PRO|对 MEV 套利机器人的诱导性攻击剖析、Worldcoin 选择虹膜识别的原因
导致中心化的因素、如何在 DeFi 协议中进行风险管理、DEX 三代演进等
欢迎阅读第十二期 ChainFeeds PRO Newsletter。本次内容将覆盖对 MEV 套利机器人的诱导性攻击剖析、为什么 Worldcoin 选择虹膜识别而不是面部识别和指纹识别,以及每周更新内容:比特币协议进展、以太坊治理相关、链上数据、最新研究和进展,和最新论文。
Anatomy of a Baiting Attack on MEV Arbitrage Bots: Lessons Learned from $177k Robberies
攻击者利用有害的 transfer() 函数和伪造参数,针对 MEV 套利机器人发起了 11 次攻击。其中,有 8 次发生了损失,总额为 177,253 美元。他们通过设置具有恶意功能的代币合约来引诱套利机器人进行交易。一旦机器人上钩,攻击者就会操纵回调函数,将转账重定向到自己的地址,并从机器人中窃取所有资产。受害者通常是设计回调函数时缺乏谨慎的不成熟机器人合约,这使得攻击者更容易解码和伪造参数。攻击者承担了构建合约和支付交易费用的成本,但获得了可观的投资回报。
ALL ABOUT THE ENTROPY:
Why irises beat faces and fingerprints for proving personhood
虹膜识别在证明个人身份方面相对于面部识别和指纹识别的优势:
虹膜识别的熵(Entropy)较高:人类的虹膜非常复杂,具有数百个独特的点,如凹陷、皱纹和色素斑点。这种复杂性使得虹膜具有很高的熵。研究表明,从扫描人眼获取的虹膜编码可以拥有超过 200 位的熵,远高于指纹扫描的熵,足以理论上区分 80 亿个不同的人类个体。与面部识别相比,虹膜识别的熵高出约四个数量级(10,000 倍),这是由于虹膜结构比面部结构具有更高的熵。基于虹膜编码的虹膜识别算法甚至可以用于区分同卵双胞胎,因为虹膜纹理是在孕期随机形成的,与人类的 DNA 无关。
虹膜识别的可靠性较高:相比之下,人类虹膜受到内部器官(眼睛)的保护,使得其不容易受到外部因素的改变、变异或变化的影响。一个健康的虹膜纹理在成年人的一生中几乎不会发生明显变化。而指纹和面部则无法做到这一点。
虹膜识别的可扩展性较强:在过去的十年里,虹膜识别技术在硬件和软件方面都取得了重大的进展,使得它可以被部署在不同的场景和应用中,包括安全控制、边境管理、金融交易等。
比特币协议进展
Bitcoin Optech Newsletter #257
防止 CoinJoin 固定交易的 v3 交易中继:Greg Sanders 在 Bitcoin-Dev 邮件列表中发布了一份描述,说明了提议的 v3 交易中继规则如何可以创建一种类似于 CoinJoin 的多方交易,不容易受到交易固定的影响。固定交易的具体问题在于,CoinJoin 中的参与者之一可以利用他们在交易中的输入创建一个冲突的交易,从而阻止 CoinJoin 交易得到确认。Sanders 提出了一种解决方法,即 CoinJoin 风格的交易可以通过让每个参与者最初将他们的比特币花费到一个脚本中,该脚本只能通过所有 CoinJoin 参与者的签名或者在时间锁过期后仅通过参与者的签名来花费。或者,在协调的 CoinJoin 中,协调员和参与者必须一起签名(或者在时间锁过期后仅由参与者签名)。
期望共识变化的推测性使用: Robin Linus 在 Bitcoin-Dev 邮件列表中发布了一个想法,将资金花费到一个无法在很长时间(例如 20 年)内执行的脚本片段。如果根据当前的共识规则解释该脚本片段,将允许在 20 年后的矿工领取支付给它的所有资金。然而,该片段的设计使得共识规则的升级将给片段赋予不同的含义。Linus 举例说明,如果比特币添加了 OP_ZKP_VERIFY 操作码,将允许任何提供具有特定哈希程序的零知识证明(ZKP)的人领取资金。这可以用于创建单向锚定,在另一条链上花费等额的 BTC,并在时间锁过期后使用 ZKP 证明将 BTC 提取回主网,实现双向锚定。这种方法可能激励用户推动共识规则变化,但也可能导致其他用户感到被迫接受变化。
以太坊
MEV 相关
SUAVE 项目的演示
SUAVE 的目标是去中心化交易供应(即元游戏),它需要解决许多细节问题。以下是@socrates1024 观点:
