作者:Sally,IOSGVentures预言机通常被认为是链上和链下数据的桥梁和窗口。简而言之,预言机是一个为区块链项目提供真实世界数据服务的中间件。
来源:IOSG如果我们把区块链定义成信任机器,那么预言机本质上可以被称为维护和构建信任的机器。事实上,区块链本身并不能产生信任,信任的输入来自于预言机。绝大多数区块链项目如果没有接入预言机则会如同视野尽失地在黑夜中行走,难以生存。众所周知,区块链是一个封闭的黑匣子,并不具备发起网络调用的能力。然而智能合约则由于共识机制需要请第三方对数据进行验证。为了方便理解,我们可以将预言机扮演的角色当成是两个文明之间的使者,就像《三体》中维系人类与三体文明沟通的“智子”。只有通过预言机的数据输送,智能合约才能获取来自互联网和现实世界的确定性信息,包括股票价格、汇率、总统大选的最终结果等。四大谱系
EraLend:攻击者操纵了预言机价格,导致USDC矿池被利用约276万美元:金色财经报道,zkSync生态借贷协议EraLend在社交媒体上称,经过初步调查,已将非法攻击确定为只读重入漏洞。攻击者操纵了预言机价格,导致USDC矿池被利用约276万美元。所有其他池保持安全且不受影响。攻击者使用多个桥将被利用的资金分散到各个链上的多个钱包中。目前,资金分布在3个区块链和8个地址,我们正在密切监控。我们正在积极与桥梁、安全团队、交易所和执法部门合作,调查和追踪资金流向。为了限制进一步的影响,我们暂时停止了借贷、USDC供应和SyncSwap LP供应。此外,我们还大幅降低了USDC池的利率,以保护受影响的借款头寸在此期间免受潜在清算的影响。
金色财经此前报道,EraLend遭遇只读重入攻击,总损失340万美元。[2023/7/26 15:58:55]
根据形式,我们可以将预言机分为四种,分别为:软件预言机、硬件预言机、中心化预言机和去中心化预言机:1.软件预言机软件预言机连接到互联网,可以通过API实时访问、传输来自任何第三方服务器或网站的数据和信息,如商品价格、天气指数、航班号等,并将其写入智能合约中。2.硬件预言机硬件预言机在IoT中被广泛采用,用作电子传感器和数据收集器。它将物理事件转换为数字值,以便智能合约可以理解它们。条码扫描仪、银行卡POS机、收集各种医疗数据的医疗设备等都可以被当作为硬件预言机。3.中心化预言机中心化预言机是一种单一数据来源的预言机,通常由政府或信誉良好的公司等值得信赖的第三方提供数据。它可以通过将数据从本地设备的不受信任的操作系统中分离出来,防止数据篡改和丢失。然而,单一中心化的数据来源也给智能合约带来了潜在的风险。4.去中心化预言机去中心化预言机是指具有分布式共识机制的预言机,也称为共识预言机。它从多个而非单个外部来源获取数据,因此它更加可靠且无需信任。基于华为实验室的相关研究理论,根据数据处理方式的不同,去中心化预言机可以分为4类:基于聚合的处理方式:多数据源聚合消除单个恶意数据影响,如:Chainlink基于质押的处理方式:要求参与者持有资产提高可信度,如:Band基于博弈论的处理方式:提供非敌对的经济激励,如:NEST基于信誉的处理方式:通过降低声誉限制敌对节点,如:Witnet与中心化预言机相比,尽管去中心化预言机的运行效率相对较低,但它解决了单节点的故障问题,因此带来安全风险的可能性更小。由于对风险的担忧,大多数DeFi应用程序更喜欢在去中心化的预言机上运行。
SupraOracles宣布在Sui主网上推出预言机服务:7月6日消息,预言机项目SupraOracles发文称,正式在Sui Network主网上推出其预言机服务,开发者获取、验证与集成链外数据到智能合约中。此外,Sui上的各种项目也将使用SupraOracles的VRFs/RNG服务。Scallop.sui、Bucket Protocol、Mole、SuiNS、Typus Finance、NAVI Protocol、Turbos Finance也将使用SupraOracles的去中心化预言机解决方案。[2023/7/6 22:20:52]
