AIN:简析Chainflip Labs：Pantera Capital 投资的跨链交易新协议

作者：Victoria，律动BlockBeats

ChainflipLabs是一种基于Substrate的去中心化、去信任的协议。该协议可以通过自动做市商模型在不同区块链之间实现自动跨链交换且无需验证用户身份。

与CEX一样，Chainflip通过在每条链上部署钱包来连接链。不同之处在于Chainflips的协议协调是通过广泛接受的数据库StateChain实现的，而非集中式数据库。

用户无需备份密钥文件、下载新的浏览器钱包或安装一些特殊软件，只需要网络、浏览器和目标地址，发送Token并提供兼容的地址就能够以无需信任的方式跨链swap。在swap的任何阶段，都不需要原生Token(FLIP)，因为用FLIP支付的网络费用会自动从交换中扣除，并通过流动性池，最终被烧毁。

ChainflipLabs该项目具有swap速度快、易于使用、跨链扩展性强等优势。其最终目标是为所有主要区块链实现自动化交换，为用户提供一种易于使用、可靠、安全且无需许可的方法来完全避免托管交换。他们认为广义跨链能力、去中心化、产品的可用性等属性和指标对于实现该目标很重要。

安全团队：Defrost Finance被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Defrost Finance预言机被恶意修改，并且添加了假的抵押token清算当前用户，损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址，随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址，最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上，目前有490万美元的DAI在0x4e22地址上，有500万美元的DAI在0xfe71地址上，剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]

需要注意的是，该项目的安全模型侧重于惩罚恶意行为，仍存在由于智能合约漏洞或错误、支持链上重组等带来的安全风险。

由于ChainflipLabs在自己的独立执行环境中运行，大部分交换执行可以由验证者网络自动执行，无需复杂的用户交互。未来该项目应该最大限度地利用这一点，并且应该设计新功能以利用这一点为用户带来利益。

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

工作原理

Uniswap，Curve和其他现有的流动性池平台依靠以太坊智能合约保证安全，使用户可以无信任地将资金送入和送出这些平台。Chainflip作为跨链，不能依靠单一智能合约的安全来产生预期的结果。相反，Chainflip依靠的是一个保险库系统，它可以无信任地保护平台用户的资金。每个支持的区块链都有一个金库，由验证者操作，这是一种特殊类型的服务器，联合管理的加密货币钱包，由被称为验证者的桩节点控制。

Beosin：EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示，ETH链上的EthTeamFinance项目遭受漏洞攻击，攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞，将WTH，CAW，USDC，TSUKA代币从V2流动性池非法升级到V3流动性池，并且通过sqrtPriceX96打乱V3流动池的Initialize的价格，从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]

为了创建这些金库，验证者参与了一个设置过程，在这个过程中，新节点被确定地选择为下一个活跃的金库服务。这些节点共同构建了一个阈值签名钱包，只有在给定的验证者的阈值签署交易时，才能从中发送交易。用于生成金库的方案在签署交易时不需要受信任的交易商或披露密钥，投入到网络中以获得奖励。验证者和他们的金库使Chainflip有能力以安全和无信任的方式存储资金，但与智能合约代码不同的是，它没有给出资金在金库中应该如何处理的明确规则集。

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

为了实现这一点，Chainflip的设计包括一个状态链，基于Polkadot的Substrate框架，作为Chainflip的协调机制。它包含所有与金库内容有关的数据，以及交易进入金库后如何处理的规则集。正是通过状态链，验证者对所有互换的状态，流动性，以及何时何地发送出去的交易达成了共识。应用状态链的规则和金库的无信任性质，用户可以使用Chainflip以无信任的方式跨链交换资产，从而满足Chainflip的三个主要目标。

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

Chainflip与其最接近的竞争对手ThorChain或Qredo等其他互操作性解决方案提供商没有太大区别。其设计中使用的技术以及协议的功能可能存在以下细微差别：

Chainflip与钱包无关。

Chainflip依赖于更大的验证者数量。

Chainflip不要求原生链实现任何复杂的协议或其他更改，包括基础设施。

它使用Ed25519签名算法来实现其阈值签名。

Chainflip不依赖其网络代币来配对资产，而是依赖于广泛采用的稳定币。

Chainflip可以在没有任何额外软件、专用钱包、预存款、挂钩/包装代币、合成资产和用户抵押要求的情况下使用。

Token经济

Chainflip的网络TokenFLIP基于以太坊的ERC-20标准。FLIP的Token设计类似于以太坊EIP-1559的实现，遵循通货膨胀和通货紧缩模型。因此，FLIPToken供应量不会是有限的，未来该项目可能会改变其Token模型。