目前在私下进行的机制可以直接转化为 SUAVE 智能合约,并提供了伪代码示例。这意味着 SUAVE 可以与现有的机制进行无缝对接。
"理想功能"是非常清晰的,但在实践中需要在链上承诺的逻辑与离链私密执行之间进行交互。实现理想功能可能需要更多的研发工作。
关键智能合约机制(如区块构建器)的伪代码示例说明了在交易供应网络中可以开放的其他不同路径/机制,并且如果符合福利效率的话,它们将被采纳。
治理重点
This Week in Governance - June 29
Hop DAO 举行了多签名签名者选举:选出了 Fourpoops、Francom、Rxpwnz、Thegreg.eth 和 Olimpio 作为新的多签名签名者。每个签名者每年将获得两次 2,250 美元的补偿,总计 22,500 美元。除了薪酬补偿外,还提议为签名者提供 gas 费用的退款,以补偿他们在 6 个月任期内实际消耗的 gas 费用。
ApeCoin 治理工作组进行了选举:从五名候选人中选出了两名管理员。AllCityBAYC 和 tigerisfine 获得了最多的支持。选举产生的管理员将从 2023 年 7 月 1 日开始为期一年。每位管理员每月将获得价值 9,000 美元的 ApeCoin 等值的补偿。
Compound 续签了与 OpenZeppelin 的安全合作伙伴关系:自 2021 年 12 月以来, OpenZeppelin 一直为 Compound DAO 提供安全服务,包括持续审计、安全咨询和监控。该提议请求以 34,118 COMP的总额形式支付下一个季度的费用。该提议以 100% 的投票赞成通过。
Frax 基金的核心发展、社区推广和赠款:Frax 提案将 450 万 FXS 抵押在 veFXS 中,为期六个月生成收益,用于资助团队扩大、引入新成员,并建立 Frax Grants+Incubator 计划。剩余的 50 万 FXS 也将用于类似的倡议。六个月后,该提案将接受另一次社区投票,以进一步分配资金,确保对 FXS 代币持有者负责。该提案以 100% 的投票赞成通过。
链上数据
Dune Digest #85
Celo:Celo 生态已经为超过 230 万用户处理了约 2.25 亿笔交易。近期用户数量显著增加,接近历史最高水平。近几周日均活跃用户超过 7 万人。根据 Celo 官方的数据,这一增长主要源自第二季度新用户的显著增加。Celo 总共创建了约 1215 万个合约,但是一直没有恢复到 2021 年底和 2022 年初的高点。
Zora Network:Zora 虽然没有达到像 OpenSea 这样的市场巨头的高度,但仍然取得了显著的成功,筹集了 6000 万美元并为 10 万多名用户提供服务。最近,他们宣布推出 Zora Network,这是一个专为数字艺术家和收藏家设计的二层网络。Zora Network 建立在 Optimism 之上,已经与 30 多个平台集成,并声称将将铸造成本降低到约 0.5 美元。Zora Network 刚刚推出几天,已经有超过 1 万个地址连接到该网络。TVL 已达到约 118 个 ETH,相当于 222,000 美元。
Sound.xyz:Sound.xyz 是在 Optimism 上推出的音乐 NFT 平台。超过 730,000 名收藏家参与,单日最高有 425,000 名收藏家。推出的同时,免费的「V Buterin」NFT 也发布了,并引起了病毒式传播。虽然在免费的 NFT 之后铸造下降,但每天仍有数百个铸造。
Solana:Solana 验证者节点的投票交易已经增长到每月10+。「真正的」非投票交易一直在小幅下降,但仍然是每月10 亿左右。Solana 上的 DeFi 交易在 2022 年第三季度下降,但已经稳定在每月 7000 万左右。NFT 活动出现增长,但自 2023 年 1 月以来,使用 NFT 市场的活跃钱包从 18 万个减少到 8 万个。游戏交易一直保持稳定,每月交易量超过 100 万。
TrueUSD(TUSD):TUSD 总供应量超过 5 亿。在 TUSD-FRAX 基础池和 TUSD + USDC/DAI/USDT 池中,Curve 上的流动性一直在急剧下降。TUSD 经历了一些锚定的波动,但总体上保持相对稳定。
其他研究和进展
