Analice brevemente las ventajas y desventajas de los protocolos de pago de criptomonedas zkSync, xDai y everPay

Han pasado más de 12 años desde la publicación del libro blanco de Bitcoin "Bitcoin: un sistema de efectivo electrónico punto a punto". Bitcoin ha sido reconocido por muchas instituciones como una reserva de valor, pero está limitado por el desempeño de la cadena de bloques y los cambios drásticos en el valor de Bitcoin Todavía hay una gran brecha entre la volatilidad y el "efectivo electrónico" en términos de experiencia. Ahora, con el cambio continuo y la innovación en tecnología, los nuevos protocolos de pago y liquidación están mostrando gradualmente sus pies y cabezas. Estas aplicaciones de pago y liquidación incluyen everPay, un protocolo de pago y liquidación de alto rendimiento creado con el paradigma informático de almacenamiento; xDai, una cadena lateral creada con PoS, y zkSync, una aplicación de transferencia creada con tecnología de prueba de conocimiento cero. Los tres protocolos se presentan a continuación. zkSync zkSync utiliza pruebas de conocimiento cero para comprimir la información de las transacciones y agrupa las transacciones en Ethereum a través de la tecnología Rollup. En Ethereum, el protocolo crea un contrato inteligente en Ethereum para la verificación de conocimiento cero y utiliza la tecnología de árbol de Merkle para la gestión de cuentas. La dirección de Ethereum del usuario y la información relacionada se calculan como raíces de Merkle y la información se comprime. Con esta tecnología, aunque la operación de transferencia del usuario se completa fuera de la cadena, su libro mayor aún se encuentra en la Capa 1. Toda la información de transferencia necesaria se comprime mediante tecnología de conocimiento cero y la información se empaqueta en lotes en Ethereum para su verificación. La generación de pruebas de conocimiento cero requiere una gran cantidad de cálculos fuera de la cadena. Según ZKSwap, que también utiliza la tecnología ZK Rollup, para mejorar el TPS y las pruebas de cálculo, se necesitan millones de dólares en servidores para soporte informático. Estos cálculos aún se convierten en el costo de la transacción. Equipo de seguridad: Breve análisis del ataque a Defrost Finance: Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la compañía de auditoría de seguridad blockchain Beosin, el oráculo Defrost Finance fue modificado maliciosamente y un falso El token de hipoteca se liquidó para los usuarios actuales y la pérdida superó los 13 millones de dólares estadounidenses. El atacante modificó la dirección del oráculo a través de la función setOracleAddress, luego usó la función joinAndMint para acuñar 100 000 000 tokens H20 para la dirección 0x6f31, y finalmente llamó a la función de liquidación para obtener una gran cantidad de USDT a través del oráculo de precios falsos. Los atacantes posteriores transfirieron los fondos robados a 0x4e22 de Ethereum a través de métodos de cadena cruzada. Actualmente, hay 4,9 millones de USD en DAI en la dirección 0x4e22, 5 millones de USD en DAI en la dirección 0xfe71 y los 3 millones de USD restantes en ETH. Transferidos a la dirección 0x3517 . [2022/12/25 22:06:35] xDai xDai creó la cadena lateral xDai Stable Chain utilizando el consenso PoS, que proporciona confirmación de bloque de 5 segundos y una tarifa de transacción ultra baja de $ 0.0002 por transacción. TokenBridge es el protocolo de cadena cruzada de activos de xDai, que bloquea los activos mediante la creación de contratos inteligentes de múltiples firmas en Ethereum. Cuando se liberan los activos, los firmantes múltiples firman la información de la transacción en la cadena lateral. Beosin: un breve análisis del ataque al proyecto SheepFarm: Jinse Finance informó que, de acuerdo con el monitoreo de riesgos de seguridad Beosin EagleEye, la