ESW:對 EIP-3074 的批評以及一種簡單的替代_LSWAP

對于開發者來說，AUTH/AUTHCALL機制非常具有吸引力。它可以讓人們創建調用者來實現不同的批量處理策略、gas抽象模型和復雜的賬戶抽象方法等。這種靈活性源于這一機制賦予了開發者極大的自由。AUTH/AUTHCALL機制不要求開發者遵循特定的模式，而是要求用戶簽署一個commit哈希值，讓開發者基于commit自行設置限制。然而，這種靈活性是以犧牲安全性為代價的。在本文中，我想要介紹一種更簡單的替代方案。這個方案具備AUTH/AUTHCALL機制的絕大多數優點，但是風險遠低于后者。為什么簽署一個AUTHcommit所帶來的風險高于簽署一個與存在漏洞/惡意合約相關的事務？用戶在簽署與合約相關的事務時，所承擔的風險是已知的，即，可能會損失在該合約控制范圍內的資產。比方說，用戶給一個ERC20合約簽署了批準事務，授權惡意的DEX合約。這個惡意DEX合約就可以提走用戶在ERC20合約中的全部余額。但是，它無法從該用戶的其它ERC20合約中提走代幣，除非得到該用戶的批準。它也不能代表用戶進行其它操作，因為這也需要專門獲得用戶的批準。相較之下，EIP3074不僅要求用戶簽署“空白支票”，而且假設調用者是誠實且沒有漏洞的。一個惡意/存在漏洞的調用者可以代表用戶執行任何操作——訪問用戶持有的資產，代表用戶進行投票，控制用戶所有的合約等。更糟糕的是，調用者隨時都可以作惡，因為nonce實現是由調用者控制的。存在漏洞/惡意的nonce邏輯實現可以重放用戶過去的事務。如果commit驗證的其它部分的邏輯也存在漏洞，調用者就可以利用這個nonce邏輯實現來代表用戶執行任何操作。即使漏洞被發現，用戶也無法撤回空白支票。這個外部賬戶已經被永久入侵了。編寫一個正確的調用者程序很難，而且我們幾乎可以肯定，調用者會不定期出現錯誤，從EIP3074最后列出的調用者應該警惕的檢查/漏洞/情況非詳盡清單中可見一斑。這份清單勢必會變得越來越長，很可能伴隨著痛苦的發現過程。此外，惡意參與者可以編寫一個看似無害的調用者程序，但是故意留下一個細微的漏洞，等到大量外部賬戶授權該調用者之后才會被攻擊者利用。如果攻擊者沒有直接或立即利用這個漏洞從用戶那里竊取資金，這個漏洞可能很長時間都不會被發現。治理劫持示例

區塊鏈網絡 Horizen 將于下周對 Yuma 測試網進行壓力測試:3月5日消息，支持零知識的區塊鏈網絡 Horizen 宣布將于 3 月 6 日開始的一周對 Yuma Testnet 進行預定的壓力測試，在測試期間可能會發生潛在的網絡停機。測試的目的是通過增加超出正常情況限制的鏈上活動來檢查 EON 平臺的穩健性和錯誤處理能力。Yuma 區塊瀏覽器可能會在區塊中顯示大量交易，可能會因流量異常高而出現臨時中斷。

此前，Horizen 的公共 EVM 兼容側鏈和智能合約平臺 HorizenEON 于 2 月 25 日上線 Yuma Testnet。[2023/3/5 12:43:18]

惡意去中心化交易所EveSwap為其用戶編寫了一個調用者程序。這個調用者程序通過空投EVE代幣來為用戶提供gas資助，并批量處理用戶的批準和轉賬事務。EveSwap的調用者程序看似無害，而且永遠不會竊取用戶的代幣，因為這樣馬上就會露餡。用戶很開心。交易都成功了，交易費也很便宜。幾個月來平安無事。然而，每當有人使用EveSwap交易AliceSwap的治理代幣ALI時，會自動將用戶的AliceSwap投票權委托給EveSwap。一旦授權人數達到某個閾值，EveSwap就會通過治理提案劫持AliceSwap。EveSwap用戶不太可能注意到這個過程，因為交易總是成功的，但是最終會給AliceSwap帶來毀滅性的打擊。跨鏈重放示例

加密服務應用程序 Abra 推出對 ETH2 質押的支持:金色財經報道，加密貨幣服務應用程序 Abra的團隊確認現在支持 ETH 2.0 質押。隨著以太坊向權益證明的過渡，用戶可以質押 ETH 并產生 ETH 2.0 獎勵。（cryptoninjas）[2022/7/9 2:01:47]

