写在前面:
来自ConsenSys的TannerHoban和TomBorgers针对以太坊2.0网络的经济问题进行了独立研究,他们认为,以太坊2.0网络的安全性取决于ETH质押量、ETH价格以及波动性这三个关键变量,而在ETH质押率达到13.8%时,以太坊2.0网络能够提供和以太坊1.0类似的安全性以抵御潜在的攻击,最后,他们还建议将以太坊2.0的基本奖励系数从当前的64至少提高到128,以保证网络的安全性。
对于这份研究报告,以太坊联合创始人VitalikButerin给予了高度评价,但他也担忧研究者的分析高估了PoW的攻击成本,因此他认为即便以太坊2.0的ETH质押率低于13.8%,网络的安全性也要比预期的更高,因此他并不认为增加奖励是必要的。
成都链安:ApolloX 项目方因签名系统缺陷被攻击,损失约160万美元:金色财经消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,ApolloX 项目遭受攻击,根据成都链安技术团队分析,发现ApolloX签名系统存在缺陷,攻击者利用签名系统缺陷生成了255个签名,总共从合约中提取了53,946,802$APX,价值约160万美元,目前被盗金额通过跨链已打入以太坊0x9e532b19abd155ae5ced76ca2a206a732c68f261地址。此前,ApolloX代币APX在今日19:00左右从0.054美元快速跌至0.019美元,闪跌约60%。[2022/6/9 4:11:35]
以下是译文:
我们要感谢Molchdao,感谢与我们交谈的利益相关者,以及感谢以太坊基金会在整个项目中给予的支持。特别感谢DannyRyan、BarnabeMonnot、TrentVanEpps以及VitalikButerin对本报告草案提供的意见和建议。
成都链安:fomo-dao项目遭受攻击,攻击者获利11万美元,目前已转至Tornado.cash:金色财经消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,fomo-dao项目遭受攻击。攻击者地址:
0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a
攻击交易bsc:0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5
攻击合约:0xe62b2dfc54972354fac2511d8103c23883c746c4
目前攻击者获利11万美元,已经转至Tornado.cash[2022/6/4 4:01:44]
虽然我们强烈建议大家通读整份报告,但为了节省各位宝贵的时间,以下是这份报告当中的重要内容摘要:
成都链安:Li.Finance遭受攻击事件分析:金色财经消息,据成都链安链必应-区块链安全态势感知平台舆情监测显示,DEX聚合协议Li.Finance遭黑客攻击损失约60万美元,关于本次攻击,成都链安团队第一时间进行了分析发现:被攻击合约中的swapAndStartBridgeTokensViaCBridge函数中存在call注入攻击,可通过构造恶意的数据(_swapData)控制call调用的参数。在本次攻击事件中,攻击者恶意构建callTo地址为对应的代币合约地址,并调用代币合约的transferFrom函数转走受害地址的代币。[2022/3/21 14:08:55]
以太坊2.0网络升级是一项雄心勃勃的、逐步向权益证明共识算法和激励系统转变的过程,这对网络的经济属性有着深远的影响。该系统的设计是复杂的,激励机制会奖励诚实的网络参与者验证交易和确定网络历史状态,同时惩罚离线和恶意的验证者。本文利用详细的网络经济模型和新的经济评估工具,对以太坊2.0的密码经济安全进行了定义、度量以及分析。
成都链安:Visor Finance遭受攻击事件分析:据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:
1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]
首先,为了支持经济评估,我们在Excel中构建了一个经济模型,用于解释当前规范下系统的输出和选定场景。在建立这个项目的过程中,我们逐渐开发和利用这个模型来阐明期望,并形成关于验证者收入、成本、收益和网络发行的数据驱动的结论。以太坊2.0系统依赖于对这些输出有实质性影响的近100个变量。通过这个模型,我们动态地说明了验证者在不同ETH价格和总ETH质押量下的盈利能力,强调了对网络安全性影响的可变性。
成都链安CEO杨霞:DeFi项目方应重视合约安全问题:据官方消息,在由OKEx主办的“后疫情时代:DeFi的机遇与挑战”社群活动上,成都链安创始人兼CEO杨霞谈到最近dForce攻击事件,她表示,DeFi项目正在快速发展壮大,据我们统计截止2020年,锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”,开放式金融基础,则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥;但并没有一个统一的、标准的安全方案去遵守,或者说是必须通过严格安全审计,这就导致各种合约漏洞与相关安全问题层出不穷,此次事件项目方就应该进行重入防护:比如使用OpenZeppelin的ReentrancyGuard,另一方面先修改本合约状态变量,再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题,以应对各种突发情况和各种非正常使用合约情况,从而避免造成损失;同时建议做好相关安全审计工作,借助专业的区块链安全公司的力量,避免潜在的安全隐患。[2020/4/30]
