TOS:簡析 Aptos 公鏈：PayPal 投資、Facebook 成員打造的項目有何不同？

作者：律動BlockBeats

想要創建一個可快速創新且適應性強的區塊鏈來滿足當今和未來數十億人的需求。期望用戶體驗在安全性和可擴展性方面能得到明顯的改善。使區塊鏈對普通用戶，尤其是非加密原生用戶來說更具適用性，以加快互聯網用戶對web3的采用。

團隊背景與項目起源

Aptos于2021年創立，總部位于加利福尼亞州的帕洛阿爾托，主要領導者MoShaikh與AveryChing也曾是Diem與Novi的主要構建者。

Meta踏足加密領域遇到坎坷重重，許多項目一度停擺，不少成員離開Meta，后繼續投身加密領域。MoShaikh與AveryChing亦是如此，在Diem被阻止啟動后離開了Meta，與許多Diem和Novi的初創造者、研究人員、設計師和建造者等核心開發人員聚集在一起，在開源的Diem代碼庫的基礎上建立了一個名為Aptos的新網絡。

當前許多Aptos的團隊成員曾在Meta工作，這意味著Aptos團隊有豐富的大規模開發和部署系統的經驗，且Aptos使用團隊成員同樣熟悉Move語言，成員不必增加新的學習成本。

安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析:10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]

據Aptos披露，聯合創始人AveryChing是構建分布式系統的世界領先專家之一，除其以外，還有AldenHu、AlinTomescu、DahliaMalkhi、DavidWolinsky、GregNazario、JakeSkinner、JoshLind等許多由博士、研究人員、工程師、設計師和戰略家組成的其他團隊成員。

安全團隊：Audius項目惡意提案攻擊簡析，攻擊者總共獲利約108W美元:7月24日消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下：攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址，隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過，該提案允許向攻擊合約轉賬1,856w個AudiusToken，隨后攻擊者將獲得的AudiusToken兌換為ETH，總共獲利約108W美元，目前獲利資金仍然存放于攻擊者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

Aptos將部分建立在其團隊成員過去三年中公開開發的技術之上，計劃在安全性、可擴展性以及可升級性三方面著手進行部署。

安全性

Move編程語言

在語言上，Aptos使用的是最初為Diem開發的Move編程語言，Move語言專為在區塊鏈上進行安全資源管理和可驗證執行而設計。三年前，這些工作人員同時開發了區塊鏈和Move語言。當前賬戶、交易費用、標準庫、驗證節點管理和配置都通過Move實現。Move被很多?譽為Diem最大的創新。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

眾所周知，以太坊的Solidity是當前開發者最常用的語言之一，功能強大具有良好的可擴展性。Move與其相比，安全性較為突出，從底層內存和智能合約編程的代碼層面，提供了非常強大的安全保證。

慢霧：Spartan Protocol被黑簡析:據慢霧區情報，幣安智能鏈項目 Spartan Protocol 被黑，損失金額約 3000 萬美元，慢霧安全團隊第一時間介入分析，并以簡訊的形式分享給大家參考：

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB；

2. 在 WBNB-SPT1 的池子中，先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1，導致兌換池中產生巨大滑點；

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證，但是在添加流動性的時候存在一個滑點修正機制，在添加流動性時將對池的滑點進行修正，但沒有限制最高可修正的滑點大小，此時添加流動性，由于滑點修正機制，獲得的 LP 數量并不是一個正常的值；

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1，此時池子中的 WBNB 增多 SPT1 減少；

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子，然后進行移除流動性操作；

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣，由于步驟 5，此時會獲得比添加流動性時更多的代幣；

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount，由于移除流動性時沒有和添加流動性一樣存在滑點修正機制，移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值；

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP，此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣；

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB，最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

Hotstuff共識衍生品

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

Aptos提出其開發了生產級、高保證、低延遲的拜占庭容錯(BFT)引擎，在過去三年中，實施了共識協議的第四次迭代。HotStuff是一種基于領導者的拜占庭容錯復制協議，用于部分同步模型。一旦網絡通信變得同步，HotStuff使正確的領導者能夠以實際網絡延遲的速度推動協議達成共識。

Aptos團隊在私有主網環境中升級了共識協議，添加了一個主動起搏器，使用超時來同步驗證器，遠快于等待增加的超時，區塊只需兩次網絡往返即可提交，實現了亞秒級的最終確定性。且Aptos的聲譽系統無需任何人為干預，即可分析鏈上狀態并自動更新領導者輪換，適用無響應的驗證者。協議清楚地將活性與安全區分開來。無論網絡不可達或非安全核心以某種方式受到損害，只要BFT誠實保證得到維護，鏈就不會分叉。

驗證測試、密鑰與多代理交易

為保證安全性，Aptos團隊在不同環境中運行大量驗證器，對AptosCore進行了反復測試。

且Aptos中設置了帳戶密鑰恢復和輪換協議，主要防止密鑰被盜的情況發生，具體表現為Aptos支持任何帳戶輪換其私鑰，驗證者還可以定期輪換他們的共識密鑰。為防止密鑰丟失，Aptos還在開發可直接集成到區塊鏈賬戶模型中的密鑰恢復新技術。