来源:IOSG预言机在Web3:不仅仅是DeFi的基础设施
基于以上,我们对区块链采用预言机的价值有了一定基础性的理解。但谈到预言机在web3.0中的应用价值,目前的很多研究还是采用一种模棱两可的口吻。去年,Chainlink2.0的白皮书首次引入DON的概念。DON是由一组Chainlink节点维护的网络,可以灵活地引导任何预言机服务,因此在不久的将来,Chainlink将能够通过无需信任的链下计算向区块链提供外部数据。为了实现这一愿景,Chainlink推出了VRF、Keepers、CCIP等一系列产品和服务,而这些服务的部署在很大程度上进一步打开了我们对预言机在web3应用场景的想象空间。
慢雾xToken被黑事件分析:两个合约分别遭受“假币”攻击和预言机操控攻击:据慢雾区消息,以太坊 DeFi 项目 xToken 遭受攻击,损失近 2500 万美元,慢雾安全团队第一时间介入分析,结合官方事后发布的事故分析,我们将以通俗易懂的简讯形式分享给大家。
本次被黑的两个模块分别是 xToken 中的 xBNTa 合约和 xSNXa 合约。两个合约分别遭受了“假币”攻击和预言机操控攻击。
一)xBNTa 合约攻击分析
1. xBNTa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 BNT,使用的是 Bancor Netowrk 进行兑换,并根据 Bancor Network 返回的兑换数量进行铸币。
2. 在 mint 函数中存在一个 path 变量,用于在 Bancor Network 中进行 ETH 到 BNT 的兑换,但是 path 这个值是用户传入并可以操控的
3. 攻击者传入一个伪造的 path,使 xBNTa 合约使用攻击者传入的 path 来进行代币兑换,达到使用其他交易对来进行铸币的目的。绕过了合约本身必须使用 ETH/BNT 交易对进行兑换的限制,进而达到任意铸币的目的。
二)xSNXa 合约攻击分析
1. xSNXa 合约存在一个 mint 函数,允许用户使用 ETH 兑换 xSNX,使用的是 Kyber Network 的聚合器进行兑换。
2. 攻击者可以通过闪电贷 Uniswap 中 ETH/SNX 交易对的价格进行操控,扰乱 SNX/ETH 交易对的报价,进而扰乱 Kyber Network 的报价。从而影响 xSNXa 合约的价格获取
3. 攻击者使用操控后的价格进行铸币,从而达到攻击目的。
总结:本次 xToken 项目被攻击充分展现了 DeFi 世界的复杂性,其中针对 xSNXa 的攻击更是闪电贷操控价格的惯用手法。慢雾安全团队建议 DeFi 项目开发团队在进行 DeFi 项目开发的时候要做好参数校验,同时在获取价格的地方需要防止预言机操控攻击,可使用 Uniswap 和 ChainLink 的预言机进行价格获取,并经过专业的安全团队进行审计, 保护财产安全。详情见官网。[2021/5/13 21:57:48]
动态 | 去中心化借贷平台Compound发布开放预言机系统 已在以太坊测试网上运行原型机:据Medium消息,去中心化借贷平台Compound发布了名为“开放预言机系统”的社区项目,以此设定价格预言机的开放标准,让开发者可以从分布式的价格信息流中贡献价格数据。该项目的原型机目前已经在以太坊Rinkeby测试网上运行,发布来自Coinbase Pro、Kraken和币安这三个来源的价格信息。[2019/8/20]
