作者:律動BlockBeats
想要創建一個可快速創新且適應性強的區塊鏈來滿足當今和未來數十億人的需求。期望用戶體驗在安全性和可擴展性方面能得到明顯的改善。使區塊鏈對普通用戶,尤其是非加密原生用戶來說更具適用性,以加快互聯網用戶對web3的采用。
團隊背景與項目起源
Aptos于2021年創立,總部位于加利福尼亞州的帕洛阿爾托,主要領導者MoShaikh與AveryChing也曾是Diem與Novi的主要構建者。
Meta踏足加密領域遇到坎坷重重,許多項目一度停擺,不少成員離開Meta,后繼續投身加密領域。MoShaikh與AveryChing亦是如此,在Diem被阻止啟動后離開了Meta,與許多Diem和Novi的初創造者、研究人員、設計師和建造者等核心開發人員聚集在一起,在開源的Diem代碼庫的基礎上建立了一個名為Aptos的新網絡。
當前許多Aptos的團隊成員曾在Meta工作,這意味著Aptos團隊有豐富的大規模開發和部署系統的經驗,且Aptos使用團隊成員同樣熟悉Move語言,成員不必增加新的學習成本。
LendHub被黑簡析:系LendHub中存在新舊兩市場:金色財經報道,據慢霧安全區情報,2023 年 1 月 13 日,HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下:
此次攻擊原因系 LendHub 中存在兩個 lBSV cToken,其一已在 2021 年 4 月被廢棄但并未從市場中移除,這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格,這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回,在新的市場進行借貸操作,惡意套取了新市場中的協議資金。
目前主要黑客獲利地址為 0x9d01..ab03,黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時,黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡,已經得到黑客的部分痕跡,慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]
據Aptos披露,聯合創始人AveryChing是構建分布式系統的世界領先專家之一,除其以外,還有AldenHu、AlinTomescu、DahliaMalkhi、DavidWolinsky、GregNazario、JakeSkinner、JoshLind等許多由博士、研究人員、工程師、設計師和戰略家組成的其他團隊成員。
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
Aptos將部分建立在其團隊成員過去三年中公開開發的技術之上,計劃在安全性、可擴展性以及可升級性三方面著手進行部署。
Beosin:ULME代幣項目遭受黑客攻擊事件簡析:金色財經報道,10月25日,據Beosin EagleEye 安全預警與監控平臺檢測顯示,ULME代幣項目被黑客攻擊,目前造成50646 BUSD損失,黑客首先利用閃電貸借出BUSD,由于用戶前面給ULME合約授權,攻擊者遍歷了對合約進行授權的地址,然后批量轉出已授權用戶的BUSD到合約中,提高價格ULME價格,然后黑客賣掉之前閃電貸借出的ULME,賺取BUSD,歸還閃電貸獲利離場。Beosin安全團隊建議用戶用戶取消BUSD對ULME合約的授權并及時轉移資金減少損失。[2022/10/25 16:38:21]
安全性
Move編程語言
在語言上,Aptos使用的是最初為Diem開發的Move編程語言,Move語言專為在區塊鏈上進行安全資源管理和可驗證執行而設計。三年前,這些工作人員同時開發了區塊鏈和Move語言。當前賬戶、交易費用、標準庫、驗證節點管理和配置都通過Move實現。Move被很多?譽為Diem最大的創新。
眾所周知,以太坊的Solidity是當前開發者最常用的語言之一,功能強大具有良好的可擴展性。Move與其相比,安全性較為突出,從底層內存和智能合約編程的代碼層面,提供了非常強大的安全保證。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
Hotstuff共識衍生品
慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:
1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;
3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;
4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;
5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;
6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;
7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;
8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;
9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]
Aptos提出其開發了生產級、高保證、低延遲的拜占庭容錯(BFT)引擎,在過去三年中,實施了共識協議的第四次迭代。HotStuff是一種基于領導者的拜占庭容錯復制協議,用于部分同步模型。一旦網絡通信變得同步,HotStuff使正確的領導者能夠以實際網絡延遲的速度推動協議達成共識。
Aptos團隊在私有主網環境中升級了共識協議,添加了一個主動起搏器,使用超時來同步驗證器,遠快于等待增加的超時,區塊只需兩次網絡往返即可提交,實現了亞秒級的最終確定性。且Aptos的聲譽系統無需任何人為干預,即可分析鏈上狀態并自動更新領導者輪換,適用無響應的驗證者。協議清楚地將活性與安全區分開來。無論網絡不可達或非安全核心以某種方式受到損害,只要BFT誠實保證得到維護,鏈就不會分叉。
