ChainFeeds Selection

Share this post

PRO|提供基于 Passkey 登录机制的PasskeySigner 软件包、新型网络钓鱼安全问题

substack.chainfeeds.xyz

Discover more from ChainFeeds Selection

Discover Web3 Trends.
Over 2,000 subscribers
Continue reading
Sign in

PRO|提供基于 Passkey 登录机制的PasskeySigner 软件包、新型网络钓鱼安全问题

以及关于解决 Sovereign SDK 中软确认无效、恶意 IPFS 节点、Solidity 智能合约中的 bug 修复研究等

0xNatalie
and
Zhixiong Pan
Jun 19, 2023
Share this post

PRO|提供基于 Passkey 登录机制的PasskeySigner 软件包、新型网络钓鱼安全问题

substack.chainfeeds.xyz
Share

欢迎阅读第十期 ChainFeeds PRO Newsletter。本次内容将覆盖取代传统身份验证机制的软件包 PasskeySigner Package、只要签署一条消息资产就会被盗取的新网络钓鱼方法、Sovereign SDK 里改进基于排序的方法以解决软确认无效和审查风险,以及每周更新内容:比特币协议进展、以太坊治理相关、链上数据、最新研究和进展,和最新论文。

Passkey based Account Abstraction signer for smart contract wallets

本文介绍了一个名为 PasskeySigner 的软件包,它提供了基于 Passkey 的登录机制,用于账户抽象钱包或软件开发工具包(SDK)。PasskeySigner 扩展了 ethers 提供的抽象签名器,实现了对使用 Passkey 的区块链进行交易、消息和类型消息的签名。PasskeySigner 软件包的优势在于,简化区块链的新用户入门在使用种子短语和管理私钥方面的流程,并通过替代交易和消息签名中对外部拥有账户(EOA)的依赖,简化了智能合约钱包的集成过程。同时通过 Passkey 消除了弱密码、重复使用密码、泄漏凭证和钓鱼攻击等问题,还可以扩展到不具备生物识别扫描功能但支持可信执行环境(TEE)的设备上。

Got stolen after signing a message? Those who have used Uniswap, please be careful! Let Beosin demystify Permit2 phishing

过去两个月中出现的一种新的网络钓鱼方法。只要你签署一条消息,你的资产就会被盗取,这种方法非常隐蔽,很难预防。与 Uniswap 进行交互的地址可能面临风险。在这篇文章中,Bocai 和 Beosin 将分析这种签名钓鱼行为,并尝试帮助大家避免资产损失。

Based Sequencing with Soft Confirmations

构建 zk-rollup的 Sovereign SDK 开源工具包中,模块系统是一个用于定义状态转换函数的工具集合。在模块系统中,基于排序的方法在提供软确认的同时会引入软确认无效和审查风险等。作者提出了改进方法来解决可能导致软确认无效的全局状态变化的问题。首先提出了确保某个集中的序列器始终在每个 DA 层槽中获得第一次执行权的方法。然而,这种方法容易受到审查的影响,因为希望提取套利的区块提议者可以对首选序列器进行审查。为了消除审查的动机,文章提出了更智能的方法:模拟多个提议者。不再返回到集中排序,而是要求多个 DA 层块提议者共同合作以有效地实施审查,同时鼓励每个提议者从联盟中脱颖而出。这样,非审查将成为区块提议的主导策略,减少了审查风险,并增加了系统的公平性和安全性。


比特币协议进展

Bitcoin Optech Newsletter #254

使用 MATT 复制 CTV 和管理 joinpool:Johan Torås Halseth 发表了一篇关于如何利用 Merklize All The Things(MATT)提案中的 COCV 操作码复制 OP_CHECKTEMPLATEVERIFY 提案功能的帖子。对于提交具有多个输出的交易,每个输出都需要使用不同的 COCV 操作码。相比之下,单个 CTV 操作码可以承诺所有输出。这使得 COCV 不太高效,但正如他所指出的,这种方法足够简单而引人关注。此外,Halseth 还提供了使用 Tapsim 的操作演示。在另一个主题中,Halseth 还发表了关于使用 MATT 和 OP_CAT 创建 joinpool(也称为 coinpool 或 payment pool)的帖子。同样,他提供了使用 Tapsim 的交互式演示。他还根据他的实验实现结果对 MATT 提案中的操作码提出了几个建议修改。

