STA:簡析 Status：以太坊生態系統的移動端消息應用_Status

來源：cryptopedia

編譯：胡韜，鏈捕手

Status簡介

Status是一個開源消息傳遞平臺和移動界面，它提供了從一個iOS和Android友好的應用程序中對以太坊不斷增長的dApps生態系統的簡化訪問，該應用程序結合了對等即時消息傳遞、加密錢包和Web3瀏覽器。

自2017年推出以來，Status為以太坊生態系統提供了一個移動端門戶，以及一個具有廣泛高級功能的獨特消息傳遞平臺。在為以太坊生態系統提供適合移動設備的入口時，Status提供跨平臺的統一用戶體驗、以用戶為中心的數據和廣告模型，以及對下一代支持區塊鏈的金融和法律服務的訪問。

Status應用程序不僅僅是消息

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

雖然StatusNetwork通常被描述為一個社交媒體平臺，但實際上該項目正在開發一系列廣泛的功能，這些功能結合到以太坊網絡的一站式網關中。一般來說，Status的產品可以分為三個主要功能：

Beosin：EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示，ETH鏈上的EthTeamFinance項目遭受漏洞攻擊，攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞，將WTH，CAW，USDC，TSUKA代幣從V2流動性池非法升級到V3流動性池，并且通過sqrtPriceX96打亂V3流動池的Initialize的價格，從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

dApp管理：截至2020年，以太坊區塊鏈托管了近2,000個活躍的dApp，瀏覽這些龐大的應用程序可能會讓人不知所措。Status旨在成為任何類型的以太坊相關活動的中心，并開發了多種功能，使用戶能夠瀏覽以太坊的dApp并與之交互。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

安全消息傳遞：Status通過點對點網絡而不是中央服務器提供公共聊天和安全的端到端加密私人消息，確保除了你和你?的目標收件人之外的任何人都無法查看私人消息。此外，由于Status上的消息傳遞是通過去中心化網絡進行的，因此它具有抗審查性和彈性，因為網絡不會出現單點故障。因此，Status可確保用戶保持對自己通信的完全控制。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

數字資產管理：StatusNetwork提供安全的加密貨幣錢包，允許用戶通過聊天直接向全球任何地方的聯系人發送付款。Status用戶的聊天和錢包密鑰沒有以任何方式連接，這意味著即使你的聊天密鑰以某種方式被泄露，你的資金也將保持安全。因此，Status使你能夠密切關注自己的加密資產，同時保持輕松促進安全、無國界支付的能力。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

Status應用程序將這些功能與iOS和Android兼容性打包在一起，將上述所有功能與Web3瀏覽器相結合。這種方法體現了公司的目標，即向更廣泛的市場提供支持區塊鏈的應用程序的好處。

而且，雖然Status的應用程序是其旗艦產品，但該公司還在開發許多其他產品，包括Keycard，一種功能類似于非接觸式借記卡或信用卡的硬件錢包。Status還在努力發布Teller，這是一種去中心化的點對點法幣到加密貨幣交易所。

此外，Status打算破壞互聯網上使用的現有廣告模式，這種模式非常有利于公司而非個人用戶。通過Status，你可以選擇要與廣告商和其他第三方共享多少時間、注意力和數據，以換取平臺上的有形服務——或者你可以選擇在不共享數據或從第三方接收廣告的情況下支付服務費用根本。因此，Status不僅改善了用戶與基于區塊鏈的應用程序交互的方式，而且旨在開創一種更加平等、以用戶為中心和公平的在線體驗。

Status、SNT代幣和治理?

Status的應用程序是一款以免費增值模式運行的開源產品，在創建帳戶時不需要用戶提供電話號碼、電子郵件地址或銀行帳戶。然而，由于StatusNetwork不會從銷售廣告或與第三方共享個人用戶數據中獲利，該平臺向用戶收取通知和存儲的微交易費用，以資助項目的運營成本。

此外，Status是一個去中心化的自治組織，這意味著該項目不依賴于中心化的管理機構。相反，StatusNetwork社區成員可以完全控制開發，例如將實施或修改哪些生態系統功能。這種社區主導的治理模型是通過Status的原生ERC-20代幣SNT進行。

SNT代幣持有者可以發起并投票決定如何開發項目。StatusNetwork上的任何利益相關者都可以提交提案，社區成員的投票權重與其持有的SNT代幣數量成正比。在網絡成立之初，社區主要就與軟件相關的問題進行投票。然而，隨著網絡的不斷發展，社區可能需要面對和解決日益復雜的社會和結構問題。

SNT還用于訪問Status網絡上的去中心化服務并為其提供動力。這包括為轉發消息和離線消息等基本服務付費，以及使用Status的TellerNetwork等dApp，它允許SNT持有者找到附近的用戶，將他們的現金換成數字貨幣和資產。SNT還用于激勵和獎勵網絡參與者運行節點，這有助于確保即使Status托管的集群中的所有節點都離線，Status平臺也能繼續平穩運行。

Status社交網絡如何建立信任

Status加密平臺上有許多功能旨在保護用戶安全并確保信任。一種主要方法是Tribute-to-Talk流程，這是一種反垃圾郵件機制，它要求你將SNT代幣作為抵押品存入，以向尚未與之通信的網絡外用戶發送消息。如果用戶驗證你的消息，則返回抵押品。如果消息接收者沒有響應，則將代幣獎勵給接收者。這會阻止在網絡上創建虛假帳戶和垃圾郵件。

此外，Status實施了一種聲譽模型，利益相關者可以通過該模型存入代幣來提高另一個用戶的聲譽——一種為某人擔保的數字版本，有助于在Status網絡上的用戶之間建立信任網絡。討論組甚至可以設置最低聲譽分數作為加入他們的組的要求，這大大增加了維護活躍假賬戶的成本。

為了加強帳戶安全，Status為每個用戶創建了一個唯一的公鑰用戶名，同時提供了一種在設備丟失或無法訪問的情況下恢復帳戶的獨特方法。為用戶提供了五個恢復密鑰，可以與其他受信任的個人共享。可以使用這些密鑰中的任意三個的組合來恢復帳戶。這可以防止與區塊鏈錢包相關的常見問題和恐懼之一：單點故障可能導致資產永久丟失。

Status的多管齊下的產品包括消息傳遞、社交媒體、加密錢包和以太坊生態系統的應用程序商店等元素——所有這些都在一個移動門戶中。通過優先考慮隱私、抗審查和社區驅動的開發，Status為Internet上的當前標準提供了一個用戶驅動的替代方案。

Tags：StatusTATSTATSTAstatus幣行情Noah Decentralized State CoinParaStateMonsta XRP

歐易交易所app官網下載