来源:IOSG1.DeFi虽然如今原生加密货币和稳定币仍是DeFi的主流,但可以预见的是,基于现实资产代币化的新兴市场会将会吸引越来越多的目光。例如,在美国没有合法身份的外国人可能无法直接介入美股交易市场,但通过在现实资产代币市场上购买与某些美股挂钩的代币,达成近似的投资效果。此外,用户也可以通过抵押代币化的房产来为自己攫取更大的流动性。DeFi中预言机的另一个新兴用例是公平排序(fairsequencing)。在现有的交易制度中,交易是由矿工审查和排序的,这就为他们留下了巨大的可以利用的套利和操纵空间。通过利用即将提交给mempool但尚未上链的交易信息,矿工和验证者可以修改交易顺序,使自己受益。MEV这一术语便是专门来描述这种现象的。因此,为了解决这类损害公平性的问题,Chainlink等预言机已经提出了公平排序服务的解决方案。FSS准备通过设计确定性的算法来帮助DEX实现公平的交易,以防止MEV、front-running或任何其他导致交易混乱的方案。这套方案主要由三个机制组成:交易监控和交易发布。大家可以通过下述示意图对FSS有一个整体的快速了解:
动态 | 以太坊开源银行Marble推出基于Uniswap的价格预言机Polaris:以太坊开源银行Marble推出基于去中心化交易所Uniswap的价格预言机Polaris。Marble表示Polaris通过选取Uniswap价格检查点的中位数,使价格攻击成本更高。价格操纵在单一交易所需的时间被延长,因而变得更加困难和昂贵。此外,Polaris采用一系列激励措施鼓励第三方参与者定期检查价格,从而保持价格准确。[2019/4/2]
来源:IOSG显而易见的是,在区块链链上生成的随机数都是伪随机数。并且鉴于区块链内容的透明性,链上生成的随机数很容易被不诚实的节点攻击,面临着极大的安全风险。典型地,矿工可以通过“BlockWithholdingAttacks”丢弃不利于自己的区块,从而在中获得相对优势。在这种情况下,除了通过重复哈希提升矿工攻击成本外,最为便利的解决方案就是将预言机当作TRNG,通过集成链下数据生成可验证的真随机序列,确保随机数的保密性和公平性。在现阶段,除了Randao等oracle所提出的CommitExcept和BLS协约等方法外,由去中心化oracle提供的VRF(VerifiableRandomFunction)是最常见的服务。VRF工作流程可以被概括展示如下:来源:IOSG3.SocialFi&DAO在一些情况下,预言机还能够在socialfi和DAO的应用场景中充当去中心化的身份验证工具。通过利用DON来集成互联网和链下的活动数据,预言机在可以帮助用户在web3中验证和管理自己的身份凭证,同时提供传统DID工具所不具备的传统兼容性和隐私保障。比如通过使用预言机集成DAO成员在链下的活动参与信息和资格认证信息,DAO管理者就可以发放相应的POAP,并对成员的能力资质进行认证。而CanDID是帮助DON实现此类功能的内部工具。通过集成预言机,CanDID允许用户从现有系统中安全地导入身份,并防止产生多个身份。比如小王可以用他的社保个人资料页面来生成一个证明他的社保号的协议证书。从机制上看,CanDID主要由两个子系统组成:身份系统和密钥恢复系统。在身份系统中,CanDID可以通过利用DECO或TownCrier这两种预言机,在社交媒体、电子银行账户等现有网络服务中实现安全的身份迁移,并且不需要数据供应商明确地创建与DID兼容的凭证,极大地促进了凭证生态系统的便利性。在密钥恢复系统中,CanDID允许用户利用现有的网络认证方案,通过快速简单的工作流程来恢复密钥。用户可以将密钥储存在他们经常使用的任意设备上,并预先选定恢复政策或通过秘密共进行享备。具体的恢复流程可参见下图:来源:CanDID:Can-DoDecentralizedIdentitywithLegacyCompatibility,Sybil-Resistance,andAccountability写在最后
综上,可以看到预言机已经在web3时代翻开了新的篇章,并为超越过去旧有的构想和功能做好了准备。尽管目前对预言机在web3新兴应用的讨论声仍然较少,但我们相信随着技术持续演进和web3对web2的逐渐吞噬,越来越多敏锐的市场参与者会认识到预言机所具备的潜在价值和对web3的重大贡献。发现未被发现的,想象难以想象的。在后续的研究中,我们将对预言机的喂价创新和跨链解决方案等更多新兴用例和机制细节进行深入解读。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。