EIP3074合理地建議commit應該包含chainid。但是，這是由調用者，而非協議執行的。在另一條鏈上有著相同地址的調用者可能會跳過該檢查。EveSwap在兼容EVM的BobSpongeChain上運行，后者支持EIP3074。EveSwap在BobSpongeChain上部署了一個誠實的調用者。用戶使用該調用者在BobSpongeChain上交易，然后使用橋將資產轉移到以太坊上。EveSwap使用同一個部署密鑰在以太坊上部署了另一個地址相同的調用者。這個在以太坊上的調用者不會檢查commit，只會檢查ownerOnly，并充當其所有者的通用AUTH/AUTHCALL代理。這樣一來，EveSwap就可以劫持用戶在以太坊上的外部賬戶并卷走他們的資產了。用戶從未在以太坊上交易過，運行在BobSpongeChain上的調用者程序又經過了嚴格的安全審查。盡管如此，用戶還是丟失了全部資產。以太坊通過EIP155的重放保護來防范這種情況。AUTHCALL沒有重放保護。由于所有commit檢查都交給調用者完成，我們失去了以太坊提供的一切交易保護。攻擊是在所難免的，因為保護措施很隨意。如果要接受EIP3074，AUTH消息必須明確包含chainid，而非將其作為commit的一部分。我們還能采取什么別的手段？

Cardano創始人Charles Hoskinson表達了對 NFT 領域的興趣:Cardano創始人Charles Hoskinson 在接受采訪時表達了他對 NFT 領域的興趣，他說：“對于智能合約，我們幾乎完成了整個部署，下一個重要里程碑是在平臺上發行資產的能力，并且有很多 NFT 平臺進來了。”根據最新的Cardano360播客系列，Wolfram、Cardano和COTI在 NFT 方面進行了合作。根據這種合作關系，Wolfram Alpha為即將到來的 NFT 拍賣采用了 COTI 的ADA 支付方式。這標志著 Wolfram 團隊的一個新里程碑，因為該項目是其進入 NFT 領域的第一步。（AMBCrypto）[2021/6/28 0:10:48]

我的提議是實現一個更明確的機制，在協議層面強制規定commit的含義。commit結構將是類型化的，錢包會以用戶可讀的形式將commit呈現出來。用戶可以確切地知道事務是什么樣子的，并確信這個事務不會在任何鏈上重放，無需依賴于調用者程序開發者的品行和能力。一個可能的實現：AUTH將使用包含授權調用列表的類型化結構代替commit哈希值。每個調用都將指定{nonce,to,gas,calldata,value,chainid}。簽名將被驗證，整個授權調用列表將保存為authorized_transactions而非authorized地址變量。AUTHCALL將得到一個新的參數index，該參數指向最后一個AUTH創建的列表中的地址。用戶地址的nonce將隨AUTHCALL遞增。nonce并非由調用者存儲，而是實際的賬戶nonce。利：用戶可以清楚地了解情況。安全性由協議保障。依然支持批處理和賬戶抽象。弊：nonce實現，不支持并行。復雜調用者程序的事務處理起來很繁瑣，因為用戶必須查看并接受整個調用列表。不同的實現可能支持不同的nonce方案。但是，無論我們使用什么機制，該機制必須由協議而非調用者執行。無論如何都應該避免讓復雜調用者執行大量用戶調用。復雜操作應該作為普通的智能合約實現，而非嘗試實現使用多個外部賬戶調用的算法。替代方案：完全避免硬分叉

分析 | Coinbase BTC/USD 對 Bitfinex 仍處負溢價 主流交易所BTC交易量存在下滑:據TokenGazer數據分析顯示，截止至6月14日17點整，BTC價格為$8297.3，市值為147,274.3MM，主流交易所24H BTC交易量約為$731.2MM，環比昨日下滑3.3%，BTC價格今日繼續攀升，目前在$8200-8300區間范圍內波動，BTCUSD/Coinbase對BTCUSDT/Bitfinex仍處一定負溢價狀態，投資人需警惕市場反轉風險；算力方面，BTC目前算力為53.21E，對比前幾天表現，有所下降；活躍地址數呈現上升趨勢；期貨方面，多空開單量都有相對提升。[2019/6/14]

還有一個選擇是完全避免AUTH機制，并通過vbuterin建議的另一種交易池來解決賬戶抽象和批量處理問題。利：無需硬分叉，可由智能合約和可以感知這些智能合約的節點支持。可用于一切支持EIP3074的實現，而不會引入額外的風險。弊：不向后兼容已有的外部賬戶。用戶需要部署一個合約錢包并將資產轉移到該錢包內。除非要求在不遷移的情況下支持已有的外部賬戶，否則這個選擇看起來更安全。原地址:https://blog.mycrypto.com/eip-3074/作者:MaartenZuidhoorn翻譯&校對:閔敏&阿劍

聲音 | BM：我喜歡看到所有現實世界對 EOSIO 的采用:據 IMEOS 報道，BM 剛剛在推特上轉發了一篇文章《利伯蘭自由共和國利用 EOSIO 構建去中心化自治政府》并寫道，我喜歡看到所有現實世界對 EOSIO 的采用。

利伯蘭自由共和國是一個由捷克人維特·耶德利奇卡于2015年4月13日創立的私人國家，在將來正式得到國際承認后會成為全球第三小的主權國家。在文中，利伯蘭總統說到，“之所以選擇 EOSIO，是因為它是一種頂級技術，它提供了許多在區塊鏈上運行國家管理所需的功能。例如，它能夠將我們的國民大會，司法部甚至公司注冊納入一個可隨時間而發展的綜合系統。”[2019/4/24]

Tags：AUTHESWAPSWAPESWAuthorshipESWAPV2幣LSWAPPEPESWAP價格

幣安app下載