驗證測試、密鑰與多代理交易
為保證安全性,Aptos團隊在不同環境中運行大量驗證器,對AptosCore進行了反復測試。
且Aptos中設置了帳戶密鑰恢復和輪換協議,主要防止密鑰被盜的情況發生,具體表現為Aptos支持任何帳戶輪換其私鑰,驗證者還可以定期輪換他們的共識密鑰。為防止密鑰丟失,Aptos還在開發可直接集成到區塊鏈賬戶模型中的密鑰恢復新技術。
Aptos通過多代理交易,利用Move的簽名者類型,允許在單個交易中跨多個鏈上賬戶進行任意數量的原子操作。
可擴展性
指標與測量
高交易費用、低吞吐量和高最終確定性限制了區塊鏈的普及與發展,Aptos認為L1應該重視發展可擴展性,從而優化用戶體驗。
從區塊鏈性能指標來說,因測試基準不同,所以數據可能存在差異,Aptos打算分享基準測試框架并比較不同區塊鏈上各種用例的性能特征。如吞吐量TPS與最終確定性。
吞吐量與最終確定性
在提高吞吐量與最終確定性速度的規劃中,Aptos計劃將共識協議與交易執行完全分離。團隊為推進交易傳播,已著手開發迭代下一個共識協議,可能將于今年在測試網推出。
除此之外,另一個難題是交易執行時間。Aptos使用受軟件事務內存啟發的新技術,在僅執行基準測試中只使用32個內核實現了每秒超過130k的事務。
在性能方面最后一個瓶頸是經過身份驗證的數據結構和相關的狀態存儲。在驗證賬本狀態時,內存中的Merkletree在小規模上是有效的,但無法將大型Merkletree寫入持久存儲。為解決這個問題,Aptos正在通過探索更高的分支因子、訪問模式優化的緩存和仔細的版本控制來設計經過身份驗證的數據結構,且Aptos還在開發對大型帳戶的支持。
并行賬戶交易及控制交易排序
與以太坊普及的序列號方法不同,Aptos使用的是嘗試使用抗沖突的序列號來增強序列號方法,允許帳戶在序列號窗口上并行,同時仍然允許用戶在必要時控制交易排序。考慮未來實現更靈活和可組合的并行賬戶交易。
支持管理節點不同狀態
高吞吐量區塊鏈,節點之間的狀態同步可能是CPU密集型的,Aptos支持一系列不同的狀態同步協議。且為了支持廉價的全節點,Aptos中有一個協議可同步交易及其由法定人數驗證者簽署的執行結果,允許節點以更高的網絡吞吐量為代價跳過計算,并直接從已執行的賬本狀態更新賬本狀態結果。
不同于大多數區塊鏈需下載區塊鏈來獲取最新的分類賬本,Aptos客戶端可以使用交易累加器來獲取最新提交的交易,且許對以前的交易和分類帳進行修剪。
可升級性
區塊鏈發展日新月異,從Defi到NFT再到DAO,熱點類型不停變換。但許多底層協議在發布后都難以做出重大改進,以至于當前網絡難以快速適應不斷發展的web3需求。
Aptos提出一些網絡嘗試進行重大升級時,有的曾停機數小時,有的經歷了意外的硬分叉。而Aptos在驗證者的管理和配置采用鏈上狀態進行管理,方便社區投票和快速執行升級,在過去幾年中成功執行了多次重大升級而沒有停機,確保部署安全可靠。
融資情況與路線圖
Aptos于3月15日表示完成了由a16z領投,TigerGlobal、KatieHaun、MulticoinCapital、ThreeArrowsCapital、FTXVentures和CoinbaseVentures等眾多知名VC參投的2億美元融資。
而后,不僅BinanceLabs宣布投資了AptosLabs,支付巨頭PayPal也表示曾參與投資,這是PayPalVentures投資的首個Layer1公鏈項目。需要注意的是,為了保持與Meta的隔離,保證Aptos的獨立性,該項目并未從Meta相關人員處融資。
根據當前Aptos的路線圖規劃,今年Q1發布開發者測試網,開發人員從3月15日起,即可開始在Aptos測試網上進行構建。在與戰略合作伙伴和web3開發者社區合作,同時收集反饋并改進Move開發者體驗和Move語言。
Q2啟動激勵性測試網,提供更大的測試平臺,與節點運營商社區合作,共同運營去中心化網絡。提出漏洞賞金完善基礎架構,并為保護網絡的參與者提供激勵機制。這里需要注意的是,開發網和測試網的不同在于,開發網主要是為了嘗試新想法構建,而測試網用于驗證核心開發人員測試的結果,為主網上線做準備。
Aptos計劃于今年Q3發布主網,Q4至明年Q1將下一個主要版本部署到Aptos主網。
當前開發人員可在激勵測試網上進行構建,第二期激勵測試也即將開始,符合其硬件要求的用戶可以運行節點參與其中。
在應用方面,Pontem開發的Liquidswap是Aptos網絡上的第一個去中心化交易所。Pontem是一家產品開發工作室,據其所說還可能與Aptos合作構建開發工具、EVM、AMM等其他Dapp與基礎設施。除了Liquidswap之外,Aptos上還有Fewcha錢包。且MartianDAO也正在為Aptos生態系統構建各種產品,包括MartianWallet,以及一個名為Curiosity的NFT市場,可適當關注。
整理:餅干,鏈捕手 “過去24小時都發生了哪些重要事件”?1、國務院副總理劉鶴:加強網絡信息技術研究,重視區塊鏈、數字貨幣等技術創新據新華社報道.
1900/1/1 0:00:00來自:AmberGroup編譯:Odaily星球日報去年,作為主流智能合約區塊鏈的以太坊,其主導地位受到了替代性?L1?區塊鏈的挑戰。多鏈世界已成為不爭的事實.
1900/1/1 0:00:00鏈捕手消息,Web3音樂初創公司Medallion完成900萬美元種子輪融資,TheCherninGroup領投.
1900/1/1 0:00:00整理:Hsilung,鏈捕手“過去24小時都發生了哪些重要事件”?1、SBF向美國超級行動委員會捐贈1600萬美元,成為外部團體最大捐助者之一據彭博社報道.
1900/1/1 0:00:00鏈捕手消息,據彭博社報道,5月11日,英國資產管理公司FasanaraCapitalLtd正為其新風投基金募資3.5億美元,該基金將用于投資加密與金融科技公司.
1900/1/1 0:00:00鏈捕手消息,一名黑客利用加密貨幣做市商Wintermute技術失誤盜取2000萬個OP,加密貨幣做市商Wintermute表示對這一事件負責.
1900/1/1 0:00:00