来源:Cryptopedia
编译:胡韬,链捕手
什么是Loopring?
Loopring是基于以太坊区块链的去中心化交易所(DEX)的第2层扩展协议,每秒可以处理数千笔交易的结算。Loopring技术可作为协议层在DEX中使用,该平台还提供LoopringExchange,这是一个非托管交易平台,可提供安全、高速的交易,且不收取任何gas费。
Loopring利用零知识证明允许任何人构建高吞吐量、非托管的DEX。Loopring还使用其原生LCR代币奖励零知识汇总(zk-Rollup)运营商和流动性提供者。
Beosin:sDAO项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/21 7:53:09]
Loopring的零知识汇总(zk-Rollups)
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]
许多像Uniswap这样的DEX利用自动做市商(AMM)来匹配买家和卖家。这些AMM协议自动执行交易,用流动性池代替传统的订单簿,流动性池是用于提供流动性的众包资产池。与使用订单簿的中心化交易所相比,DEX往往具有较低的交易费用和支持更多数字资产的特点。然而,中心化交易所仍然受益于比DEX更强大的流动性和更高的吞吐速度。Loopring旨在通过利用区块链技术的先进创新——zk-Rollups,将最好的中心化交易所带入去中心化生态系统。
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
zk-Rollup是第2层功能——这意味着该技术在主区块链之上运行——它与以太坊网络集成以提高可扩展性。zk-Rollup可以将数百个交易捆绑在一起,并将它们转换为单个数据量极少的零知识证明,然后在以太坊网络上批量确认。这允许比以太坊目前单独处理的更高的事务吞吐量。zk-Rollup计算过程发生在链下,而数据和交易永远不会离开以太坊区块链。将zk-Rollup流程与DEX协议集成可以进行更复杂的计算,这意味着可以降低交易费用并显着提高流动性的优化。
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
在更广泛的以太坊网络的背景下,使用zk-Rollups验证交易块更快且成本更低,因为包含的数据更少,并且仅需要智能合约来验证最终的、轻量级的加密证明。这些交易也作为调用参考数据写入以太坊区块链,与从网络中提取数据相比,这需要的计算量要少得多。通过将所有这些功能合并到一个单一的开放协议中,Loopring通过提高整个以太坊生态系统的效率来加速区块链技术的采用。
Loopring加密技术解绑:OCDA、环形矿工、订单环、订单共享
虽然zk-Rollups代表了为Loopring提供动力的技术,但正是它的实现使多方面协议如此有用,特别是通过其最新的Loopring3.0更新。Loopring具有称为OCDA的链上/链下开关,在数据可用于脱链进行计算的情况下,可以显著加快交易速度。Loopring还利用了高吞吐量套利机制,该机制使用订单环、订单矿工和订单共享系统来实现近乎即时的互联网规模流动性。
链上数据可用性(OCDA):Loopring加密协议使用称为链上数据可用性(OCDA)的功能。这种数据存储的混合方法允许用户选择他们的数据是存储在链上还是链下。当OCDA功能关闭时,数据存储在链上,网络可以实现每秒2,025笔交易。但是,如果打开OCDA并将数据存储在链下——通过使用所谓的Validium模式——那么吞吐量可以达到16,400TPS。通过使用像OCDA这样的Loopring3.0创新,非托管交易所可能能够匹配其中心化托管竞争对手的表现。
环形矿工:路印协议使用独特的共识协议,绕过传统的订单簿和管理流动性池的AMM机制。相反,称为环形矿工的网络参与者负责在订单被执行或取消之前快速填写订单。那些作为环形矿工操作的人以LRC代币的形式获得服务费,或者在订单金额的保证金上进行分割。
订单环:当环形矿工完成订单环时,Loopring智能合约决定如何填充它。如果它可以在交易的任何一方执行订单,智能合约将执行原子交换——从智能合约直接转移到用户的钱包。订单环还有助于环匹配,这是通过将订单串在一起并通过多个用户结算多笔交易来完成订单的过程。订单环将Loopring协议与Waves、IDEX和Bancor等其他DEX区分开来。
订单共享:订单共享功能也可以通过路印协议上的订单环实现。在路印协议DEX智能合约无法在单笔交易中执行订单的情况下,订单共享用于将订单拆分为部分组件,直到完成原始订单金额。环匹配技术将多个单独的订单聚合到一个订单环中。路印协议智能合约验证订单后,每一方都会收到资产作为交换。订单作为后续订单环的一部分通过订单共享系统运行,直到这些部分订单被完全执行。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。