来源:cryptopedia
编译:胡韬,链捕手
Status简介
Status是一个开源消息传递平台和移动界面,它提供了从一个iOS和Android友好的应用程序中对以太坊不断增长的dApps生态系统的简化访问,该应用程序结合了对等即时消息传递、加密钱包和Web3浏览器。
自2017年推出以来,Status为以太坊生态系统提供了一个移动端门户,以及一个具有广泛高级功能的独特消息传递平台。在为以太坊生态系统提供适合移动设备的入口时,Status提供跨平台的统一用户体验、以用户为中心的数据和广告模型,以及对下一代支持区块链的金融和法律服务的访问。
Status应用程序不仅仅是消息
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
虽然StatusNetwork通常被描述为一个社交媒体平台,但实际上该项目正在开发一系列广泛的功能,这些功能结合到以太坊网络的一站式网关中。一般来说,Status的产品可以分为三个主要功能:
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
dApp管理:截至2020年,以太坊区块链托管了近2,000个活跃的dApp,浏览这些庞大的应用程序可能会让人不知所措。Status旨在成为任何类型的以太坊相关活动的中心,并开发了多种功能,使用户能够浏览以太坊的dApp并与之交互。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
安全消息传递:Status通过点对点网络而不是中央服务器提供公共聊天和安全的端到端加密私人消息,确保除了你和你?的目标收件人之外的任何人都无法查看私人消息。此外,由于Status上的消息传递是通过去中心化网络进行的,因此它具有抗审查性和弹性,因为网络不会出现单点故障。因此,Status可确保用户保持对自己通信的完全控制。
慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:
1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;
3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;
4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;
5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;
6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;
7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;
8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;
9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]
数字资产管理:StatusNetwork提供安全的加密货币钱包,允许用户通过聊天直接向全球任何地方的联系人发送付款。Status用户的聊天和钱包密钥没有以任何方式连接,这意味着即使你的聊天密钥以某种方式被泄露,你的资金也将保持安全。因此,Status使你能够密切关注自己的加密资产,同时保持轻松促进安全、无国界支付的能力。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
Status应用程序将这些功能与iOS和Android兼容性打包在一起,将上述所有功能与Web3浏览器相结合。这种方法体现了公司的目标,即向更广泛的市场提供支持区块链的应用程序的好处。
而且,虽然Status的应用程序是其旗舰产品,但该公司还在开发许多其他产品,包括Keycard,一种功能类似于非接触式借记卡或信用卡的硬件钱包。Status还在努力发布Teller,这是一种去中心化的点对点法币到加密货币交易所。
此外,Status打算破坏互联网上使用的现有广告模式,这种模式非常有利于公司而非个人用户。通过Status,你可以选择要与广告商和其他第三方共享多少时间、注意力和数据,以换取平台上的有形服务——或者你可以选择在不共享数据或从第三方接收广告的情况下支付服务费用根本。因此,Status不仅改善了用户与基于区块链的应用程序交互的方式,而且旨在开创一种更加平等、以用户为中心和公平的在线体验。
Status、SNT代币和治理?
Status的应用程序是一款以免费增值模式运行的开源产品,在创建帐户时不需要用户提供电话号码、电子邮件地址或银行帐户。然而,由于StatusNetwork不会从销售广告或与第三方共享个人用户数据中获利,该平台向用户收取通知和存储的微交易费用,以资助项目的运营成本。
此外,Status是一个去中心化的自治组织,这意味着该项目不依赖于中心化的管理机构。相反,StatusNetwork社区成员可以完全控制开发,例如将实施或修改哪些生态系统功能。这种社区主导的治理模型是通过Status的原生ERC-20代币SNT进行。
SNT代币持有者可以发起并投票决定如何开发项目。StatusNetwork上的任何利益相关者都可以提交提案,社区成员的投票权重与其持有的SNT代币数量成正比。在网络成立之初,社区主要就与软件相关的问题进行投票。然而,随着网络的不断发展,社区可能需要面对和解决日益复杂的社会和结构问题。
SNT还用于访问Status网络上的去中心化服务并为其提供动力。这包括为转发消息和离线消息等基本服务付费,以及使用Status的TellerNetwork等dApp,它允许SNT持有者找到附近的用户,将他们的现金换成数字货币和资产。SNT还用于激励和奖励网络参与者运行节点,这有助于确保即使Status托管的集群中的所有节点都离线,Status平台也能继续平稳运行。
Status社交网络如何建立信任
Status加密平台上有许多功能旨在保护用户安全并确保信任。一种主要方法是Tribute-to-Talk流程,这是一种反垃圾邮件机制,它要求你将SNT代币作为抵押品存入,以向尚未与之通信的网络外用户发送消息。如果用户验证你的消息,则返回抵押品。如果消息接收者没有响应,则将代币奖励给接收者。这会阻止在网络上创建虚假帐户和垃圾邮件。
此外,Status实施了一种声誉模型,利益相关者可以通过该模型存入代币来提高另一个用户的声誉——一种为某人担保的数字版本,有助于在Status网络上的用户之间建立信任网络。讨论组甚至可以设置最低声誉分数作为加入他们的组的要求,这大大增加了维护活跃假账户的成本。
为了加强帐户安全,Status为每个用户创建了一个唯一的公钥用户名,同时提供了一种在设备丢失或无法访问的情况下恢复帐户的独特方法。为用户提供了五个恢复密钥,可以与其他受信任的个人共享。可以使用这些密钥中的任意三个的组合来恢复帐户。这可以防止与区块链钱包相关的常见问题和恐惧之一:单点故障可能导致资产永久丢失。
Status的多管齐下的产品包括消息传递、社交媒体、加密钱包和以太坊生态系统的应用程序商店等元素——所有这些都在一个移动门户中。通过优先考虑隐私、抗审查和社区驱动的开发,Status为Internet上的当前标准提供了一个用户驱动的替代方案。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。