目前以太坊基于零知识证明的扩容方案是ZK-rollup,但其实还有另外两种解决方案——Validium和Volitions。本文简单介绍以上3种基于零知识证明的扩容方案。
ZKrollup
ZK-rollup的运作简单来说是将多笔交易打包在一起,发布到L1上,同时发布一个证明来声称这些交易有效,一旦在L1上验证确实有效,那么zk-rollup的状态就会更新。这套证明机制也被称作「有效性证明」,目前ZK-rollup主要采用的证明机制是zkSNARK和zkSTARK。尤其是zk-SNARK应用最为广泛,而zk-SNARK则是它的改进版,目前使用者并不多。zk-SNARK即zero-knowledgesuccinctnon-interactiveargumentonknowledge,是一种文件很小且很容易验证的加密证明,而简洁jiu就在于非交互式。传统方案是交互式证明,即示证者和验证者之间反复确认。你可以理解为示证者不断向验证者询问「是或不是?」,然后验证者不断给出回答,直到最后碰出一个正确答案来,所以效率很低。而SNARK的解决方案是提前先搞一个「可信初始化」,从而生成公共参考字符串,这样所有的示证者直接访问它就可以了。你可以理解为有一个标准答案,示证者就像批改试卷那样去验证。但SNARK提前生成公共参考字符串提高了效率,但也留下了隐患——万一公共参考字符串泄漏了呢?于是就催生出了STARK。STARK是交互式证明,但它是一种巧妙的交互式证明——通过哈希函数碰撞来保证安全性,因此也比较高效。Validiums
Beosin:BSC链上的gala.games项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BSC链上的gala.games项目遭受攻击,Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens(GALA) 代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB,攻击者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。
第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
ZK-rollup是将交易分批发送到L1上去执行,是一种无需信任的「自定义安全性」。Validiums则是直接在链下执行,并通过零知识证明来维护数据,只有需要的时候才在主网上验证取款请求的有效性证明。所以Validiums可扩展性要高于ZK-rollup,但它是把信任交给链外第三方的「弱信任扩容」,会被攻击导致数据不可用或者用户无法取出资金。解决安全的方式是采用PoS机制,用经济激励来确保数据储存在各个节点之中并且随时可用。目前采用Validiums方案的代表项目是ImmutableX,以NFT为中心的扩展解决方案。Vitalik认为Validiums其实被严重低估,因为大多数Dapp用Validiums就已经可以满足运行需求了。Volitions
安全团队:LPC项目遭受闪电贷攻击简析,攻击者共获利约45,715美元:7月25日,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,LPC项目遭受闪电贷攻击。成都链安安全团队简析如下:攻击者先利用闪电贷从Pancake借入1,353,900个LPC,随后攻击者调用LPC合约中的transfer函数向自己转账,由于 _transfer函数中未更新账本余额,而是直接在原接收者余额recipientBalance值上进行修改,导致攻击者余额增加。随后攻击者归还闪电贷并将获得的LPC兑换为BUSD,最后兑换为BNB获利离场。本次攻击项目方损失845,631,823个 LPC,攻击者共获利178 BNB,价值约45,715美元,目前获利资金仍然存放于攻击者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都链安“链必追”平台将对此地址进行监控和追踪。[2022/7/25 2:36:51]
StarkWare团队结合ZK-rollup和validium,创造性地推出了Volitions方案,顾名思义是关于「决断能力」。Volitions方案本质上是同时提供ZK-rollup和validium这两种服务,它们共享同一个状态根,用户可以自行选择每笔交易的DA模式。即便Validium那部分被攻破,ZK-rollup上的资金仍然安全。用户就可以在涉及重要资金往来时选择ZK-rollup模式,共享以太坊的安全性,如果是日常娱乐、社交或者小额交易,自然选择Validium模式来提高速度并节省成本。结语
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
以太坊扩容战争还在刚开始,目前占据优势的是Optimisticrollups阵营,它们可以做到EVM兼容甚至完全等效,另外社区运营能力也非常强劲。ZK-rollup落于下风很大程度上是因为一开始就要定制VM,这意味着来自EVM的代码要从头开始编写。不过长远来看,相比于Optimisticrollups,ZKrollups具有内置的隐私和安全优势,未来实现EVM兼容性,很可能胜过Optimisticrollups。而且可以在ZK-rollup和validium之间做决断的Volitions方案,也不失为一种兼顾了各种场景的解决方案。原地址
慢雾简析Qubit被盗原因:对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报,2022 年 01 月 28 日,Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示,本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查,导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]
基于上一篇研报引发的思考和讨论,@MapleLeafCap和我想进一步总结分享我们这一年在探索「Web3+游戏」过程中领会到的新知——即,抽税制是更适合Web3游戏的商业模式.
1900/1/1 0:00:00近期,Cobo联合创始人兼CEO神鱼接受了新加坡区块链新媒体平台DeThings专访。在访谈中,神鱼从一个经历过多轮加密货币周期「老韭菜」的视角,分享了对当前市场、FTX事件影响、DeFi创新、.
1900/1/1 0:00:00全球顶级金融中心日本、香港和新加坡拥有全球最成熟的金融法规。因此,关于如何监管加密货币的讨论始于多年前就不足为奇了,尽管他们的方向截然不同.
1900/1/1 0:00:003月11日,在硅谷银行倒闭后的几个小时内,稳定币USDC发行方Circle宣称33亿美元的储备存放在硅谷银行,引发市场恐慌,中心化与去中心化市场均陷入大规模混乱.
1900/1/1 0:00:00AptosWorldTour黑客松第一站韩国首尔站于本月初举行,旨在鼓励开发者在游戏、社交/NFT、DeFi、工具和Move语言创新.
1900/1/1 0:00:00在这一期的节目中,DeFiDave采访了Frax创始人SamKazemian,谈论了Frax的货币溢价、隐形产品、链上治理等话题。下面是记录的一些笔记,让我们一起了解更多信息.
1900/1/1 0:00:00