AIN:簡析Chainflip Labs：Pantera Capital 投資的跨鏈交易新協議

作者：Victoria，律動BlockBeats

ChainflipLabs是一種基于Substrate的去中心化、去信任的協議。該協議可以通過自動做市商模型在不同區塊鏈之間實現自動跨鏈交換且無需驗證用戶身份。

與CEX一樣，Chainflip通過在每條鏈上部署錢包來連接鏈。不同之處在于Chainflips的協議協調是通過廣泛接受的數據庫StateChain實現的，而非集中式數據庫。

用戶無需備份密鑰文件、下載新的瀏覽器錢包或安裝一些特殊軟件，只需要網絡、瀏覽器和目標地址，發送Token并提供兼容的地址就能夠以無需信任的方式跨鏈swap。在swap的任何階段，都不需要原生Token(FLIP)，因為用FLIP支付的網絡費用會自動從交換中扣除，并通過流動性池，最終被燒毀。

ChainflipLabs該項目具有swap速度快、易于使用、跨鏈擴展性強等優勢。其最終目標是為所有主要區塊鏈實現自動化交換，為用戶提供一種易于使用、可靠、安全且無需許可的方法來完全避免托管交換。他們認為廣義跨鏈能力、去中心化、產品的可用性等屬性和指標對于實現該目標很重要。

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

需要注意的是，該項目的安全模型側重于懲罰惡意行為，仍存在由于智能合約漏洞或錯誤、支持鏈上重組等帶來的安全風險。

Beosin：SheepFarm項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的SheepFarm項目遭受漏洞攻擊，Beosin分析發現由于SheepFarm合約的register函數可以多次調用，導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems，再利用upgradeVillage函數在消耗gems的同時累加yield屬性，最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB，約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/16 13:10:39]

由于ChainflipLabs在自己的獨立執行環境中運行，大部分交換執行可以由驗證者網絡自動執行，無需復雜的用戶交互。未來該項目應該最大限度地利用這一點，并且應該設計新功能以利用這一點為用戶帶來利益。

工作原理

Uniswap，Curve和其他現有的流動性池平臺依靠以太坊智能合約保證安全，使用戶可以無信任地將資金送入和送出這些平臺。Chainflip作為跨鏈，不能依靠單一智能合約的安全來產生預期的結果。相反，Chainflip依靠的是一個保險庫系統，它可以無信任地保護平臺用戶的資金。每個支持的區塊鏈都有一個金庫，由驗證者操作，這是一種特殊類型的服務器，聯合管理的加密貨幣錢包，由被稱為驗證者的樁節點控制。

Beosin：BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BSC鏈上的gala.games項目遭受攻擊，Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens（GALA） 代幣增發，累計增發55,628,400,000枚pTokens（GALA），攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB，攻擊者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。

第一筆攻擊交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二筆攻擊交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

為了創建這些金庫，驗證者參與了一個設置過程，在這個過程中，新節點被確定地選擇為下一個活躍的金庫服務。這些節點共同構建了一個閾值簽名錢包，只有在給定的驗證者的閾值簽署交易時，才能從中發送交易。用于生成金庫的方案在簽署交易時不需要受信任的交易商或披露密鑰，投入到網絡中以獲得獎勵。驗證者和他們的金庫使Chainflip有能力以安全和無信任的方式存儲資金，但與智能合約代碼不同的是，它沒有給出資金在金庫中應該如何處理的明確規則集。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

為了實現這一點，Chainflip的設計包括一個狀態鏈，基于Polkadot的Substrate框架，作為Chainflip的協調機制。它包含所有與金庫內容有關的數據，以及交易進入金庫后如何處理的規則集。正是通過狀態鏈，驗證者對所有互換的狀態，流動性，以及何時何地發送出去的交易達成了共識。應用狀態鏈的規則和金庫的無信任性質，用戶可以使用Chainflip以無信任的方式跨鏈交換資產，從而滿足Chainflip的三個主要目標。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

Chainflip與其最接近的競爭對手ThorChain或Qredo等其他互操作性解決方案提供商沒有太大區別。其設計中使用的技術以及協議的功能可能存在以下細微差別：

Chainflip與錢包無關。

Chainflip依賴于更大的驗證者數量。

Chainflip不要求原生鏈實現任何復雜的協議或其他更改，包括基礎設施。

它使用Ed25519簽名算法來實現其閾值簽名。

Chainflip不依賴其網絡代幣來配對資產，而是依賴于廣泛采用的穩定幣。

Chainflip可以在沒有任何額外軟件、專用錢包、預存款、掛鉤/包裝代幣、合成資產和用戶抵押要求的情況下使用。

Token經濟

Chainflip的網絡TokenFLIP基于以太坊的ERC-20標準。FLIP的Token設計類似于以太坊EIP-1559的實現，遵循通貨膨脹和通貨緊縮模型。因此，FLIPToken供應量不會是有限的，未來該項目可能會改變其Token模型。

金庫抵押和激勵

驗證器操作員將FLIPTokenStaking以換取區塊獎勵。所有節點都獲得相同的獎勵，無論其賭注的大小。網絡的整體安全性取決于其抵押品，而抵押品又取決于區塊獎勵收益率。Chainflip的賭注機制的一個基本變化是，它不允許委托。擬議的驗證人獎勵是：

Sandstormlaunch–5%

Ibizarelease–6%?

