ARI:簡析Clarity：支持以太坊地址登錄的協同辦公應用_cLA

撰文：0x13

Crypto是一個每一天都在飛速發展的行業，每一天都有無數新項目誕生，有時一個熱點可能只會持續幾天，一周前發生的大事回憶起來仿佛過了一個月之久。

在發展如此迅速的行業中，我們最需要做到也最難做到的事情就是跟上節奏不掉隊，每一天在拓展知識廣度的同時也需要不斷加深自己的認知。也正是因此，信息的聚合、整理就變得格外重要，而這份工作很難獨立完成，于是人們開始使用起了協同辦公應用。

目前被廣泛使用的是Notion。如果你在推特關注過一些Crypto行業的KOL，你就會發現他們中的很多人開始把自己整理的項目資料、信息等寫進Notion并在社交媒體中分享出來，有一些人也會開放編輯權限來讓大家共創，一起完善這些資料。

安全團隊：Defrost Finance被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Defrost Finance預言機被惡意修改，并且添加了假的抵押token清算當前用戶，損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址，隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址，最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上，目前有490萬美元的DAI在0x4e22地址上，有500萬美元的DAI在0xfe71地址上，剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

目前，Notion需要使用郵箱登錄，我們使用中心化第三方為我們提供的「數字身份」，我們在這個身份下的創作、工作并不代表著數字時代的「自己」。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

而中心化身份系統另一個缺陷在于不同應用之間的數據與身份都是一座孤島，在聯盟身份推出并廣泛使用前，我們使用每一個應用都需要單獨注冊一個賬戶。而即便我們目前可以通過第三方登錄其他應用，但同樣無法解決身份及信息所有權的問題。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

Web3時代中，人們需要擁有掌握在自己手里的數字身份，并以此身份在這個新世界中創作、工作、建設。雖然Notion的功能已經足夠完備，但是我們仍然期待著一個可以使用Web3方式登錄的「Notion」。

Clarity簡介

Clarity便是可以使用Web3方式登錄的「Notion」。

從目前的功能上來說，Clarity與Notion并無太大差別，最大的差異便是Clarity可以使用以太坊地址登錄，而你的以太坊地址或者ENS域名可以直接用做你的Clarity用戶名。

對于傳統行業的用戶來說，這是一次走入Web3時代的好機會；而對于Web3用戶來說，這能過讓他們使用自己的數字身份，這對于一個去中心化團隊來說是極為重要的。

Notion的協同辦公、共創功能很「Web3」，而通過以太坊地址登錄的Clarity便將這些功能帶到了Web3中。而在未來，與Web3數字身份鏈接的Clarity還可能會有哪些發展前景呢？

目前Clarity網站上已經清晰地寫道，在鏈接以太坊地址后可以根據持幣情況訪問某些專屬文檔。

而這也就意味著Clarity將可以成為DAO的治理工具。目前DAO的社區通常建設在Discord，并通過機器人來對成員進行過濾篩選；提案、投票通常會在Snapshot進行。而對于DAO成員的協同工作等事項目前仍沒有一個去中心化的協同辦公應用。Clarity則很好地填補了這個空白。

一方面，Clarity可以根據持幣情況篩選成員；另一方面，多種Web3玩法也可以通過與以太坊地址相鏈接的Clarity進行。比如根據地址的歷史經歷決定DAO內權重，根據地址與工作內容更便捷地分配獎勵等。Web3的發展存在著巨大的想象空間，Clarity這個Web3的協同辦公應用的未來自然也足夠令人遐想。

Tags：LARcLARITARICanary DollarbitopiclabRITEChina Granaries

KuCoin