alerta temprana y el monitoreo de la plataforma de bloqueo de la empresa de auditoría de seguridad blockchain Beosin, el proyecto SheepFarm en la cadena BNB fue atacado por una vulnerabilidad El análisis de Beosin encontró que dado que la función de registro del contrato SheepFarm se puede llamar varias veces, el atacante 0x2131c67ed7b6aa01b7aa308c71991ef5baedd049 usa la función de registro para aumentar sus propias gemas varias veces, luego usa la función upgradeVillage para acumular el atributo de rendimiento mientras consume gemas, y finalmente llama al método sellVillage para convertir el rendimiento en dinero antes de retirar dinero. Este ataque hizo que el proyecto perdiera unos 262 BNB, unos 72.000 dólares. Beosin Trace descubrió que el monto robado todavía está en la cuenta del atacante y continuará prestando atención a la dirección de los fondos. [2022/11/16 13:10:39] everPay everPay utiliza un nuevo paradigma informático de almacenamiento, colocando todos los procesos de cálculo fuera de la cadena, y el consenso de almacenamiento garantiza la credibilidad del libro mayor. everPay actualmente usa contratos de múltiples firmas para el bloqueo de activos a través de cadenas. Cuando se acuñan activos, solo es necesario transferir los tokens al contrato de múltiples firmas. El acuerdo utiliza Ethereum como una máquina oráculo para obtener información de transacciones y realizar la acuñación de activos; cuando se liberan activos, los firmantes múltiples necesitan obtener información de transacciones de Arweave, según el protocolo everPay Las reglas se utilizan para la verificación de transacciones y, finalmente, se liberan los activos de la firma. Equipo de seguridad: ganancia de alrededor de 9 millones de dólares estadounidenses, un breve análisis del ataque de piratas informáticos al protocolo Moola: según las noticias del 19 de octubre, según el monitoreo de la plataforma de monitoreo y advertencia de seguridad Beosin EagleEye Web3, el protocolo Moola en Celo fue atacado y el pirata informático obtuvo una ganancia de aproximadamente 900 dólares estadounidenses, diez mil dólares estadounidenses. El equipo de seguridad de Beosin analizó el incidente por primera vez y los resultados son los siguientes: Paso 1: El atacante realizó múltiples transacciones, utilizando CELO para comprar MOO, y los fondos iniciales del atacante (182 000 CELO).Paso 2: El atacante presta CELO usando MOO como garantía. De acuerdo con la lógica común de los préstamos hipotecarios, el atacante hipoteca el MOO de valor a, y puede prestar CELO de valor b. Paso 3: el atacante compra MOO con el CELO prestado, por lo que continúa aumentando el precio de MOO. Después de cada intercambio, el precio de Moo correspondiente a CELO se vuelve más alto. Paso 4: Dado que el contrato de préstamo hipotecario utilizará el precio en tiempo real en el par de transacciones para juzgar cuándo prestar, el monto del préstamo anterior del usuario no ha alcanzado el valor b, por lo que el usuario puede continuar prestando CELO. Al repetir este proceso, el atacante aumenta el precio de MOO de 0,02 CELO a 0,73 CELO. Paso 5: El atacante ha realizado un total de 4 MOO de hipoteca, 10 veces de intercambio (CELO por MOO) y 28 veces de préstamo para lograr un proceso de obtención de ganancias. El contrato de implementación de préstamos hipotecarios que fue atacado esta vez no era de código abierto, por las características del ataque, se puede adivinar que el ataque es un ataque de manipulación de precios. En el momento de la publicación, a través del seguimiento de Beosin Trace, se descubrió que el atacante devolvió alrededor del 93,1 % de los fondos obtenidos a la fiesta del proyecto Moola Market y donó 500 000 CELO al mercado de impacto. Dejé un total de 650.000 CELO como recompensa. [2022/10/19 17:32:31] Con el paradigma de almacenamiento