以太坊在新年动作频频,不仅在1月8日的开发者会议上确认了上海升级,包括2月份的公共测试网和3月份的主网启动计划,也在1月9日发布了以太坊基金会官网的2023年Q1路线图,本文对其路线图进行详细说明。
配合上海升级
今年以太坊开年最重要的举动便是将要到来的上海升级,并且这也是BeaconChain启动以来首次支持ETH提取,并且允许质押者领取奖励。
为此,以太坊官网将会开发一个launchpad以尽可能简化这个步骤,在launchpad页面,不仅有详细的步骤说明,还提供了各类环境的开发指南。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
主要流程包括选择客户端、生成私钥、上传存入数据、链接钱包、生成摘要以及交易等步骤,并且在每一步中,都会进行详细说明。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
以选择客户端为例,Ethereum.org同时提供了多种语言在内的客户端配置指南,包括Java、Geth(Go)、Erigon和C#/.Net,以及第三方服务商Infura在内的多种开发环境。
安全团队:获利约900万美元,Moola协议遭受黑客攻击事件简析:10月19日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,Celo上的Moola协议遭受攻击,黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析,结果如下:
第一步:攻击者进行了多笔交易,用CELO买入MOO,攻击者起始资金(182000枚CELO).
第二步:攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑,攻击者抵押了价值a的MOO,可借出价值b的CELO。
第三步:攻击者用贷出的CELO购买MOO,从而继续提高MOO的价格。每次交换之后,Moo对应CELO的价格变高。
第四步:由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断,导致用户之前的借贷数量,并未达到价值b,所以用户可以继续借出CELO。通过不断重复这个过程,攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。
第五步:攻击者进行了累计4次抵押MOO,10次swap(CELO换MOO),28次借贷,达到获利过程。
本次遭受攻击的抵押借贷实现合约并未开源,根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时,通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方,将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]
为提高网络节点的分散性,以提高网络的抗审查能力,以太坊官网鼓励开发者尽量自行配置客户端,而非完全依赖Infura等集成套件。
安全公司:Starstream Finance被黑简析:4月8日消息,据Agora DeFi消息,受 Starstream 的 distributor treasury 合约漏洞影响,Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数,此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时,StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。
2. 新的 DistributorTreasury 合约中存在 execute 函数,而任意用户都可以通过此函数进行外部调用,因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。
3. 攻击者将 STARS 抵押至 Agora DeFi 中,并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]
在此基础上,以太坊官网也将会承担更多的教育工作,鉴于上海升级后,提取质押ETH将成为以太坊的一个永久性功能,以太坊官网会增加指导性内容,面向普通用户,解释提款的工作流程。
并且,为了保持对以太坊主网协议升级内容的跟进,以太坊官网也将会将跟进发布新协议变化内容,并会围绕以太坊的路线图来开展普及,力争用更为通俗、简洁的语言面向开发者、公众解释以太坊的原理和功能。
走向主流市场
在以太坊官网的规划中,以太坊不仅应该探索在区块链世界的用途,还应该“走出去”和引进来,扩大和外部主流世界的沟通,并且积极吸纳新的开发手段和技术,以将以太坊推向大众视野。
引入更多AI功能在以太坊官网之前的社区计划中,一个占比重要的任务是官网文档的多语种翻译,包括技术文档和日常文章,依靠志愿者的集体协作已经覆盖主流语种,但是存在更新不及时,翻译不准确的问题。
例如,在2022年Q3,以太坊基金会博客国际化需要以多种语言的翻译支持,为使博客更快地进入非英语使用者的手中,适当削减了部分内容。
本次路线图中更新中,以太坊官网计划使用更多机器翻译来提高翻译的准确性,虽然该提议仍在讨论中,但是足够扩展以太坊的传播能力。
而和翻译相比,AI配图的门槛就没有那么高,以太坊官网的配图向来风格明确,而在2022年,Text2Image(文本到图像)模型,如DALL-E2、Midjourney和StableDiffusion,已经展示出创造艺术作品的能力。
以太坊官网明确在Q1将探索利用这些工具为其创作更多插图,力争通过图文并茂的故事讲述来获得更好的用户体验,并且减少对人力的依赖。
走向主流开发
在本次更新中,以太坊官网将会更大力度支持Geth作为自己的客户端,在去年Q4中,Geth实现了部分新功能和测试,在今年Q1中,将会继续完成剩余的功能支持。
Geth是Ethereum的Go实现,Geth也是最早的以太坊客户端之一,也是目前占比最高的开发客户端,大约占据了70%左右的份额。
在此之外,以太坊官网也将会开发者参加GoogleSummerofCode做更多准备和支持工作和局限在区块链领域的以太坊开发者不同,GoogleSummerofCode是一个全球性的在线编程计划,专注于将新的贡献者引入开源领域。
被选中的参与者在三个月内与该项目紧密合作,2023年第一季度,以太坊官网将收集和准备潜在的参与项目,并配合参与者申请成为GoogleSummerofCode的入选项目。
其他:设计和社区改进
在面向开发者和配合上海升级之外,以太坊官网也将会进行更多用户体验方面的准备工作,其中最为关键的是将进行设计系统方面的改进和提升,主要包括:
1.引入开放设计,将会吸纳更多社区成员参与其中;
2.重构设计系统,利用目前成熟组件,以减轻重新设计的压力;
3.部署UI库,以符合W3C现代标准,和整体以太坊风格统一起来
4.更新邮件订阅功能,在以往的RSS订阅机制外,增加邮件API订阅机制;
5.开放社区管理员职位,以更好协调社区工作,促进社区活跃度。
本次以太坊官网的季度计划,突出配合以太坊主网升级的相关事项,质押和提款功能的说明和开发配合是最为重要的工作优先事项,在此之外,将以太坊推向更主流的开发领域,也是其工作重心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。