金库抵押和激励

验证器操作员将FLIPTokenStaking以换取区块奖励。所有节点都获得相同的奖励，无论其注的大小。网络的整体安全性取决于其抵押品，而抵押品又取决于区块奖励收益率。Chainflip的注机制的一个基本变化是，它不允许委托。拟议的验证人奖励是：

Sandstormlaunch–5%

Ibizarelease–6%?

Berghainrelease–7%?

惩罚

惩罚也是为了阻止验证人的恶意行为。从理论上讲，如果FLIP的大部分股份低于各自金库中的资产价值，那么惩罚可能无法有效地阻止恶意行为。实际上，如果锁在金库中的资产略高于多数节点所押的价值，任何恶意行为者都会对攻击决策漠不关心。

然而，如果这个差距大到足以提供一个可接受的或有吸引力的超过注的回报水平，那么验证者在技术上就会被激励去进行攻击。因此，这个指标是Chainflip流动性提供者合理化他们所承担的风险的一个重要指标。当然，流动性会有上限，或与网络的抵押水平直接相关。在这种情况下，网络的增长将来自于FLIPToken价格所反映的高频率的互换。

Token燃烧

在ChainflipAMM上收取的互换费用是用来从USDC/FLIP池购买FLIPToken的，交换费用将以USDC收取。这些FLIPToken将自动被烧毁，并从总供应量中删除。

流动性引导

Chainflip不会通过使用典型的收益率耕作机制来引导流动性。相反，流动性提供者将根据他们在协议上赚取的流动性供应费用，给予FLIP美元的奖励。这种奖励机制最终会被缩减。

Token作用

质押并且运行验证节点

激励流动性提供者

团队介绍

Chainflip是一个由来自澳大利亚和欧洲超过25名经验丰富的专业人士组成的团队。该团队的经验涵盖软件和Web开发、软件工程、DevOps、区块链、研究和通信以及法律。该团队也在不断壮大，招聘不同技能水平的人才。该公司在柏林、布达佩斯和墨尔本设有办事处，下面是团队主要成员介绍。

SimonHarman

SimonHarman作为ChainflipLabs的创始人兼首席执行官，是数据隐私的倡导者，并与他人一起撰写了Loki和SessionApp的白皮书。其于2017年9月本科毕业于RMITUniversity音乐专业，毕业后6个月在BlockchainCentre担任EventsFacilitator。ChainflipLabs并不是Harman的第一个加密项目，此前他创立并继续担任Oxen的董事会成员，随后于2020年开始专注于ChainflipLabs，如今该公司拥有约25名员工。目前同时担任OXEN和ChainflipLabs的首席执行官。

TomNash

首席技术官TomNash也是FlexDapps的联合创始人兼首席技术官。此前，Tom曾短暂担任TypeHuman的区块链顾问和WeTrustPlatform的区块链开发人员。Tom毕业于兰开斯特大学，获得计算机软件工程学士学位。

ChrisMcCabe

ChrisMcCabe是该项目的联合创始人，也是Oxen和SessionApp的首席运营官。2016-2018年间，他曾担任区块链教育者和顾问。

AlastairHolmes

AlastairHolmes在Chainflip担任协议研究工程师。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust进行软件开发方面经验丰富。他在剑桥大学获得计算机科学硕士学位。

投资机构

ChainflipLabs第一轮融资600万美元，最近该项目与3家资深加密风险投资公司FrameworkVentures、BlockchainCapital和PanteraCapital达成了1000万美元的私募股权投资交易。目前融资总额1600万美元。据悉，所筹资金将用于建设跨链DEX，该团队计划今年晚些时候推出首版DEX产品。

参考资料：

ChainflipLabs文档：https://docs.chainflip.io/concepts/

Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf

Website:?https://ChainflipLabs.io/

Blog:?https://blog.ChainflipLabs.io/

Twitter:?https://twitter.com/ChainflipLabs

DCoreOfficial：https://platform.d-core.net/asset-review-summary-chainflip/

标签：AINCHAHAIChainBRAINLemoChainwandtchainPlugChain

币赢热门资讯