簡析 Status：以太坊生態系統的移動端消息應用_STA:Stabinol

來源：cryptopedia

編譯：胡韜，鏈捕手

Status簡介

Status是一個開源消息傳遞平臺和移動界面，它提供了從一個iOS和Android友好的應用程序中對以太坊不斷增長的dApps生態系統的簡化訪問，該應用程序結合了對等即時消息傳遞、加密錢包和Web3瀏覽器。

自2017年推出以來，Status為以太坊生態系統提供了一個移動端門戶，以及一個具有廣泛高級功能的獨特消息傳遞平臺。在為以太坊生態系統提供適合移動設備的入口時，Status提供跨平臺的統一用戶體驗、以用戶為中心的數據和廣告模型，以及對下一代支持區塊鏈的金融和法律服務的訪問。

Status應用程序不僅僅是消息

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

雖然StatusNetwork通常被描述為一個社交媒體平臺，但實際上該項目正在開發一系列廣泛的功能，這些功能結合到以太坊網絡的一站式網關中。一般來說，Status的產品可以分為三個主要功能：

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

dApp管理：截至2020年，以太坊區塊鏈托管了近2,000個活躍的dApp，瀏覽這些龐大的應用程序可能會讓人不知所措。Status旨在成為任何類型的以太坊相關活動的中心，并開發了多種功能，使用戶能夠瀏覽以太坊的dApp并與之交互。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

安全消息傳遞：Status通過點對點網絡而不是中央服務器提供公共聊天和安全的端到端加密私人消息，確保除了你和你?的目標收件人之外的任何人都無法查看私人消息。此外，由于Status上的消息傳遞是通過去中心化網絡進行的，因此它具有抗審查性和彈性，因為網絡不會出現單點故障。因此，Status可確保用戶保持對自己通信的完全控制。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

數字資產管理：StatusNetwork提供安全的加密貨幣錢包，允許用戶通過聊天直接向全球任何地方的聯系人發送付款。Status用戶的聊天和錢包密鑰沒有以任何方式連接，這意味著即使你的聊天密鑰以某種方式被泄露，你的資金也將保持安全。因此，Status使你能夠密切關注自己的加密資產，同時保持輕松促進安全、無國界支付的能力。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

Status應用程序將這些功能與iOS和Android兼容性打包在一起，將上述所有功能與Web3瀏覽器相結合。這種方法體現了公司的目標，即向更廣泛的市場提供支持區塊鏈的應用程序的好處。

而且，雖然Status的應用程序是其旗艦產品，但該公司還在開發許多其他產品，包括Keycard，一種功能類似于非接觸式借記卡或信用卡的硬件錢包。Status還在努力發布Teller，這是一種去中心化的點對點法幣到加密貨幣交易所。

此外，Status打算破壞互聯網上使用的現有廣告模式，這種模式非常有利于公司而非個人用戶。通過Status，你可以選擇要與廣告商和其他第三方共享多少時間、注意力和數據，以換取平臺上的有形服務——或者你可以選擇在不共享數據或從第三方接收廣告的情況下支付服務費用根本。因此，Status不僅改善了用戶與基于區塊鏈的應用程序交互的方式，而且旨在開創一種更加平等、以用戶為中心和公平的在線體驗。

Status、SNT代幣和治理?

Status的應用程序是一款以免費增值模式運行的開源產品，在創建帳戶時不需要用戶提供電話號碼、電子郵件地址或銀行帳戶。然而，由于StatusNetwork不會從銷售廣告或與第三方共享個人用戶數據中獲利，該平臺向用戶收取通知和存儲的微交易費用，以資助項目的運營成本。

此外，Status是一個去中心化的自治組織，這意味著該項目不依賴于中心化的管理機構。相反，StatusNetwork社區成員可以完全控制開發，例如將實施或修改哪些生態系統功能。這種社區主導的治理模型是通過Status的原生ERC-20代幣SNT進行。

SNT代幣持有者可以發起并投票決定如何開發項目。StatusNetwork上的任何利益相關者都可以提交提案，社區成員的投票權重與其持有的SNT代幣數量成正比。在網絡成立之初，社區主要就與軟件相關的問題進行投票。然而，隨著網絡的不斷發展，社區可能需要面對和解決日益復雜的社會和結構問題。

SNT還用于訪問Status網絡上的去中心化服務并為其提供動力。這包括為轉發消息和離線消息等基本服務付費，以及使用Status的TellerNetwork等dApp，它允許SNT持有者找到附近的用戶，將他們的現金換成數字貨幣和資產。SNT還用于激勵和獎勵網絡參與者運行節點，這有助于確保即使Status托管的集群中的所有節點都離線，Status平臺也能繼續平穩運行。

Status社交網絡如何建立信任

Status加密平臺上有許多功能旨在保護用戶安全并確保信任。一種主要方法是Tribute-to-Talk流程，這是一種反垃圾郵件機制，它要求你將SNT代幣作為抵押品存入，以向尚未與之通信的網絡外用戶發送消息。如果用戶驗證你的消息，則返回抵押品。如果消息接收者沒有響應，則將代幣獎勵給接收者。這會阻止在網絡上創建虛假帳戶和垃圾郵件。

此外，Status實施了一種聲譽模型，利益相關者可以通過該模型存入代幣來提高另一個用戶的聲譽——一種為某人擔保的數字版本，有助于在Status網絡上的用戶之間建立信任網絡。討論組甚至可以設置最低聲譽分數作為加入他們的組的要求，這大大增加了維護活躍假賬戶的成本。

為了加強帳戶安全，Status為每個用戶創建了一個唯一的公鑰用戶名，同時提供了一種在設備丟失或無法訪問的情況下恢復帳戶的獨特方法。為用戶提供了五個恢復密鑰，可以與其他受信任的個人共享。可以使用這些密鑰中的任意三個的組合來恢復帳戶。這可以防止與區塊鏈錢包相關的常見問題和恐懼之一：單點故障可能導致資產永久丟失。

Status的多管齊下的產品包括消息傳遞、社交媒體、加密錢包和以太坊生態系統的應用程序商店等元素——所有這些都在一個移動門戶中。通過優先考慮隱私、抗審查和社區驅動的開發，Status為Internet上的當前標準提供了一個用戶驅動的替代方案。

Tags：STAStatusTATSTATStabinolstatus幣官網Bitconch Reputation HeatSTATS

幣安交易所app下載