Berghainrelease–7%?

懲罰

懲罰也是為了阻止驗證人的惡意行為。從理論上講，如果FLIP的大部分股份低于各自金庫中的資產價值，那么懲罰可能無法有效地阻止惡意行為。實際上，如果鎖在金庫中的資產略高于多數節點所押的價值，任何惡意行為者都會對攻擊決策漠不關心。

然而，如果這個差距大到足以提供一個可接受的或有吸引力的超過賭注的回報水平，那么驗證者在技術上就會被激勵去進行攻擊。因此，這個指標是Chainflip流動性提供者合理化他們所承擔的風險的一個重要指標。當然，流動性會有上限，或與網絡的抵押水平直接相關。在這種情況下，網絡的增長將來自于FLIPToken價格所反映的高頻率的互換。

Token燃燒

在ChainflipAMM上收取的互換費用是用來從USDC/FLIP池購買FLIPToken的，交換費用將以USDC收取。這些FLIPToken將自動被燒毀，并從總供應量中刪除。

流動性引導

Chainflip不會通過使用典型的收益率耕作機制來引導流動性。相反，流動性提供者將根據他們在協議上賺取的流動性供應費用，給予FLIP美元的獎勵。這種獎勵機制最終會被縮減。

Token作用

質押并且運行驗證節點

激勵流動性提供者

團隊介紹

Chainflip是一個由來自澳大利亞和歐洲超過25名經驗豐富的專業人士組成的團隊。該團隊的經驗涵蓋軟件和Web開發、軟件工程、DevOps、區塊鏈、研究和通信以及法律。該團隊也在不斷壯大，招聘不同技能水平的人才。該公司在柏林、布達佩斯和墨爾本設有辦事處，下面是團隊主要成員介紹。

SimonHarman

SimonHarman作為ChainflipLabs的創始人兼首席執行官，是數據隱私的倡導者，并與他人一起撰寫了Loki和SessionApp的白皮書。其于2017年9月本科畢業于RMITUniversity音樂專業，畢業后6個月在BlockchainCentre擔任EventsFacilitator。ChainflipLabs并不是Harman的第一個加密項目，此前他創立并繼續擔任Oxen的董事會成員，隨后于2020年開始專注于ChainflipLabs，如今該公司擁有約25名員工。目前同時擔任OXEN和ChainflipLabs的首席執行官。

TomNash

首席技術官TomNash也是FlexDapps的聯合創始人兼首席技術官。此前，Tom曾短暫擔任TypeHuman的區塊鏈顧問和WeTrustPlatform的區塊鏈開發人員。Tom畢業于蘭開斯特大學，獲得計算機軟件工程學士學位。

ChrisMcCabe

ChrisMcCabe是該項目的聯合創始人，也是Oxen和SessionApp的首席運營官。2016-2018年間，他曾擔任區塊鏈教育者和顧問。

AlastairHolmes

AlastairHolmes在Chainflip擔任協議研究工程師。他在使用C++、CMake、Python、DirectX、Vulkan、VBA和Rust進行軟件開發方面經驗豐富。他在劍橋大學獲得計算機科學碩士學位。

投資機構

ChainflipLabs第一輪融資600萬美元，最近該項目與3家資深加密風險投資公司FrameworkVentures、BlockchainCapital和PanteraCapital達成了1000萬美元的私募股權投資交易。目前融資總額1600萬美元。據悉，所籌資金將用于建設跨鏈DEX，該團隊計劃今年晚些時候推出首版DEX產品。

參考資料：

ChainflipLabs文檔：https://docs.chainflip.io/concepts/

Whitepaper:?https://ChainflipLabs.io/whitepaper.pdf

Website:?https://ChainflipLabs.io/

Blog:?https://blog.ChainflipLabs.io/

Twitter:?https://twitter.com/ChainflipLabs

DCoreOfficial：https://platform.d-core.net/asset-review-summary-chainflip/

Tags：AINHAICHAChainblockchain錢包進不去TomoChainDelChainAvatar Chain

fil幣價格今日行情