PS:推荐一个查找比特币研究相关文章的网站:https://bitcoinsearch.xyz/


以太坊

MEV 相关

Builder Dominance and Searcher Dependence

作者研究了以太坊构建者生态系统中搜索者流量和构建者市场份额之间的关系。研究发现,市场份额较大的构建者吸引了更多的搜索者提交,而市场份额较小的构建者面临着获取流量和建立信任的困难。为了消除搜索者流量差异,对市场份额进行归一化处理,发现如果这些较小构建者拥有类似的流量,它们可能能够与较大的构建者竞争。此外,研究还揭示了搜索者的提交偏好,大部分搜索者会向多个构建者发送提交。

ZK 相关

An Introduction to Zero-Knowledge Proofs in Blockchains and Economics

零知识证明(ZKP)的好处是隐私和降低验证声明正确性的成本。ZKP 在区块链应用中被越来越多地采用,在隐私和效率方面仍有很大的改进空间。本文阐述 ZKP 是什么以及它如何提高隐私和效率,并描述区块链和其他用例的应用程序。

治理重点

This Week in Governance - June 15

  • Uniswap v4 的愿景:Uniswap v4 是下一个版本的协议,引入了可自定义合约「hooks」,使开发者能够在池的生命周期内修改交换和费用等方面的各个方面。这种定制化为创新功能提供了机会,如时间加权平均市场制造商(TWAMM)、动态费用、链上限价订单等。Uniswap v4 采用单例合约架构,将所有池合并到一个单一合约中,从而实现了显著的燃气节省和提高效率。新版本还引入了「flash accounting」系统,以实现更高效的资产转移。Uniswap v4的治理将由社区驱动,并且代码将根据 Business Source License 1.1 发布,该许可证在四年后转换为 GPL 许可证之前限制商业使用。协议费用机制将遵循 Uniswap v3 的模式,允许治理投票将费用添加到池中。

  • 法院裁定 Ooki DAO 是「人」:2023年6月9日,CFTC 在 Ooki DAO 诉讼中取得重大胜利。美国地方法官威廉·H·奥里克(William H. Orrick)对被告 Ooki DAO 进行了默认判决,CFTC 指控 Ooki DAO 经营非法交易平台并非法充当期货佣金商。法院命令 Ooki DAO 支付 64.3542 万美元的民事罚款,实施永久性交易和注册禁令,并要求关闭 Ooki DAO 的网站并从互联网上删除其内容。此判决将 Ooki DAO 定义为商品交易法案下的「人」,使其对被指控的违规行为负有责任。

  • Polygon 2.0 的推出:Polygon Labs 于 6 月 12 日 宣布 Polygon 2.0,旨在通过对 Polygon 生态系统的协议架构、通证经济学和治理等各个方面的升级,进一步实现创建「互联网的价值层」的目标。价值层被设想为一种基础协议,能够支持去中心化金融、数字资产所有权和新的协调机制。Polygon 2.0 计划通过由跨链协议连接的 ZK 驱动的 L2 实现无限的可扩展性和统一的流动性。

链上数据

Dune Digest #83

  • Optimism 的 Bedrock 升级:Optimism 完成了 Bedrock 升级,旨在降低交易费用、提高交易速度以及增强模块化和互操作性。通过智能数据压缩,Bedrock 已经显著降低了交易费用,平均每笔交易节省了 56.6% 的费用。此外,该升级还改进了交易在主链和 Rollup 之间的传输延迟,并通过代码复用实现了模块化证明系统,同时提高了节点性能。

  • Helium Network 的迁移:Helium Network 迁移到了 Solana。迁移后,可以通过 Solana 的解码数据来了解网络的使用情况。数据信用是用于支付数据传输的,最近几周网络使用引起的数据信用消耗逐渐增加。

