一个工具,它只需几个命令,就可以让运行自己的网关成为可能。虽然arweave.net是通过浏览器访问Arweave上所有数据的一个主要途径,但它是由AWS提供服务的,这是一个可能的单点故障。而Vartex是一种任何人都可以运行自己网关的方式,这意味着更多的网关和不依赖中心化的服务器。
这是一种将permaweb去中心化的方式,确保它不依赖于某个主要的公司。它建立在Amplify的基础上——最初的arweave.net网关的分叉。开发者可以在GitHub上找到源代码,只需克隆它并遵循readme说明。
内容调节
内容调节允许运行挖矿软件的任何人选择他们希望存储的数据类型。这种类型的调节允许网络上的计算机选择他们想要承载的内容。
然而,由于由网关来决定他们屏蔽什么,可能内容并不像数据的大小那样重要。例如,有人可能只想存储图片或只存储音频文件。当一个新文件被上传到网络时,Arweave会询问每台计算机是否接受它。然而,人们会因为激励而接受它,尤其是如果它是一个更大的文件的话,因为简单来说,你存储的越多,你得到的奖励就越多。
还需要注意的是,现在启动这个激励机制还为时过早,因为没有人真正得到一个他们愿意或不愿意支持文件的总清单。Arweave是相当新的;同时,上传的数量是巨大的,浏览所有的文件将是相当困难的。
尽管如此,我们还是增加了这个功能,作为确保内容调节的方法之一。在这里,它不是关于倾向或内容偏好,而是Arweave在发明时试图摆脱的东西。
关于代币
Arweave有自己的货币——AR代币。想要存储数据的用户必须购买它来支付存储费用,反之提供存储的计算机必须接受AR代币作为付款。但有趣的是,付款并不直接给每个矿工,而是汇集起来,随着时间的推移分配给网络。
这个费用池被称为存储基金。其目的是为未来的数据从这个超额收费的AR池中提供保障。其费用是由用户支付的挖矿奖励,因为这个池子随着时间的推移而增长,它能够在很长一段时间内为矿工支付未来的报酬。
需要补充的是,Arweave上的存储是一次性付款,而不是基于订阅的方式。但是,数据是永久存储的,这使得Arweave对客户和网络都有吸引力,使其成为一种具有真正效用的货币。AR代币的供应量有限,只有6600万。请查看本指南,了解如何在世界任何地方获得它。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。