我们使用围绕网络攻击成本的一系列假设,定义了以太坊2.0第0阶段中所需的经济安全级别。其目标是使攻击的成本高于攻击的潜在收益,并实现与当前以太坊区块链类似的安全级别。我们确定了两种主要的经济攻击载体,每一种都有不同的变体和不同的风险水平:超级多数攻击,最终性攻击。在第0阶段,我们主要关注旨在破坏网络的攻击,并发现网络存在遭遇此类攻击的风险,而对于接下来的阶段,关注也会更多。根据我们的估计,在以太坊2.0的ETH质押率达到13.8%时,它能够提供和以太坊1.0类似的安全性以抵御潜在的攻击。
也就是说,以太坊2.0的安全性高度依赖于质押的ETH。我们建立了一个模型来理解资本效率投资者的动机,我们称它为“需求宁静主动验证者收益率”模型,以应对抵押品的风险和成本以及相应的要求回报率。根据我们的研究结果,我们预计在3.3%的年化收益率下,验证者会考虑参与。在更为悲观但稳定的情况下,年化收益率会提高到11.6%。
RSAVY模型不仅可以用来计算所需的回报率,而且可以在选定的情景下形成一幅网络图。我们在这些场景中应用不同的参数来支持我们的结论和建议,总结如下:
结论:
与工作量证明相比,以太坊2.0的权益证明要更为复杂。以太坊2.0是一个高度复杂且精心设计的系统,它的结构优雅,设计周到,但是从验证者的角度来看可能会很难把握,这导致了不确定性和不可预测性,这为潜在的资本效率验证者,带来了实用及叙述上的障碍。
以太坊2.0网络的安全性取决于三个关键变量:ETH质押量、ETH价格和波动性。这些变量中的每一个,都会对攻击网络的成本产生直接或间接的影响。相对来说,ETH的总质押量是最可控的变量,而ETH的价格对网络安全有直接和潜在的巨大影响,但它不在系统的控制范围之内。而波动性可能来自不同的来源,并间接影响ETH的质押量和价格。
对以太坊2.0的攻击,要比对以太坊1.0的攻击更容易扩展。在以太坊2.0中,参与网络的硬件和功耗负担基本降到了最低。此外,DeFi的繁荣和最终与以太坊2.0的连接,可以极大地加速和放大这一趋势。
资本效率验证者更可预测。虽然以太坊爱好者的参与,对于成功推出信标链来说是很重要的,但这最终不足以达到足够的安全级别。吸引资本效率高的验证者,将导致针对足够水平ETH质押量的准确性。
以13.8%的ETH质押量为目标,根据历史价格计算,以太坊2.0网络将达到以太坊1.0的安全水平。我们计算出在历史价格的波动情况下,ETH的目标质押率为13.8%。
存在验证的规模经济,但在ETH价格升高时会降低。与PoW环境只能通过不断扩大的规模运营来实现盈利能力不同,随着ETH价格的上涨,以太坊2.0验证的成本将逐渐降低。我们大体上发现,网络经济非常有利于更去中心化的网络参与,这满足以太坊2.0的设计目标。
目前77.7%的ETH供应存放在验证者的“合格”钱包中。非交易所钱包中约有8660万ETH,另外有1870万ETH由交易所保管,它们可能会提供质押服务。这是一个引人注目的,可服务的可寻址市场,激励计划的一个关键目标是最大限度地提高网络参与度,将这些钱包转换为主动验证者。
与以太坊1.0相比,以太坊2.0为安全支付的奖励要低得多。使用当前的信标链规范,以及要求的1550万ETH质押量,我们估计每年的网络通胀率为0.55%,远低于以太坊1.0目前4%-4.5%的年通胀率。
网络安全在很大程度上依赖于ETH的价格稳定性。关于以太坊2.0的经济稳定性和安全性,我们主要关注的是以太坊2.0在低ETH价格下的弹性。再加上对手方迅速扩大攻击的能力,我们认为这是一个值得关注的问题。
阶段0和阶段1缺乏流动性可能导致不可预测性和集中化。鉴于以太坊1.0和以太坊2.0之间缺乏双向桥梁,以及第0阶段和第1阶段缺乏交易能力,我们预计会出现衍生品和中心化二级交易市场。而高度集中的验证者利用这些平台,会产生中心化风险和不可预测性。
小心衍生品攻击。以太坊生态系统正在迅速发展,ETH作为一种资产类别也在迅速发展,期权数量不断增加,独特的金融工具如“闪电贷”会被恶意利用。有了这种势头,衍生品可能成为对手方最青睐的攻击途径。
建议:
将基本奖励系数至少提高到128:我们认为,为了网络安全考虑,增加支付是有道理的,而在当前基本奖励因子为64的情况下,网络支付的安全性是不够的。在分阶段迁移到权益证明的过程中,我们应该要谨慎行事。
探索一种更动态的方法,以在发生冲击时更改奖励。我们建议探索一种更具动态性的方法,以便在网络冲击的情况下调整奖励或改变基本奖励系数。这可能包括使用阈值触发器、阶梯函数或与ETH价格直接相关的函数。
有关完整披露信息,请参阅
原报告。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。