Aptos通過多代理交易，利用Move的簽名者類型，允許在單個交易中跨多個鏈上賬戶進行任意數量的原子操作。

可擴展性

指標與測量

高交易費用、低吞吐量和高最終確定性限制了區塊鏈的普及與發展，Aptos認為L1應該重視發展可擴展性，從而優化用戶體驗。

從區塊鏈性能指標來說，因測試基準不同，所以數據可能存在差異，Aptos打算分享基準測試框架并比較不同區塊鏈上各種用例的性能特征。如吞吐量TPS與最終確定性。

吞吐量與最終確定性

在提高吞吐量與最終確定性速度的規劃中，Aptos計劃將共識協議與交易執行完全分離。團隊為推進交易傳播，已著手開發迭代下一個共識協議，可能將于今年在測試網推出。

除此之外，另一個難題是交易執行時間。Aptos使用受軟件事務內存啟發的新技術，在僅執行基準測試中只使用32個內核實現了每秒超過130k的事務。

在性能方面最后一個瓶頸是經過身份驗證的數據結構和相關的狀態存儲。在驗證賬本狀態時，內存中的Merkletree在小規模上是有效的，但無法將大型Merkletree寫入持久存儲。為解決這個問題，Aptos正在通過探索更高的分支因子、訪問模式優化的緩存和仔細的版本控制來設計經過身份驗證的數據結構，且Aptos還在開發對大型帳戶的支持。

并行賬戶交易及控制交易排序

與以太坊普及的序列號方法不同，Aptos使用的是嘗試使用抗沖突的序列號來增強序列號方法，允許帳戶在序列號窗口上并行，同時仍然允許用戶在必要時控制交易排序。考慮未來實現更靈活和可組合的并行賬戶交易。

支持管理節點不同狀態

高吞吐量區塊鏈，節點之間的狀態同步可能是CPU密集型的，Aptos支持一系列不同的狀態同步協議。且為了支持廉價的全節點，Aptos中有一個協議可同步交易及其由法定人數驗證者簽署的執行結果，允許節點以更高的網絡吞吐量為代價跳過計算，并直接從已執行的賬本狀態更新賬本狀態結果。

不同于大多數區塊鏈需下載區塊鏈來獲取最新的分類賬本，Aptos客戶端可以使用交易累加器來獲取最新提交的交易，且許對以前的交易和分類帳進行修剪。

可升級性

區塊鏈發展日新月異，從Defi到NFT再到DAO，熱點類型不停變換。但許多底層協議在發布后都難以做出重大改進，以至于當前網絡難以快速適應不斷發展的web3需求。

Aptos提出一些網絡嘗試進行重大升級時，有的曾停機數小時，有的經歷了意外的硬分叉。而Aptos在驗證者的管理和配置采用鏈上狀態進行管理，方便社區投票和快速執行升級，在過去幾年中成功執行了多次重大升級而沒有停機，確保部署安全可靠。

融資情況與路線圖

Aptos于3月15日表示完成了由a16z領投，TigerGlobal、KatieHaun、MulticoinCapital、ThreeArrowsCapital、FTXVentures和CoinbaseVentures等眾多知名VC參投的2億美元融資。

而后，不僅BinanceLabs宣布投資了AptosLabs，支付巨頭PayPal也表示曾參與投資，這是PayPalVentures投資的首個Layer1公鏈項目。需要注意的是，為了保持與Meta的隔離，保證Aptos的獨立性，該項目并未從Meta相關人員處融資。

根據當前Aptos的路線圖規劃，今年Q1發布開發者測試網，開發人員從3月15日起，即可開始在Aptos測試網上進行構建。在與戰略合作伙伴和web3開發者社區合作，同時收集反饋并改進Move開發者體驗和Move語言。

Q2啟動激勵性測試網，提供更大的測試平臺，與節點運營商社區合作，共同運營去中心化網絡。提出漏洞賞金完善基礎架構，并為保護網絡的參與者提供激勵機制。這里需要注意的是，開發網和測試網的不同在于，開發網主要是為了嘗試新想法構建，而測試網用于驗證核心開發人員測試的結果，為主網上線做準備。

Aptos計劃于今年Q3發布主網，Q4至明年Q1將下一個主要版本部署到Aptos主網。

當前開發人員可在激勵測試網上進行構建，第二期激勵測試也即將開始，符合其硬件要求的用戶可以運行節點參與其中。

在應用方面，Pontem開發的Liquidswap是Aptos網絡上的第一個去中心化交易所。Pontem是一家產品開發工作室，據其所說還可能與Aptos合作構建開發工具、EVM、AMM等其他Dapp與基礎設施。除了Liquidswap之外，Aptos上還有Fewcha錢包。且MartianDAO也正在為Aptos生態系統構建各種產品，包括MartianWallet，以及一個名為Curiosity的NFT市場，可適當關注。

Tags：TOSAptosAPTCELmanitosupertokenaptos幣怎么挖CELC

LTC