SWAP:简析Jabber：在Web3时代，网络聊天应该完全上链吗？

作者：路畅

来源：律动研究院

链上除了可以记录交易，每笔交易更可附上自定义的文本。借助一最简单又最基础的功能，人们可以做很多有趣的事情。举一个最简单的例子——链上聊天。此前，律动曾撰文介绍过使用以太坊传递信息的情况，详情可见《其实有很多人在用以太坊聊天》。

而由于以太坊自身网络的特性，链上交易gas费用高昂。虽然有人在使用以太坊进行聊天，但这种使用方式难以普及。有多少用户愿意为了发送一条消息而支付十美元呢？

通过区块链聊天，这的确是一个有趣的想法，但在以太坊上似乎并不可行，但如果使用别的网络呢？建立在Solana之上的Jabber就在尝试实践这个有趣的构想。

11月底，Jabber上线了app的测试版。Jabber是一款「Telegramlike」的聊天App，而它有趣之处在于，每一条消息，都是一笔在Solana链上发送的交易。受益于Solana的高性能和低成本，将消息作为交易发送，并不会让用户的成本高到难以承受。

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

安全团队：Audius项目恶意提案攻击简析，攻击者总共获利约108W美元:7月24日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Audius项目遭受恶意提案攻击。成都链安安全团队简析如下：攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址，随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过，该提案允许向攻击合约转账1,856w个AudiusToken，随后攻击者将获得的AudiusToken兑换为ETH，总共获利约108W美元，目前获利资金仍然存放于攻击者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

当我们进入主界面，一个简洁的聊天列表呈现在眼前，基本操作逻辑与Telegram并无较大差异。用户需点击右上角的写信按钮，自行键入信息接收人的地址，就可以开始进入聊天了。除标准的钱包地址外，该App还支持.sol域名。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

除了点对点聊天外，该App还支持小费打赏、创建群聊、收费收信等功能。收费收信是其中一个较为新颖的设计。

链上信息传输因为其无需许可的特点，只要知道地址，任何人皆可发送任意的信息。假设这样一个场景，若Jabber成为像微信一样广泛普及的聊天应用，而你又恰好是一个地址已被公开的KOL，那你的聊天列表会被多少无效信息充斥呢？

通过收费收信的功能，这一问题得到了解决。在设置界面我们看到「SOLpermessage」这一项目，这一数值代表着向你发送信息每条需向你支付多少SOL。这一设计非常有趣。

而在群聊中也存在着类似的机制，用户加入群聊后需支付一定的SOL才可发送消息。这一机制可创造更多的用例，譬如付费社群、线上答疑等等。但目前在Web2的同类产品中，尚无有类似机制的用例。这一需求是否能产生真实的使用场景，仍然有待观察。

这款App与其他聊天软件最根本的区别，即所有数据全部链上传输。而这也是用户对其最大的担忧所在，链上数据公开透明，如何保证聊天内容的隐私性？

我们以真实的使用情况作为演示。笔者使用Jabber向某地址发送了「GM」两个字符，该笔交易收取了0.000005SOL的gas。

而在这笔的转账的log详情中，我们可以看到一些更细节的内容。

Jabber尽管会将全部信息上链，但消息是加密的并不会将你的聊天内容公开，用户无需担心聊天全部上链所使得隐私泄露。

而全部上链的缺点也是显而易见的，每次操作都要付出一定的gas是在所难免的。在进行多次尝试之后可以发现，修改个人资料、更改头像图片、设置是否显示SOL域名等等，在设置中的每一项操作几乎均需要进行链上交互，并付出gas费。而在实际的聊天过程中，发送不同数量的字符，付出的gas费用也都相同，与更改各项设置所需gas相同，均为0.000005。

Jabber由Bonfida团队开发，目前并无独立官网，现已提供iOS和Android版本。Bonfida是基于Solana建立的一款完整产品套件，其旗舰产品为基于Serum中央订单簿的DEX前端。目前Bonfida提供的功能除了基于Serum的基础交易功能以外，还有程序化交易机器人、SerumAPI、Solana链上永续合约协议、SOL域名等。

Jabber是基于Solana建立的第一个移动消息应用。Bonfida认为，Jabber最重要的价值在于它为用户提供了一种无需信任、去中心化的方式来将他们的交互货币化。这个特性或可为NFT和GameFi带来更多的用例。?

标签：SWAPSOLBBEBERESWAP币The Soldiers GoldUBBEYCranberrySwap

莱特币价格热门资讯