Progressive path towards precompiles
作者提出了一个关于 FEM 渐进式预编译的想法。传统上,提出预编译合约一直面临一个鸡生蛋蛋生鸡的问题:在能够获得更多采用之前,必须说服客户愿意构建它们,而缺乏采用减少了这种预编译的必要性、成熟性和有用性的说服力。作者提出了一个折中方案和渐进路径,即首先将其作为非预编译合约,并在广泛采用后逐步将其提请为预编译。
New Paradigm Wallets and Tokens
这篇文章为基于以太坊的代币提出了一种新的代币设计和钱包范式。建议通过将某些功能委托给用户的智能合约钱包来简化代币合约。这种方法旨在提高用户的可玩性,减少合同风险,并改善资产管理。文章还提供了顺序图来说明目前的方法和建议的代币转移接口之间的差异,作者主张采用更简单的代币设计和更灵活的钱包范式,以增强代币交易的功能和安全性。
Visualization for builders reputation
作者讨论了导致中心化的因素,包括区块构建者从私人空间收集订单流的情况。并介绍了搜索者在选择构建者时的理性选择过程以及对新参与者和竞争的担忧。此外,文章提出了「审查即服务」的概念,强调了依赖单个主导构建者的负面影响。为解决这些问题,作者建议提供适当的监控和声誉系统,降低搜索者的信用成本,并便于向多个构建者发送数据包。
On DEX evolution (1)
去中心化交易所(DEX)经历了三代的演进:
第一代 DEX 采用储备模型,但存在流动性短缺和依赖中心化交易所价格数据的限制。
第二代 DEX 以 Uniswap 为代表,采用了自动化市场做市(AMM)机制,提供了无限流动性和透明的链上执行。
第三代 DEX 在 Uniswap 模型基础上进行改进,通过集中流动性和交易请求,减少滑点并提高资本效率。其中,DodoEX 引入了 Proactive Market Maker(PMM)算法,进一步减少了无常损失和滑点。
这些进展使得 DEX 不仅在现货交易方面成熟,而且开始探索交易衍生品、合成资产和永续期货等领域,标志着 DEX 的第四代演进的开始。这将使去中心化交易所能够提供更广泛的金融产品,与中心化交易所竞争。
Navigating Risk and Capital Efficiency
在市场周期的各个阶段,成功的协议需要保持一致、平衡的风险管理过程。过度冒险可能在牛市时看起来健康,但在市场条件不利时可能变得脆弱。与此相反,过度保守的协议可能在市场回调时表现出色,但在其他协议产生更好回报时可能不受青睐。
风险管理不是一维的,大多数决策都涉及到在风险或效率方面的目标之间的权衡。文中以一个例子说明了优化抵押率而不优化利率的协议可能面临过度借用风险的情况,而另一个同时优化利率的协议可以提供更高的抵押率而不增加风险。通过引入更先进的功能,协议可以改善其整体风险配置,实现比以前更精细的优化。综合优化参数使协议在风险容忍度下达到最大效率,这是风险管理的总体目标。
📑论文
Demystifying Just-in-Time (JIT) Liquidity Attacks on Uniswap V3(揭秘 Uniswap V3 的即时流动性攻击)
作者来自:Imperial College London
作者发现即时流动性攻击主要由少数几个机器人主导,其中最活跃的机器人 0xa57...6CF 独占攻击利润的 92%。攻击有极高的准入门槛,因为它要求对流动性的添加平均要比交换量高 269 倍。这种攻击的盈利能力较差,平均投资回报率(ROI)仅为 0.007%。攻击对现有流动性提供者造成了负面影响,其流动性份额平均被稀释了 85%。然而,攻击对流动性接收者有利,他们获得的执行价格比之前好了 0.139%。作者进一步分析了顶级 MEV 机器人的行为,并通过本地模拟评估了它们的策略。作者发现,排名第一的机器人 0xa57...6CF 发起的 27% 攻击是非最优的,因此未能捕获至少 7,766 ETH 的攻击利润。
Chaos Engineering of Ethereum Blockchain Clients(以太坊区块链客户端的混沌工程)
作者来自:Sweden and KTH Royal Institute of Technology
