ARI:簡析Clarity：支持以太坊地址登錄的協同辦公應用

撰文：0x13

Crypto是一個每一天都在飛速發展的行業，每一天都有無數新項目誕生，有時一個熱點可能只會持續幾天，一周前發生的大事回憶起來仿佛過了一個月之久。

在發展如此迅速的行業中，我們最需要做到也最難做到的事情就是跟上節奏不掉隊，每一天在拓展知識廣度的同時也需要不斷加深自己的認知。也正是因此，信息的聚合、整理就變得格外重要，而這份工作很難獨立完成，于是人們開始使用起了協同辦公應用。

目前被廣泛使用的是Notion。如果你在推特關注過一些Crypto行業的KOL，你就會發現他們中的很多人開始把自己整理的項目資料、信息等寫進Notion并在社交媒體中分享出來，有一些人也會開放編輯權限來讓大家共創，一起完善這些資料。

安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析:10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]

目前，Notion需要使用郵箱登錄，我們使用中心化第三方為我們提供的「數字身份」，我們在這個身份下的創作、工作并不代表著數字時代的「自己」。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

而中心化身份系統另一個缺陷在于不同應用之間的數據與身份都是一座孤島，在聯盟身份推出并廣泛使用前，我們使用每一個應用都需要單獨注冊一個賬戶。而即便我們目前可以通過第三方登錄其他應用，但同樣無法解決身份及信息所有權的問題。

安全團隊：LPC項目遭受閃電貸攻擊簡析，攻擊者共獲利約45,715美元:7月25日，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下：攻擊者先利用閃電貸從Pancake借入1,353,900個LPC，隨后攻擊者調用LPC合約中的transfer函數向自己轉賬，由于 _transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD，最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC，攻擊者共獲利178 BNB，價值約45,715美元，目前獲利資金仍然存放于攻擊者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]

Web3時代中，人們需要擁有掌握在自己手里的數字身份，并以此身份在這個新世界中創作、工作、建設。雖然Notion的功能已經足夠完備，但是我們仍然期待著一個可以使用Web3方式登錄的「Notion」。

Clarity簡介

Clarity便是可以使用Web3方式登錄的「Notion」。

從目前的功能上來說，Clarity與Notion并無太大差別，最大的差異便是Clarity可以使用以太坊地址登錄，而你的以太坊地址或者ENS域名可以直接用做你的Clarity用戶名。

對于傳統行業的用戶來說，這是一次走入Web3時代的好機會；而對于Web3用戶來說，這能過讓他們使用自己的數字身份，這對于一個去中心化團隊來說是極為重要的。

Notion的協同辦公、共創功能很「Web3」，而通過以太坊地址登錄的Clarity便將這些功能帶到了Web3中。而在未來，與Web3數字身份鏈接的Clarity還可能會有哪些發展前景呢？

目前Clarity網站上已經清晰地寫道，在鏈接以太坊地址后可以根據持幣情況訪問某些專屬文檔。

而這也就意味著Clarity將可以成為DAO的治理工具。目前DAO的社區通常建設在Discord，并通過機器人來對成員進行過濾篩選；提案、投票通常會在Snapshot進行。而對于DAO成員的協同工作等事項目前仍沒有一個去中心化的協同辦公應用。Clarity則很好地填補了這個空白。

一方面，Clarity可以根據持幣情況篩選成員；另一方面，多種Web3玩法也可以通過與以太坊地址相鏈接的Clarity進行。比如根據地址的歷史經歷決定DAO內權重，根據地址與工作內容更便捷地分配獎勵等。Web3的發展存在著巨大的想象空間，Clarity這個Web3的協同辦公應用的未來自然也足夠令人遐想。

Tags：ARIcLACELLARLegends of AriaCLASS幣WCELO幣stellar

FIL幣