文|黄雪姣编辑|郝方舟出品|Odaily星球日报
DeFi这波独立行情的爆发,带火了DEX、预言机等细分赛道。在不少“古典韭菜”还对诸多概念一知半解的时候,预言机“龙头股”ChainLink不断拉升,一举超过众多主流币、问鼎全球市值第五。直到这时,人们才正视其光芒。ChainLink在二级市场上的成功,刺激了预言机赛道"新人涌现",并且一经上市便获得不错涨幅。Themis便是其中之一,从开盘的0.3美元涨到高位2.4美元,涨幅高达8倍。Themis的运行机制与Chainlink类似,数据提供方提供报价,验证方进行验证,仲裁庭进行仲裁,这些“角色”均有相应的代币激励;同时,两者均支持随机数的生成和验证,应用场景相较其他预言机更为广泛。不同点在于,Chainlink会对数据提供方做严格筛选,可以理解为实行“联盟链模式”。而在Themis上,任何人质押一定量的MIS即可参与报价,整体而言更为去中心化。其次,挖矿激励在ThemisToken总量中占比90%,经济模型比Chainlink更具吸引力。再者,ThemisToken将报价到仲裁的全流程上链,合约运行更加公开透明。当前,Themis多资产报价功能已上线,用户可以在Themis官网和ImToken上参与报价。在行业大热的眼下推出,Themis到底是追逐风口的"猪",还是个货真价实的"创新者"?看完本文,相信你会有自己的答案。预言机集体暴涨,你却只知道ChainLink?
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
8月13日无疑是预言机的高光时刻。这天,龙头股ChainLink爆拉20%,一举超过BCH,登顶市值前五。在DeFi界,ChainLink和预言机赛道也成为绝对的热门。DeBank数据显示,至8月15日,30个DeFi代币的总市值逼近140亿美元,其中LINK独占73亿。Band和NEST也随着板块大热水涨船高,排名强势升到10、11位。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
数据来自:DeBank那么,预言机是什么?除了“头牌”ChainLink,行业中还有哪些值得关注的项目?在区块链世界,预言机是联通链上链下的信息通道。区块链是个封闭的环境,它无法向链下世界发起Networkcall进而获取数据,由此,负责将链外信息上链的区块链预言机由此诞生。
当前,区块链预言机广泛应用于“菠菜”、稳定币、借贷、金融衍生品、保险以及预测市场等。举个例子,在借贷场景,这类应用需要在贷款发起时提供资产的价格,且要实时监控抵押物在现实世界的价值波动,以确保一定的保证金比率。在保证金不足时需及时提示用户,或是启动清算程序,否则便有穿仓风险,出现抵押物不足以偿债的问题。预言机在此中的作用便是及时、准确地进行资产报价。因此,预言机可以说是DeFi战争必须要夺下的一个要隘。在这一赛道中,ChainLink既是鼻祖也是头牌,因而备受追捧。尽管足够强大,但ChainLink仍有不完美之处。正如HashKeyHub分析的那样,预言机龙头Chainlink面临两大挑战。一为其平台代币LINK波动过大,给合约运行带来冲击,譬如LINK的大幅升水大大提高了节点商的准入门槛,带来中心化风险;其二,激励机制方面,Chainlink中节点商的未来收益与其质押量强挂钩,容易造成安全隐患和信誉系统的失灵。新发行的LINK中有35%会根据节点商最开始质押的份额进行奖励,这一方面很容易造成节点商通过大笔质押LINK而不是通过提供服务来获利,另一方面有资金质押大量LINK的节点商容易通过同时控制多个节点发起攻击,一旦有1/3以上的节点被控制,其信誉评分系统的检举机制将会失灵,项目也容易遭受女巫攻击等威胁。但正如那句老话,“万物皆有裂痕,那是光照进来的地方”。Chainlink存在的问题,成了其他项目生存的机遇。正因如此,自其诞生的2017年至今,预言机赛道不断涌现后起之秀,如BandProtocol、NESTProtocol、DOSNetwork、Themis等,从技术思路、经济模型等各方面进行改进,成为这个领域重要的创新力量。从历史走势看,预言机项目价格不断翻涨,最高涨幅从8倍到160倍不等,市值越小涨幅往往越高,Themis上线半个月内录得8倍涨幅。概括起来,Themis的特别之处在于,它是采用了全协议上链的预言机,即质押、报价、奖励、挑战、仲裁的信息记录全部上链,对比同类项目更加安全、透明。其次,Themis在提供多资产价格的同时,还实现了可验证随机数、可验证算力的功能,对比同类项目使用场景更为广泛。暴涨背后,Themis挖矿激励是怎样的?