作者提出一种名为 ChaosETH 的混沌工程方法,用于评估以太坊区块链客户端的弹性。ChaosETH 的操作步骤如下:首先,它监视以太坊客户端,以确定它们的正常行为。然后,它逐个向一个以太坊客户端注入系统调用错误,并观察由扰动引起的行为变化。最后,ChaosETH 将扰动前、扰动期间和扰动后记录的行为进行比较,以评估注入的系统调用调用错误的影响。研究结果揭示了以太坊客户端在系统调用错误方面的广泛弹性特征,范围从直接崩溃到完全弹性。清楚地证明了将混沌工程原则应用于区块链系统的可行性。
Cryptocurrency Valuation: An Explainable AI Approach(加密货币估值:一种可解释的人工智能方法)
作者来自:Duke Kunshan University
作者提出了一种新的市场基本面比率,即价格与效用比率(PU比率),利用独特的区块链会计方法。然后,使用比特币的历史数据代理了各种现有的基本面到市场比率,并发现它们对于短期比特币收益的预测能力很小。然而,PU 比率相比替代方法更有效地预测比特币的长期收益。此外,通过机器学习验证了 PU 比率的可解释性。最后,作者提出了一种由 PU 比率指导的自动交易策略,该策略优于传统的买入持有和市场定时策略。
Tailstorm: A Secure and Fair Blockchain for Cash Transactions(Tailstorm:用于现金交易的安全且公平的区块链)
作者来自:University of Massachusetts Amherst
作者介绍了 名为 Tailstorm 的加密货币,它在安全性和公平性之间取得了平衡,以维持矿工和用户之间可持续的生态系统。用户要求快速和一致的交易确认,并为此推动了加密货币的采用和估值。矿工提供确认,但他们主要是为了获得奖励。在不公平的系统中,矿工可以通过集中挖矿算力来增加他们的奖励。然而,中心化会破坏系统的安全保证,并可能打消用户的积极性。Tailstorm 将多个最近的协议改进(涉及安全性、确认延迟和吞吐量)与一种改进公平性的新型激励机制相结合。实现了一种并行的工作量证明共识机制,每个区块中有 k 个工作量证明,以获得最先进的一致性保证。
Protecting the Decentralized Future: An Exploration of Common Blockchain Attacks and their Countermeasures(保护去中心化未来:常见区块链攻击及其对策探讨)
作者来自:Kennesaw State University
区块链技术为一系列行业的数据安全提供透明、安全和去中心化的平台。区块链的完整性和可靠性因安全威胁数量的增加而受到损害。通过总结建议的修复措施,本研究旨在提供缓解区块链攻击的全面分析。本文的目标包括识别薄弱的区块链攻击,评估各种解决方案,并确定它们在防止这些攻击方面的有效性。该研究还强调了考虑每个区块链应用程序的特殊需求的重要性。
Order but Not Execute in Order(订单未按顺序执行)
作者来自:Purdue University
该论文旨在通过探索采用差分 of-ABC 机制对交易排序以及频繁批量竞拍(FBA)进行执行来解决基于区块链的 DEX 中的一般订单操纵问题。在 of-ABC 方法中,交易提交给足够数量的区块链验证器进行排序,可以在后续交易之前或同时进行排序。然后,FBA 使用统一价格双向竞拍来执行交易,该竞拍优先考虑价格而不是交易顺序在同一批次中。为了证明按顺序但不按顺序执行的设计的有效性,作者比较了 FBA 和其连续对应物—— CLOB 下的 DEX 中的福利损失和流动性提供。此外,研究结果还表明,在市场不稀缺(即每个区块中由投资者和交易者提交更多交易)或存在较少的私人信息交易者时,FBA下的流动性提供更好。
Design of Blockchain-Based Many-to-Many Anonymous Data Sharing Scheme(基于区块链的多对多匿名数据共享方案设计)
作者来自:Middle East Technical University
作者提出了一种新颖的数据共享方案,利用可追踪环签名、多接收者密钥封装等密码技术,实现了不同群组之间加密数据的多对多共享。给出了全面的安全性分析,证明了方案在用户封装密钥下是不可区分的,并在离散对数假设下抵抗了选择明文攻击。作者还提出了该方案的实现,并通过实验结果表明该方案适用于去中心化数据共享。