作者:BenEdgington,以太坊2.0开发者
编译:隔夜的粥,巴比特
提示:信标链Altair升级将于UTC时间10月27日10:56:23实施,请确保你的节点已更新并准备就绪!如果有任何疑问,请咨询相关客户端的开发团队。
信标链
正如上面的警示,信标链的Altair升级/分叉已迫在眉睫,如果你的信标节点还没有升级到最新版本,那么在网络升级后,它将不再与网络兼容,并且还将受到处罚。
根据ChainSafe的NodeWatch显示,在撰写本文时,只有47.2%的节点已为Altair升级做好准备。如果这个数据是准确的,那将是一场灾难。Altair升级会很混乱,当我们理清这些混乱的时候,合并无疑会被推迟。升级你的节点,朋友们!这实际上和你得到的报酬挂钩,现在就去做这件事。
如果这还无法说服你,那么我想我们需要拿出更强大的武器。是的,更新客户端并告诉他人这件事,可以领取到一个POAP纪念徽章。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
对于高级用户,请注意Web3Signer?也需要更新到v21.10.0以用于Altair升级。
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
EthStaker正在举办一场升级观察派对?,我们非常希望这次升级能够顺利进行。我还听到了一个关于POAP艺术画布?的传言。
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
合并测试网
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
合并研讨会进行得很顺利,我在ConsenSys的朋友们以及以太坊基金会对这次活动做了很好的报道。
行情 | 以太坊未确认交易笔数为42450笔:公开数据显示,目前以太坊未确认交易笔数为42450笔,未确认笔数较之昨日41627笔变化不大,网络较为拥堵。[2018/7/6]
在这次研讨会上亮相的Pithos测试网?,它与以太坊1.0和以太坊2.0客户端的各种组合运行良好。
目前有几个Pithos监控工具:一个区块链浏览器以及一个共识监控器。如果你愿意,你也可以尝试一下Pithos测试网,但它并不是简单易用的,并且没有任何保证。尽管如此,根据CoinCashew的指南?,你可以在不到10分钟的时间内启动并运行这个测试网。这里是运行视频?,如果你了解Ansible,这里?有说明和脚本。
好消息是Prysm已经赶上了合并研讨会,并且还有关于加入Pithos的说明。
开发者们有计划?在几周内建立一个更大、更稳定的合并测试网。
Vitalik撰写的合并规范?是很好的阅读材料,它可以帮助大家更好地理解我们在这里所做的事情。另见Alex和Proto在LisCon会议上的谈话?。
合并的时间
经过上周以太坊核心开发者电话会议的大量讨论,以太坊1.0网络上的难度炸弹被推迟到了2022年6月份?,预计届时合并可能会发生。
请注意,这并不是承诺!没有以太坊2.0客户端开发人员能够给出决定,充其量,它只是一个计划目标。在我们完全确信合并已准备就绪之前,我们不会启动合并。
关于Staking
客户端多样性仍然是当前的主要话题,很高兴我在上周的EthGlobal峰会上与EvanVanNess、CarlBeek、Superphiz和DappLion主持了一次小组讨论。
正如Evan所说,大多数小组讨论都很乏味。但是这次讨论的结果很好,令人惊讶的是,我们99%都同意这个话题。尽管如此,多元化的讨论还是很有启发性的。我没有做很多事情,而只问了几个天真的问题,比如“Prysm是否会大而不倒?”,以及“客户端多样性是一个错误吗?”,然后就退到了一个安全的距离。
与此同时,MichaelSproul基于越来越复杂的区块指纹分析,更新了他的客户端多样性统计数据?,这是一个很棒的帖子,里面有一些有趣的发现。
Stereum
Stereum一直在忙他们的信标节点启动器。1.8版本已经发布,他们的安全审计也已经发布。他们还发起了维护挑战?,参与这个挑战可以领取到NFT和POAP,但由于一些原因,我自己可能不会参与。
精心挑选的演讲
首先,我欠Prysm团队一个道歉,因为几周前在Altair升级和路线图上错过了他们的PEEPanEIP会议,对不起,伙计们。在Altair上线之前还有时间纠正!Pooja刚刚对过去所有与Altair相关的会议做了一个很好的总结。
本周在LisCon会议上进行了一系列与以太坊2.0相关的演讲,议程在这里?,这里?则是视频。我从正在进行的一些演讲中挑选出了一些:
1、关于Prysm的问题——探索客户端多样性的范围?2、PoS以太坊中的重组游戏?3、关于合并的开发?4、DappLion的轻客户端演讲?肯定值得一看,但我还没有在任何地方找到演讲视频。
在LisCon上还有由BloxStaking/ssv.network组织的非正式会议:,以太坊Staking的未来。会议对话的范围广泛,涵盖了信标链、staking以及客户端多样性主题。
说到SSV,Obol网络本周揭开了神秘面纱,我很高兴成为了该项目的顾问。
EthGlobal在为期一个月的EthOnline活动结束时举办了合并和扩容峰会,这次活动的质量一如既往:
1、JoshStark,以太坊的一年?;2、DannyRyan,杀死工作量证明?;3、MariusvanderWijden,从执行层的角度看合并?;4、GuillaumeBallet,无状态&Verkle树?;5、Vitalik,升级我们的rollup基础设施?;6、AyaMiyaguchi的AMA?;
最后推荐两期播客内容:
DannyRyan谈Layer0?;VasiliyShapovalov谈Lido?;
研究
1、BitMEX对外包Staking?的问题进行了大量讨论,其得出的结论是:
“大量外包质押是ETH2.0网络的一个重大潜在问题。“这就是以太坊从未考虑实施正式的委托权益证明协议的主要原因。尽管看起来,如果没有足够的solo质押者参与进来,我们最终可能会陷入类似的境地。
2、研究者对EIP1559、合并后时代ETH的均衡供应的冗长而详细的分析?。报告写到,以太坊供应量最终可能会稳定在2730万-4950万ETH之间,甚至可能会出现永久性通货紧缩。有人会说ultrasound吗?
3、Vitalik在区块构建者/区块提议者分离方面的研究工作不断发展。最新的是2slot提议者/构建者分离?。根据我的快速阅读,信标链slot将从12秒减少到8秒,并且每两个slot添加一次执行区块。
常规电话会议
10月21日,开发者们进行了第74次实施者电话会议,以下是:
1、会议议程?;2、会议视频?;3、我的速记?;
大部分都很简单,唯一不寻常的是讨论合并涉及的各种升级的命名。
10月13日,开发者们进行了第9次Stakehouse社区电话会议,我很高兴参加由Prysm的JamesHe领导的关于验证者密钥管理API标准化的讨论。
接下来的活动:
1、UTC时间10月27日10:30:EthStakerAltair观察派对2、10月31日:Stereum验证器维护挑战的注册截止时间3、UTC时间11月5日14:00:第一次合并社区电话会议
其他的消息
1、Lido正在解决最近发现的围绕front-running存款的问题?。我听说RocketPool正在Prater测试网上测试他们的补丁,在新的主网发布日期确定之前,SigmaPrime正在对其进行审核。
2、Chainsafe团队更新了第一期Lodestar?。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。