ANC:简析Bondly Finance：帮助NFT实现简便的跨链交易

作者：秦晓峰，星球日报

随着区块链生态的拓展，跨链互操作性成为刚需。但目前绝大多数跨链方案多集中在代币交易方面，NFT资产并不包括在内，一个名为「BondlyFinance」的跨链新玩家，试图解决这些痛点。

BondlyFinance是一个可信任的、可移植的、透明的跨链交易协议，旨在帮助更多人进入去中心化金融市场，并推出了一系列NFT+DeFi?产品。

首先是?NFT创建、发行市场。BondlyFinance是最早与音乐家、有影响者合作的公司之一，其曾为两届全英音乐奖获得者LewisCapaldi发行了「BigFatSexyCardCollection」NFT，还为油管网红LoganPaul发行限量版NFT——该收藏品在不到30分钟时间内售罄。目前，BondlyFinance正为Netvrk元宇宙出售虚拟土地，共计560块。并且，NFT收藏者将能够将他们的NFT资产从一个区块链转移到另一个区块链，实现跨链交易。

安全团队：Rubic被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Rubic项目被攻击，Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验，_params可以指定任意的参数，攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数，把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址，被盗资金近1100个以太坊，通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]

再者是?BONDSWAP，类似一些中心化交易平台的场外交易功能，但该产品更多地专注于链上直接交易，而且能够让用户使用不同区块链并在各种聊天应用程序中发送交易。通过BSWAP，用户可以：将自己手中的NFT与你想要的NFT或者代币直接进行交易；在没有滑点风险的条件下出售大量低流动性代币；通过铸造代币，自主设置价格，然后将信息发布到社交媒体上以供受众购买，聚合私域流量；使用借记卡/信用卡购买资产。

慢雾：Spartan Protocol被黑简析:据慢雾区情报，币安智能链项目 Spartan Protocol 被黑，损失金额约 3000 万美元，慢雾安全团队第一时间介入分析，并以简讯的形式分享给大家参考：

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1，导致兑换池中产生巨大滑点；

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证，但是在添加流动性的时候存在一个滑点修正机制，在添加流动性时将对池的滑点进行修正，但没有限制最高可修正的滑点大小，此时添加流动性，由于滑点修正机制，获得的 LP 数量并不是一个正常的值；

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1，此时池子中的 WBNB 增多 SPT1 减少；

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子，然后进行移除流动性操作；

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币，由于步骤 5，此时会获得比添加流动性时更多的代币；

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount，由于移除流动性时没有和添加流动性一样存在滑点修正机制，移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值；

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP，此后攻击者只要再次移除流动性就能再次获得对应的两种代币；

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB，最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

其次是?BOND?DEX，官方将为流动性提供者提供手续费以及代币奖励。BONDDEX的定价引擎会比较主要的跨链互换选项，并会用户推荐利益最大化的交易途径。通过BONDDEX，用户可以：在以太坊上用?USDC?与波卡链上原生资产交易；获得最便宜的交易路径推荐；创建用户自己的资产交易对。

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

最后是?Bondly买家保护，类似Paypal、或是阿里巴巴AliPayExpress中的买方保护服务，但同时结合了Escrow.com和Zapper.fi的用户体验。该服务旨在用一个易于使用的API和智能合约驱动产品取代传统网站托管加密托管产品，市场平台可能仍然处于市场交易的"验证者"角色，但现在他们无法直接获得资金，降低了市场挪用以及跑路的可能性问题。对于加密市场中的每一位用户来说，BPROTECT能够对去中心化托管服务和代币购买者提供最好的保护。

代币方面，BONDLY平台原生代币，可以进行治理、Staking，还可以在Launchpad、IDO、独家销售等活动中获得专属权益。今年7月，BondlyFinance首席执行官账户遭遇黑客攻击导致BONDLY代币被盗砸盘，而后官方紧急部署新的代币合约并采取多签机制。

投资方面，今年9月，AnimocaBrands?宣布将收购BondlyFinance的多数股权。AnimocaBrands方面表示：“Bondly开发了强大的工具来帮助品牌和个人进入NFT世界，并与许多顶尖品牌和艺术家建立了深厚联系。这些产品和关系将对AnimocaBrands和我们的投资组合公司大有帮助。”

标签：ANCUSDNCEBONVolts.FinanceUSDT币提现微信Chow Chow FinanceBONO价格

币赢热门资讯