SWAP:简析Clarity：支持以太坊地址登录的协同办公应用

撰文：0x13

Crypto是一个每一天都在飞速发展的行业，每一天都有无数新项目诞生，有时一个热点可能只会持续几天，一周前发生的大事回忆起来仿佛过了一个月之久。

在发展如此迅速的行业中，我们最需要做到也最难做到的事情就是跟上节奏不掉队，每一天在拓展知识广度的同时也需要不断加深自己的认知。也正是因此，信息的聚合、整理就变得格外重要，而这份工作很难独立完成，于是人们开始使用起了协同办公应用。

目前被广泛使用的是Notion。如果你在推特关注过一些Crypto行业的KOL，你就会发现他们中的很多人开始把自己整理的项目资料、信息等写进Notion并在社交媒体中分享出来，有一些人也会开放编辑权限来让大家共创，一起完善这些资料。

安全公司：Starstream Finance被黑简析:4月8日消息，据Agora DeFi消息，受 Starstream 的 distributor treasury 合约漏洞影响，Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。

2. 新的 DistributorTreasury 合约中存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。

3. 攻击者将 STARS 抵押至 Agora DeFi 中，并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]

目前，Notion需要使用邮箱登录，我们使用中心化第三方为我们提供的「数字身份」，我们在这个身份下的创作、工作并不代表着数字时代的「自己」。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

而中心化身份系统另一个缺陷在于不同应用之间的数据与身份都是一座孤岛，在联盟身份推出并广泛使用前，我们使用每一个应用都需要单独注册一个账户。而即便我们目前可以通过第三方登录其他应用，但同样无法解决身份及信息所有权的问题。

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

Web3时代中，人们需要拥有掌握在自己手里的数字身份，并以此身份在这个新世界中创作、工作、建设。虽然Notion的功能已经足够完备，但是我们仍然期待着一个可以使用Web3方式登录的「Notion」。

Clarity简介

Clarity便是可以使用Web3方式登录的「Notion」。

从目前的功能上来说，Clarity与Notion并无太大差别，最大的差异便是Clarity可以使用以太坊地址登录，而你的以太坊地址或者ENS域名可以直接用做你的Clarity用户名。

对于传统行业的用户来说，这是一次走入Web3时代的好机会；而对于Web3用户来说，这能过让他们使用自己的数字身份，这对于一个去中心化团队来说是极为重要的。

Notion的协同办公、共创功能很「Web3」，而通过以太坊地址登录的Clarity便将这些功能带到了Web3中。而在未来，与Web3数字身份链接的Clarity还可能会有哪些发展前景呢？

目前Clarity网站上已经清晰地写道，在链接以太坊地址后可以根据持币情况访问某些专属文档。

而这也就意味着Clarity将可以成为DAO的治理工具。目前DAO的社区通常建设在Discord，并通过机器人来对成员进行过滤筛选；提案、投票通常会在Snapshot进行。而对于DAO成员的协同工作等事项目前仍没有一个去中心化的协同办公应用。Clarity则很好地填补了这个空白。

一方面，Clarity可以根据持币情况筛选成员；另一方面，多种Web3玩法也可以通过与以太坊地址相链接的Clarity进行。比如根据地址的历史经历决定DAO内权重，根据地址与工作内容更便捷地分配奖励等。Web3的发展存在着巨大的想象空间，Clarity这个Web3的协同办公应用的未来自然也足够令人遐想。

标签：SWAPRITcLALARFastSwap (BSC)Cryptegrity DAOViva Classicaliendollar

波场热门资讯