y computación derivado de Arweave, everPay puede lograr transacciones en tiempo real y admitir decenas de miles de TPS; cuando las transacciones se empaquetan en lotes, 1 dólar estadounidense puede empaquetar millones de transacciones, y el acuerdo puede proporcionar gratis Para la transferencia, solo necesita pagar la tarifa del minero Ethereum al recargar y retirar dinero. SlowMist: un breve análisis del ataque de préstamo relámpago de Inverse Finance: según la inteligencia en cadena del equipo de seguridad de SlowMist, Inverse Finance sufrió un ataque de préstamo relámpago y perdió 53,2445 WBTC y 99.976,29 USDT. El equipo de seguridad de SlowMist compartió el principio del ataque en forma de mensaje de texto de la siguiente manera: 1. El atacante primero tomó prestados 27 000 WBTC de AAVE Flash Loan y luego depositó 225 WBTC en el grupo CurveUSDT-WETH-WBTC para obtener 5375,5 crv3crypto y 4906,7 yvCurve-3Crypto, y luego el atacante depositó los 2 certificados obtenidos en Inverse Finance para obtener 245.337,73 certificados de depósito anYvCrv3Crypto. 2. A continuación, el atacante realizó un intercambio en el grupo de CurveUSDT-WETH-WBTC e intercambió 26 775 WBTC por 75 403 376,18 USDT Dado que el contrato de cálculo de precio utilizado por el certificado de depósito de anYvCrv3Crypto utilizará el precio de alimentación de Chainlink además del saldo en tiempo real Se calculan los cambios de WBTC, WETH y USDT en el grupo CurveUSDT-WETH-WBTC, por lo que después de que el atacante realiza el intercambio, el precio de cualquier YvCrv3Crypto aumenta, lo que hace que el atacante pueda tomar prestado un exceso de 10,133,949.1 DOLA del contrato. 3. Después de pedir prestado DOLA, el atacante intercambia los 75 403 376,18 USDT obtenidos en el segundo paso por 26 626,4 WBTC, el atacante intercambia 10 133 949,1 DOLA por 9 881 355 3crv y luego el atacante obtiene 10 099 976,2 USDT eliminando la liquidez de 3crv. 4. Finalmente, el atacante intercambió los 10 000 000 USDT que se habían retirado de la liquidez por 451,0 WBT, devolvió el préstamo flash y abandonó el mercado con una ganancia. En respuesta a este incidente, SlowMist dio las siguientes sugerencias preventivas: La razón principal de este ataque fue el uso de máquinas Oracle inseguras para calcular los precios de LP El equipo de seguridad de SlowMist sugirió que puede consultar el método de Alpha Finance para obtener precios justos de LP. [2022/6/16 4:32:58] Comparación con Slow Mist: Un breve análisis de la piratería de Zabu Finance en la cadena Avalanche: Según la inteligencia del Distrito Slow Mist, el 12 de septiembre, el proyecto Zabu Finance en Avalanche sufrió un ataque de préstamo relámpago, Slow Mist Security Después del análisis, el equipo lo compartirá con usted en forma de boletín para su referencia: 1. El atacante primero crea dos contratos de ataque, luego convierte WAVAX en tokens SPORE en Pangolin a través de ataca el contrato 1 e hipoteca los tokens SPORE obtenidos al contrato ZABUFarm en preparación para la posterior adquisición de recompensas de tokens ZABU. 2. El atacante tomó prestados tokens SPORE de Pangolin Flash Loan al atacar el contrato 2 y luego comenzó a usar tokens SPORE continuamente para realizar operaciones de "hipoteca/retiro" en el contrato ZABUFarm. Dado que los tokens SPORE deben cobrar una determinada tarifa durante el proceso de transferencia (cobrada por el contrato SPORE), la cantidad real de tokens SPORE recibidos por el contrato ZABUFarm es menor que la cantidad de hipotecas transferidas por el atacante. En el análisis, notamos que el contrato ZABUFarm registrará directamente el monto de la hipoteca transferida por el usuario cuando el usuario hipoteca, en lugar de registrar la cantidad real de tokens recibidos por el contrato, pero el contrato ZABUFarm le permite al usuario retirar todos el contrato registrado cuando el usuario hipoteca.Importe de la hipoteca. Esto lleva al hecho de que la cantidad de tokens SPORE realmente recibidos por el contrato ZABUFarm cuando el atacante hipoteca es menor que la cantidad de tokens que el contrato ZABUFarm transfiere al atacante cuando el atacante se retira. 