STA:简析 Status：以太坊生态系统的移动端消息应用

来源：cryptopedia

编译：胡韬，链捕手

Status简介

Status是一个开源消息传递平台和移动界面，它提供了从一个iOS和Android友好的应用程序中对以太坊不断增长的dApps生态系统的简化访问，该应用程序结合了对等即时消息传递、加密钱包和Web3浏览器。

自2017年推出以来，Status为以太坊生态系统提供了一个移动端门户，以及一个具有广泛高级功能的独特消息传递平台。在为以太坊生态系统提供适合移动设备的入口时，Status提供跨平台的统一用户体验、以用户为中心的数据和广告模型，以及对下一代支持区块链的金融和法律服务的访问。

Status应用程序不仅仅是消息

安全团队：Defrost Finance被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Defrost Finance预言机被恶意修改，并且添加了假的抵押token清算当前用户，损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址，随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址，最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上，目前有490万美元的DAI在0x4e22地址上，有500万美元的DAI在0xfe71地址上，剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]

虽然StatusNetwork通常被描述为一个社交媒体平台，但实际上该项目正在开发一系列广泛的功能，这些功能结合到以太坊网络的一站式网关中。一般来说，Status的产品可以分为三个主要功能：

安全团队：获利约900万美元，Moola协议遭受黑客攻击事件简析:10月19日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，Celo上的Moola协议遭受攻击，黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析，结果如下：

第一步：攻击者进行了多笔交易，用CELO买入MOO,攻击者起始资金（182000枚CELO）.

第二步：攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑，攻击者抵押了价值a的MOO，可借出价值b的CELO。

第三步：攻击者用贷出的CELO购买MOO，从而继续提高MOO的价格。每次交换之后，Moo对应CELO的价格变高。

第四步：由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断，导致用户之前的借贷数量，并未达到价值b，所以用户可以继续借出CELO。通过不断重复这个过程，攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步：攻击者进行了累计4次抵押MOO，10次swap（CELO换MOO），28次借贷，达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源，根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时，通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方，将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

dApp管理：截至2020年，以太坊区块链托管了近2,000个活跃的dApp，浏览这些庞大的应用程序可能会让人不知所措。Status旨在成为任何类型的以太坊相关活动的中心，并开发了多种功能，使用户能够浏览以太坊的dApp并与之交互。

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

安全消息传递：Status通过点对点网络而不是中央服务器提供公共聊天和安全的端到端加密私人消息，确保除了你和你?的目标收件人之外的任何人都无法查看私人消息。此外，由于Status上的消息传递是通过去中心化网络进行的，因此它具有抗审查性和弹性，因为网络不会出现单点故障。因此，Status可确保用户保持对自己通信的完全控制。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

数字资产管理：StatusNetwork提供安全的加密货币钱包，允许用户通过聊天直接向全球任何地方的联系人发送付款。Status用户的聊天和钱包密钥没有以任何方式连接，这意味着即使你的聊天密钥以某种方式被泄露，你的资金也将保持安全。因此，Status使你能够密切关注自己的加密资产，同时保持轻松促进安全、无国界支付的能力。

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

Status应用程序将这些功能与iOS和Android兼容性打包在一起，将上述所有功能与Web3浏览器相结合。这种方法体现了公司的目标，即向更广泛的市场提供支持区块链的应用程序的好处。

而且，虽然Status的应用程序是其旗舰产品，但该公司还在开发许多其他产品，包括Keycard，一种功能类似于非接触式借记卡或信用卡的硬件钱包。Status还在努力发布Teller，这是一种去中心化的点对点法币到加密货币交易所。

此外，Status打算破坏互联网上使用的现有广告模式，这种模式非常有利于公司而非个人用户。通过Status，你可以选择要与广告商和其他第三方共享多少时间、注意力和数据，以换取平台上的有形服务——或者你可以选择在不共享数据或从第三方接收广告的情况下支付服务费用根本。因此，Status不仅改善了用户与基于区块链的应用程序交互的方式，而且旨在开创一种更加平等、以用户为中心和公平的在线体验。

Status、SNT代币和治理?

Status的应用程序是一款以免费增值模式运行的开源产品，在创建帐户时不需要用户提供电话号码、电子邮件地址或银行帐户。然而，由于StatusNetwork不会从销售广告或与第三方共享个人用户数据中获利，该平台向用户收取通知和存储的微交易费用，以资助项目的运营成本。

此外，Status是一个去中心化的自治组织，这意味着该项目不依赖于中心化的管理机构。相反，StatusNetwork社区成员可以完全控制开发，例如将实施或修改哪些生态系统功能。这种社区主导的治理模型是通过Status的原生ERC-20代币SNT进行。

SNT代币持有者可以发起并投票决定如何开发项目。StatusNetwork上的任何利益相关者都可以提交提案，社区成员的投票权重与其持有的SNT代币数量成正比。在网络成立之初，社区主要就与软件相关的问题进行投票。然而，随着网络的不断发展，社区可能需要面对和解决日益复杂的社会和结构问题。

SNT还用于访问Status网络上的去中心化服务并为其提供动力。这包括为转发消息和离线消息等基本服务付费，以及使用Status的TellerNetwork等dApp，它允许SNT持有者找到附近的用户，将他们的现金换成数字货币和资产。SNT还用于激励和奖励网络参与者运行节点，这有助于确保即使Status托管的集群中的所有节点都离线，Status平台也能继续平稳运行。

Status社交网络如何建立信任

Status加密平台上有许多功能旨在保护用户安全并确保信任。一种主要方法是Tribute-to-Talk流程，这是一种反垃圾邮件机制，它要求你将SNT代币作为抵押品存入，以向尚未与之通信的网络外用户发送消息。如果用户验证你的消息，则返回抵押品。如果消息接收者没有响应，则将代币奖励给接收者。这会阻止在网络上创建虚假帐户和垃圾邮件。

此外，Status实施了一种声誉模型，利益相关者可以通过该模型存入代币来提高另一个用户的声誉——一种为某人担保的数字版本，有助于在Status网络上的用户之间建立信任网络。讨论组甚至可以设置最低声誉分数作为加入他们的组的要求，这大大增加了维护活跃假账户的成本。

为了加强帐户安全，Status为每个用户创建了一个唯一的公钥用户名，同时提供了一种在设备丢失或无法访问的情况下恢复帐户的独特方法。为用户提供了五个恢复密钥，可以与其他受信任的个人共享。可以使用这些密钥中的任意三个的组合来恢复帐户。这可以防止与区块链钱包相关的常见问题和恐惧之一：单点故障可能导致资产永久丢失。

Status的多管齐下的产品包括消息传递、社交媒体、加密钱包和以太坊生态系统的应用程序商店等元素——所有这些都在一个移动门户中。通过优先考虑隐私、抗审查和社区驱动的开发，Status为Internet上的当前标准提供了一个用户驱动的替代方案。

标签：STASTATTATStatusStakeNetSTAT币Future Real Estate Tokenstatus币官网

FTX热门资讯