ABU:簡析Jabber：在Web3時代，網絡聊天應該完全上鏈嗎？

作者：路暢

來源：律動研究院

鏈上除了可以記錄交易，每筆交易更可附上自定義的文本。借助一最簡單又最基礎的功能，人們可以做很多有趣的事情。舉一個最簡單的例子——鏈上聊天。此前，律動曾撰文介紹過使用以太坊傳遞信息的情況，詳情可見《其實有很多人在用以太坊聊天》。

而由于以太坊自身網絡的特性，鏈上交易gas費用高昂。雖然有人在使用以太坊進行聊天，但這種使用方式難以普及。有多少用戶愿意為了發送一條消息而支付十美元呢？

通過區塊鏈聊天，這的確是一個有趣的想法，但在以太坊上似乎并不可行，但如果使用別的網絡呢？建立在Solana之上的Jabber就在嘗試實踐這個有趣的構想。

11月底，Jabber上線了app的測試版。Jabber是一款「Telegramlike」的聊天App，而它有趣之處在于，每一條消息，都是一筆在Solana鏈上發送的交易。受益于Solana的高性能和低成本，將消息作為交易發送，并不會讓用戶的成本高到難以承受。

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

Beosin：SheepFarm項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BNB鏈上的SheepFarm項目遭受漏洞攻擊，Beosin分析發現由于SheepFarm合約的register函數可以多次調用，導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems，再利用upgradeVillage函數在消耗gems的同時累加yield屬性，最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB，約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶，將持續關注資金走向。[2022/11/16 13:10:39]

當我們進入主界面，一個簡潔的聊天列表呈現在眼前，基本操作邏輯與Telegram并無較大差異。用戶需點擊右上角的寫信按鈕，自行鍵入信息接收人的地址，就可以開始進入聊天了。除標準的錢包地址外，該App還支持.sol域名。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

除了點對點聊天外，該App還支持小費打賞、創建群聊、收費收信等功能。收費收信是其中一個較為新穎的設計。

鏈上信息傳輸因為其無需許可的特點，只要知道地址，任何人皆可發送任意的信息。假設這樣一個場景，若Jabber成為像微信一樣廣泛普及的聊天應用，而你又恰好是一個地址已被公開的KOL，那你的聊天列表會被多少無效信息充斥呢？

通過收費收信的功能，這一問題得到了解決。在設置界面我們看到「SOLpermessage」這一項目，這一數值代表著向你發送信息每條需向你支付多少SOL。這一設計非常有趣。

而在群聊中也存在著類似的機制，用戶加入群聊后需支付一定的SOL才可發送消息。這一機制可創造更多的用例，譬如付費社群、線上答疑等等。但目前在Web2的同類產品中，尚無有類似機制的用例。這一需求是否能產生真實的使用場景，仍然有待觀察。

這款App與其他聊天軟件最根本的區別，即所有數據全部鏈上傳輸。而這也是用戶對其最大的擔憂所在，鏈上數據公開透明，如何保證聊天內容的隱私性？

我們以真實的使用情況作為演示。筆者使用Jabber向某地址發送了「GM」兩個字符，該筆交易收取了0.000005SOL的gas。

而在這筆的轉賬的log詳情中，我們可以看到一些更細節的內容。

Jabber盡管會將全部信息上鏈，但消息是加密的并不會將你的聊天內容公開，用戶無需擔心聊天全部上鏈所使得隱私泄露。

而全部上鏈的缺點也是顯而易見的，每次操作都要付出一定的gas是在所難免的。在進行多次嘗試之后可以發現，修改個人資料、更改頭像圖片、設置是否顯示SOL域名等等，在設置中的每一項操作幾乎均需要進行鏈上交互，并付出gas費。而在實際的聊天過程中，發送不同數量的字符，付出的gas費用也都相同，與更改各項設置所需gas相同，均為0.000005。

Jabber由Bonfida團隊開發，目前并無獨立官網，現已提供iOS和Android版本。Bonfida是基于Solana建立的一款完整產品套件，其旗艦產品為基于Serum中央訂單簿的DEX前端。目前Bonfida提供的功能除了基于Serum的基礎交易功能以外，還有程序化交易機器人、SerumAPI、Solana鏈上永續合約協議、SOL域名等。

Jabber是基于Solana建立的第一個移動消息應用。Bonfida認為，Jabber最重要的價值在于它為用戶提供了一種無需信任、去中心化的方式來將他們的交互貨幣化。這個特性或可為NFT和GameFi帶來更多的用例。?

Tags：ABUARMFARMFARMetaBullragekarma幣總量Animal Farm DogsYumYumFarm

比特幣價格實時行情