  • Raft Finance 推出了一种名为 R 的新稳定币:以抵押的以太坊(stETH)为支持。目前,R的供应量接近 1700 万美元,增长了近 300 万美元。协议的总锁定价值(TVL)约为 2660 万美元,同时提供了使用 stETH 作为抵押品进行借贷的选项。

  • ERC-6551 标准:ERC-6551 是一种新的 NFT 标准,为 NFT 添加了智能合约功能,该标准允许 NFT 持有其他资产,在链上与其他实体进行交互,并进行交易和合约操作。目前对该标准的采用仍处于初级阶段。

其他研究和进展

Aggregating pairings with SIPP in plonky2

本文介绍了一种名为 SIPP(Statistically sound Inner Pairing Product)的方案,用于高效计算多个配对操作的乘积。它的目标是让验证者能够有效地计算配对结果的乘积。该方案通过将配对操作分解为多个步骤,并利用递归证明进行聚合,以提高计算效率。

Hybrid Rollup - The Next-Generation Infrastructure

这篇文章总结了三个项目Aztec、Miden 和 Ola 在 Hybrid Rollup 技术方面的研究和实践。Hybrid Rollup 是一种第二层扩展解决方案,具有可编程性和支持公共、私有和混合合约类型的特点。这些项目使用自定义的智能合约语言来支持开发 DApp,并采用不同的状态树设计来维护公共状态和私有状态。在隐私设计方面,它们提供了不同程度的隐私保护,包括可追踪性和不可追踪性的隐私方案。

Cascading Network Effects on Ethereum’s Finality

作者研究发现,最终性事件会导致节点之间的连接中断,节点处理旧的证明信息和存储验证者质押造成 CPU负载过高,进而影响了验证者的工作效率和信息传输速度。研究还表明,最终性事件对用户的交易体验几乎没有影响,包括交易的包含时间和交易成本,这可能是因为最终性事件的持续时间相对较短。因此,文章建议继续监测和分析这些事件,以确保以太坊网络的最佳用户体验。


📑论文

SoK: Blockchain Decentralization(SoK:区块链去中心化)

作者来自:Duke University

作者通过综合分析现有研究,建立了一个分类体系,用于分析区块链在共识、网络、治理、财富和交易等方面的去中心化。研究发现,目前对于除共识去中心化以外的其他方面研究相对较少。作者还提出了一个指数来度量和量化区块链在不同方面的去中心化水平。并提供替代指数的定义和讨论,包括基尼系数、中本聪系数和赫芬达尔-希尔斯曼指数等,通过将提出的指数应用于对 top DeFi 应用的实证研究,展示了描述性、预测性和因果推断等科学方法在研究区块链去中心化方面的作用。

Front-running Attack in Distributed Sharded Ledgers and Fair Cross-shard Consensus(分布式分片账本中的抢先攻击与公平跨分片共识)

作者来自:Purdue University、Sun Yat-sen University、The Hong Kong Polytechnic University

作者提出了一种名为 Haechi 的新型跨分片协议,旨在解决分片系统中的交易排序操纵和「front-running」攻击的安全问题。Haechi通过引入排序阶段,确保交易的执行顺序与处理顺序一致,并采用「finalization fairness」算法实现全局公平顺序。该协议能够提供强一致性,同时支持并行处理冲突交易。实验结果表明,Haechi 在实现「finalization fairness」时性能损失较小。

Demystifying Fraudulent Transactions and Illicit Nodes in the Bitcoin Network for Financial Forensics(揭开比特币金融取证网络中欺诈交易和非法节点的神秘面纱)

作者来自:Georgia Institute of Technology

作者提出了一种应用数据科学的综合方法来检测比特币网络中的欺诈行为。首先,他们扩展了 Elliptic 交易数据集,创建了 Elliptic++ 数据集,包括 822,000 个比特币钱包地址(节点),每个地址有 56 个特征和 1.27M 个时间交互。这使得他们可以通过利用四种类型的图数据来检测欺诈交易和非法地址。其次,使用多样的机器学习算法对这四种图进行欺诈检测任务。

MARTSIA: Enabling Data Confidentiality for Blockchain-based Process Execution(MARTSIA:为基于区块链的流程执行启用数据保密性)

