2021年6月29日波卡上兼容以太坊的智能合约平台Moonbeam成功为其在Kusama上的姐妹网络Moonriver赢得Kusama平行链插槽竞拍,并将其作为平行链连接至Kusama。通过Moonbeam基金会开展的以社区为主导的众贷活动,成功获得来自全球5,977位贡献者超过205,935枚KSM的贡献。Moonriver现已获得了一个平行链插槽,开始在Kusama网络上生产区块,并逐步推出其与以太坊兼容的智能合约平台。Moonriver是Kusama上的平行链,为最熟悉以太坊技术堆栈的团队提供无缝环境。与其姐妹网络Moonbeam一样,Moonriver智能合约平台功能完全兼容以太坊,而不仅仅是兼容EVM,简化了在Kusama上构建应用程序的过程。在Moonriver上构建的项目虽然处于Kusama的新扩展环境,但是可以使用同样的智能合约语言、以太坊式账户、开发者工具、基础级集成以及目前所依赖的其他服务。这些项目不仅能与Kusama进行本地交互,还能与连接到网络的其他平行链进行本地交互。Moonbeam创始人DerekYoo表示:“Moonriver能够顺利上线,我们大量社区贡献者功不可没,这远远超出了PureStake开发团队的预期。我们也非常感谢为这一结果做出贡献的所有技术和生态系统合作伙伴们,包括Parity、Web3基金会、生态系统合作伙伴、合作社区、Moonbeam大使、以及所有参与本次Moonriver众贷的贡献者。随着Moonriver完成启动序列并计划在未来几周内开启全部功能,我们期待为所有计划部署到网络的生态系统合作伙伴提供支持。”Moonriver网络成功赢得Kusama平行链竞拍第二轮插槽。为保护这个插槽,Moonriver在昨日19:30开始产生区块后短时间内启动网络。然而,这标志着网络启动的的第一阶段。Moonriver将按照四个阶段的启动过程逐步引入新功能,以确保网络部署的稳定性。Moonriver网络目前处于第0阶段,预计每个阶段需要1-2周时间完成。启动过程结束后,将会启用余额转账功能,用户可以使用网络的全部功能。Moonriver上线过程将遵循以下规划,一共分为4个阶段:第0阶段|中心化
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
上线创世区块,网络处于中心化模式,治理和基础设施均由Moonbeam团队运营。第1阶段|委托权益证明
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
一旦网络稳定,我们将第三方收集人添加至有效集中,并即刻落实去中心化管理。请知晓Moonriver是首个拥有去中心化收集人集和定制化平行链质押模块的网络。第2阶段|治理
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
当网络稳定运行后,Moonbeam团队会发布运行时升级,同时启用治理功能。第3阶段|移除Sudo
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
当治理功能稳定后,Sudo钥匙将被移除,同时网络的控制权将被转移至Token持有者的手上。第4阶段|完全启动
这是启动过程中最后也是最重要的一步,本次更新将会启动余额转账和EVM功能。开发者和终端使用者可以使用Moonriver完整的功能,包含转移资金、参与Moonriver质押系统、部署智能合约和领取众贷参与奖励。
完成上线过程的4个阶段后,已经在MoonbaseAlpha上部署的150+个项目可以开始在Moonriver上部署。
Moonriver是社区主导型网络,这意味着大部分的Token将会发放给社区。Moonriver众贷是首个发起活动,参与者可以收到Moonriver网络Token,数量占创世网络Token总供应量的30%。重点是,早期支持者或创始团队成员不会拥有任何Token分配,这使Moonriver团队在网络上线后可以进行高度控制。Moonriver网络旨在为激励实验提供永久性的测试网络。起初,这意味着Moonriver和Moonbeam拥有同样的代码。随着时间的推移,Moonriver有望发展成为特定用户案例提供服务,类似于Kusama与波卡网络的的关系。Moonriver平行链租赁期将会持续48周。在租赁期结束之后,用来支付租赁的KSM将会归还给原先的贡献者。Moonbeam团队将会确保有足够的KSM以重新支付来年的插槽费用,目前尚未公布特定计划。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。