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
Odaily星球日报第一次注意到Themis是在8月初。当时,ThemisToken在CoinTiger首发。尽管白皮书中并未披露团队信息,但据项目核心开发者之一Kumar介绍,项目自2019年10月开始研发,至今年6月份推出产品原型,经审计后在7月底上线,代币在8月中旬陆续上线多家交易所。从二级市场的表现看,MIS正式发行不过一个月。币价自发行之初的0.2-0.3USDT涨至高位2.4USDT,涨幅有8倍之多。在基本信息之外,要深刻认识MIS等预言机项目,我们还需对其机制进行分析。根据白皮书,团队会预挖10%的MIS,用做项目早期运作和市场推广,剩余90%全部由社区挖矿产出。其中,75%用于奖励项目最为需要的“矿工”——数据提供者和验证者,10%用于奖励开发者,余下5%奖励仲裁节点和其他生态成员。挖矿产出随以太坊区块增加逐渐递减,每隔400万区块,区块奖励降低10%,当前区块奖励为20MIS。相较于ChainLink,Themis对众多参与者形成更为长效的激励。具体到挖矿激励上,Themis的机制也颇为特别。玩家要成为数据提供者/验证者、参加挖矿,首先要质押一定数量的MIS,门槛较低。但要长期、高频进行报价,仍要求矿工需要具备一定的技术能力,因此,为了实现真正的“人人皆可挖矿”,Themis新近上线了MIS矿池,可以理解为挖矿的“代理节点”,用户只需将代币转给矿池、点击质押,即可开挖;而后续的报价工作由MIS矿池承担。这一方式不仅降低了散户、小白的操作门槛,通过“联合挖矿”形式,用户也能大大节省个体挖矿带来的巨额Gas费用消耗。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
参与门槛较低,那么挖矿收益如何呢?报价的准确率和质押量直接决定了挖矿的收益。报价不准确的矿工,将被系统罚没100%的质押代币,这项“检查工作”由验证者提供。在同等准确率的情况下,质押量排位居中的矿工收益最高。这和比特币挖矿“算力越大、收益越高”的规则不同,其计算规则如下:
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
其中,M为数据提供者挖矿获得MIS数量;Xi为矿工i的MIS质押数量的当前排名;X1、X2……Xn是矿工排名之和;N为当前区块包含的挖矿奖励数量。根据上述公式计算得出,质押数量排名居中的矿工产出投入比最高。
而对于数据验证者来说,其可对数据进行审核,当发现问题数据时可提出质疑并提供新的数据,仲裁节点会给出仲裁结果。若挑战成功,验证者将获得该矿工质押量的80%作为奖励,若失败则将失去质押的MIS。主打全流程上链,Themis带来了哪些新可能?
上述是Themis在运行中的独特设计,下面讲讲它的两大亮点。首先,Themis采用了全协议上链,即质押、报价、奖励、挑战、仲裁的信息记录全部上链,由此,可带来比同类预言机项目更高的公正性和透明度。Chainlink、DOS、Band的一个共性问题是,将部分记录放在链下执行。譬如Chainlink,仅将节点商提供的数据的汇总摘要上链,数据本身不上链;另外,惩戒记录等环节也不上链,由此带来一定的中心化和不规范操作风险。将全流程上链的Themis则天然地免除了这些风险。
Chainlink的链上+链下架构,图片来自:HashKeyHubThemis的第二大特点是实用性强,其在提供多资产价格的同时,还实现了可验证随机数、可验证算力的功能。随机数在区块链中被广泛应用,如用于生成私钥、在PoS共识机制选择出块节点等等。但也正因其重要性,随机数生成器常常成为黑客攻击的重灾区。如在2018年8月,曾火爆一时的Fomo3D游戏,就被黑客利用其随机数漏洞,在游戏中获得了巨额收益。在Fomo3D之后,EOS上众多热门的DApp,尤其是竞猜类游戏,也先后因随机数生成器缺陷遭遇黑客攻击。为了给区块链、智能合约提供安全、可靠的随机数,未来,Themis将提供基于可验证随机函数的预言机功能。VRF的主要功能正如它的名字那样,可基于某种信息生成随机数,并且,能让验证者在不查看原始数据的情况下验证真伪,由此可有效抵御假随机数的攻击。可以想见,VRF生成随机数的Themis,加以提供者和验证者相互博弈机制,将能为链上世界提供可靠、安全的随机数,可以应用的场景涵盖竞猜类游戏、包含随机选举机制的智能合约等等,保证产品的随机性,增强产品的透明、公证和可用性。预言机能跑多远,关乎DeFi革命的未来
对这个刚上线没多久的项目来说,要实现像Chainlink那样的网络效应,无疑还有很长的路要走。尽管艰难,但也机会多多。再精密的预言机,也无法保证数据来源本身的准确性,那么此时,唯有通过多个“矿工”、多个信息源,才能尽量维持准确;而对于数据使用者来说,调用更多的预言机,无疑是在为自己加一道保险,这便是新兴项目的机会。今年2月份,保证金交易协议bZx遭受攻击,损失数十万美元,其罪魁祸首之一就是预言机价格失灵,因为它只依赖KyberNetwork上提供的价格数据,让黑客可以操纵Kyber瞬时下跌从而造成bZx清算。分散的价格数据供应就能很好的避免了这种情况,行业需要更多像Themis这样的创新者。相信在不久的将来,我们终会有一众让链上世界和现实无缝衔接的预言机。参考资料:预言机是DeFi护航员但怎样才算是一个好的预言机?CharlesJRead万字说透区块链预言机架构原理:以Oraclize与Chainlink为例,HashKeyHub
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。