作者来自:Sapienza University of Rome

区块链技术可以促进商业流程的自动化、公开透明,但同时也违反了企业环境中的典型保密要求,从而阻碍了区块链在流程自动化方面的利用。在本篇论文中,作者提出了一种名为 MARTSIA 的多权威交易系统互操作应用的方法。MARTSIA 在消息部分的级别上实现了对流程数据的精确控制。基于多权威属性加密(MA-ABE),MARTSIA 实现了一些理想的属性,包括保密性、透明度和可审计性。作者在概念验证的原型中实现了他们的方法,并在供应链管理领域进行了案例研究。此外,还展示了将 MARTSIA 与最先进的基于区块链的流程执行引擎集成,以保护数据流。

An Empirical Study on Real Bug Fixes from Solidity Smart Contract Projects(关于 Solidity 智能合约项目真实错误修复的实证研究)

作者来自:Sun Yat-sen University

为了理解实际项目中的 bug 修复情况并丰富对于这方面的研究,本论文对 46 个 Solidity 智能合约项目的历史 bug 修复进行了实证研究。论文提供了多方面的讨论,并主要探讨以下四个问题:文件类型和数量、修复复杂度、bug 分布和修复补丁。并总结了四个发现。最后,基于这些发现,论文从自动修复技术、分析工具和 Solidity 开发者三个方面提出了可操作的改进建议,以改善 Solidity 智能合约中的 bug 修复方法。

What's inside a node? Malicious IPFS nodes under the magnifying glass(节点里面有什么?放大镜下的恶意 IPFS 节点)

作者来自:Athens University of Economics and Business

InterPlanetary File System(IPFS)是一种最有前景的去中心化离链存储机制,特别适用于区块链,旨在永久存储内容。除了 IPFS 提供的网络功能外,评估节点的质量,即分析和分类节点软件和数据,对于减轻可能的风险和利用 IPFS 至关重要。为此,该研究在一个月内对 IPFS 节点进行了三个每日快照,并通过威胁情报数据对每个节点(按IP地址)进行了个体分析。通过以上分析,研究者能够量化潜在的恶意和/或被滥用的节点数量。这些结果使得作者考虑使用过滤器来隔离网络中的恶意节点,将这种方法实现为原型,并用于评估其有效性。

Parallel and Asynchronous Smart Contract Execution(并行和异步智能合约执行)

作者来自:University of California、University of Waterloo

作者提出了一种区分共识节点和执行节点的新范式:不同组的执行节点可以并行执行交易,而共识节点可以异步排序交易并处理执行结果。此外,该范式不需要执行节点之间的协调,并且可以有效地防止活锁的发生。论文展示了如何将该范式应用于区块链的两种方式。首先,论文展示了如何在没有硬分叉的情况下使以太坊支持并行和异步的合约执行。然后,论文提出了一种新的公共、无权限的区块链。基准测试显示,通过快速的共识层,该区块链可以提供高吞吐量。

SmartBugs 2.0: An Execution Framework for Weakness Detection in Ethereum Smart Contracts(SmartBugs 2.0:以太坊智能合约中弱点检测的执行框架)

作者来自:University of Lisbon

缺乏公认的基准套件和性能指标使得难以比较和评估智能合约分析工具。此外,这些工具在接口、报告和运行时需求上存在异质性,安装多个工具耗时。为了解决这些问题,该论文提出了 SmartBugs 2.0,一个模块化的执行框架。它提供了一个统一的接口,支持 19 个针对智能合约分析的工具,并接受 Solidity 源代码和 EVM 字节码作为输入。通过社区的接受度评估框架,并通过描述其在涉及 325 万次分析的研究中的作用来说明其可扩展性。

Thanks for reading ChainFeeds Selection! Subscribe for free to receive new posts and support my work.

Share this post

PRO|提供基于 Passkey 登录机制的PasskeySigner 软件包、新型网络钓鱼安全问题

substack.chainfeeds.xyz
Share
Comments
Top
New
Community

No posts

Ready for more?

© 2023 ChainFeeds
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great writing