3. El atacante se aprovechó del defecto de contabilidad causado por la compatibilidad entre el contrato ZABUFarm y los tokens SPORE y, por lo tanto, consumió continuamente los fondos SPORE en el contrato ZABUFarm a un valor extremadamente bajo a través de operaciones de "hipoteca/retirada". La recompensa de la hipoteca del contrato ZABUFarm se calcula dividiendo las recompensas de bloque acumuladas por la cantidad total de tokens SPORE hipotecados en el contrato. Por lo tanto, cuando la cantidad total de tokens SPORE en el contrato ZABUFarm se reduce a un valor extremadamente bajo, sin duda ser calculado Un gran valor de bonificación. 4. El atacante obtuvo una gran cantidad de recompensas de tokens ZABU a través del contrato de ataque 1 que se había hipotecado previamente en ZABUFarm y luego vendió los tokens ZABU. Este ataque fue causado por la incompatibilidad entre el modelo de hipoteca de ZabuFinance y los tokens SPORE. Ha habido muchos ataques causados ​​por tales problemas. El cambio de token real del contrato antes y después de la transferencia, en lugar de depender de la cantidad de tokens de hipoteca pasados ​​por el usuario. [2021/9/12 23:19:21] Seguridad La tecnología de prueba de conocimiento cero puede proteger completamente los activos alojados por los usuarios de zkSync en la capa 1, y los activos de los usuarios son criptográficamente seguros. Sin embargo, debe tenerse en cuenta que la tecnología Rollup actual es operada por un solo nodo. Una transferencia exitosa en la Capa 2 no significa que la transacción deba ser exitosa en la Capa 1. Debe esperar hasta que la transacción se renueve a la Capa 1 antes la transacción se puede realizar criptográficamente. Dado que xDai usa tecnología de cadena lateral, las transacciones en la cadena lateral tienen un consenso, por lo que no existe el problema de que las transacciones en zkSync deban esperar a que la Capa 1 se empaquete correctamente antes de que puedan confirmarse por completo. Sin embargo, xDai usa la red PoA para cruzar activos en cadena. Los custodios de la clave privada de firmas múltiples de PoA tienen cierta "superautoridad", y las firmas múltiples pueden tener la capacidad de hacer el mal después de estar unidas. El paradigma informático de almacenamiento utilizado por everPay realiza cálculos fuera de la cadena. Solo las transacciones no se guardan en la cadena y el estado se genera mediante cálculos fuera de la cadena. Al cruzar de Ethereum u otras cadenas de bloques al protocolo everPay, la acuñación de activos se realiza a través del modo de máquina oracle.Si no hay transacción en la máquina oracle externa (como la red principal de Ethereum), el estado del cálculo fuera de la cadena no se actualizará maliciosamente. Por ejemplo, en el caso de ETH mint, el protocolo everPay de la cadena solicitará activamente la red principal de Ethereum cuando reciba el mensaje de menta, obtendrá todos los datos de la transacción de la red principal de Ethereum y realizará una verificación criptográfica de toda la transacción. los pases de verificación pueden generar el saldo correspondiente en el estado everPay. El txHash después de cada verificación se marcará como acuñado para evitar la duplicación de activos de acuñación. Las transacciones de everPay se confirman con las firmas de los usuarios y el rendimiento de seguridad del acuerdo está 100 % garantizado. Sin embargo, everPay y xDai tienen problemas similares y actualmente administran activos de Capa 1 a través de tecnología de firma múltiple

Tags：

DYDX