原文作者:GaryMa
近日,,在此前的五大關鍵路線的基礎上,新增了以解決交易審查和 MEV 風險為中心的關鍵路線 The Scourge。至此,以太坊未來的發展進化將主要分為六大關鍵路線,分別是:The MergVitalik 發布了以太坊的最新路線圖e、The Surge、The Scourge、The Verge、The Purge、The Splurge。值得注意的是,這六大關鍵路線是同時推進的。下面,我們也根據這最新的路線圖表,簡單描述一下各個關鍵路線。
該路線的主要目標是構建去中心化、健壯簡潔的 PoS 共識機制。以太坊目前已經成功切換為 PoS,接下來主要是針對網絡驗證者安全以及零星功能的修修補補:
安全公司:AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道,據區塊鏈安全審計公司Beosin EagleEye監測顯示,2022年11月23日,AurumNodePool合約遭受漏洞攻擊。
Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證,導致攻擊者可以調用該函數進行任意值設置。
攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數,接下來調用claimNodeReward函數提取節點獎勵,而節點獎勵的計算取決于攻擊者設置的rewardPerDay值,導致計算的節點獎勵非常高。而在這一筆交易之前,攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR,創建了攻擊者的節點記錄,從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]
信標鏈取款功能的激活:目前已經作為 EIP-4895 的主要內容,準備于上海升級時部署,至于具體實施時間,在最新以太坊核心開發者會議上,開發者們只能模糊地估計數月內。
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
Distributed Validators(DV):分布式驗證者技術,旨在將以太坊驗證者的工作分布到一組分布式節點中的技術,與目前在一臺機器上運行驗證者客戶單的傳統技術相比,更加能夠提高安全性、在線彈性等,具體可見 DV 技術規范。
慢霧:GenomesDAO被黑簡析:據慢霧區hacktivist消息,MATIC上@GenomesDAO項目遭受黑客攻擊,導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制,攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。
2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作,以獲得大量的LPSTAKING抵押憑證。
3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣,隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。
4.最后將LP發送至DEX中移除流動性獲利。
本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]
Single Secret Leader Election(SSLE):單一秘密領導者選舉,目前信標鏈采用的是 Single Leader Election,即每個 Slot 所選出的提議者會提前公開,使他們容易受到 DoS 攻擊。通過將這一過程加密隱藏,只有提議者知道自己的身份,能夠有效緩解潛在風險。
Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。
1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。
2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。
3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。
4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。
此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]
Single Slot Finality(SSF):單 Slot 最終性,當前以太坊區塊需要 64 到 95 個 slot(約 15 分鐘)才能實現最終確定性,不過 Vitalik 認為有充分的理由把最終確定性時間縮短為一個 slot,從而實現更好的用戶體驗,具體可見 SSF。
該路線的主要目標是推動以 Rollup 為中心的擴容,實現每秒 10 萬的 TPS,主要分為兩個階段:
實現 Rollup 的初步擴容:EIP4844 向以太坊引入一種新的交易類型,這種交易類型攜帶短暫存在的 blob 數據,將使得 rollup 的開銷降低 10-100 倍,同時結合初步的 OP Rollup 欺詐證明以及 ZK-EVMs 的輔助,實現初步擴容。
實現 Rollup 的完全擴容:在前者基礎優化完善的同時,重點著手數據可用性 DA 方面的優化,如數據可用性抽樣的客戶端、P2P 設計等。
該路線的主要目標是確保可靠可信中立的交易納入區塊,避免網絡出現中心化以及 MEV 相關風險等,而這其中的關鍵里程碑是在協議層面實現區塊提議者與構建者分離,即 Proposer-Builder Separation/PBS。
在 PBS 的設計中,區塊提議者負責從內存池中收入交易,并創建一個包含區塊交易信息的列表 crList 傳遞給區塊構建者們。區塊構建者們以最大化 MEV 為目的對 crList 中的交易進行重新排序并構建區塊,然后再向區塊提議者提交他們的出價,而區塊提議者就會選擇出價最高者為有效的區塊。
在實現 PBS 之后,進一步的還有以太坊開發者提出的 Smoothing MEV 方案,旨在減少每個驗證者之間捕獲的 MEV 的差距,最終目標是使每個驗證者的獎勵分布盡可能接近均勻,從而保證協議共識的穩定,同時還考慮潛在的 MEV 銷毀可能。
該路線的主要目標是降低驗證區塊的門檻,包含兩個關鍵里程碑檢查點:
Verkle Trees:圍繞 Verkle 樹設計對 Merkle 樹進行優化,使得驗證者無需存儲所有狀態也能參與由交易驗證成為可能。
Fully SNARKed:將 SNARK 全面引入到以太坊協議,如 EVM、Verkle 證明以及共識狀態轉換等,即使到了量子計算時代,也可切換到量子安全的 STARKs。
該路線的主要目標是簡化以太坊協議,消除技術債務,通過清除歷史數據,限制驗證者參與網絡的成本,減少節點的存儲需求,甚至不再需要存儲全節點數據,從而提高節點效率,間接提升 TPS。這其中主要包含兩大關鍵里程碑檢查點 History Expiry 和 State Expiry,鑒于該路線偏技術向,暫且按下不表。
該路線主要是一些零碎的優化修復,如賬戶抽象、EVM 優化以及隨機數方案 VDF 等。
GaryMa
個人專欄
閱讀更多
金色財經
PANews
達瓴智庫
CT中文
區塊律動BlockBeats
DeFi之道
web3中文
文章匯
01元宇宙
金色薦讀
原文作者:Arbitrum原文編譯:angelilu,Foresight News在哥倫比亞波哥大舉行的第一屆 Arbitrum 黑客馬拉松已經正式落下帷幕.
1900/1/1 0:00:00作者:Chenglin Pua(馬來西亞)隨著區塊鏈技術的不斷發展,區塊鏈對金融領域造成了很大的影響和沖擊。在早期,傳統銀行例如高盛、摩根大通等都不看好區塊鏈的前景.
1900/1/1 0:00:00加密世界節奏飛快,今日龍頭隨時會被取代,唯一不變的就是變化,但同時在每個新周期也都會誕生新的風口.
1900/1/1 0:00:00在過去的幾年當中出現了各種各樣的獨立公鏈以及以太坊 Layer 2。由于在安全性、低成本、快速交易以及開發者和用戶社區差異等方面,不同鏈都具有各自不同的優勢,用戶在不同鏈之間切換使用的行為是很常.
1900/1/1 0:00:00▌ SBF:FTX與幣安達成協議,獲得幣安戰略投資11月9日消息,FTX創始人SBF發布推特稱,事情又回到了原點.
1900/1/1 0:00:00又到了每月安全盤點時刻!根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年10月,各類安全事件數量和涉及金額較9月大幅上升.
1900/1/1 0:00:00