今日关注：
【安全】Solana 生态去中心化金融平台 Mango 遭到攻击
【观点】Vitalik：三种 Rollup 信任最小化或去信任化方案
【研究】全方面解析 Polygon zkEVM
【研究】解析跨链流动性统一模型 SLAMM
【工具】盘点 7 个实用 NFT 工具

👉 更多加密领域实时信息流可至 chainfeeds.xyz 浏览。

🥭 Solana 生态去中心化金融平台 Mango 遭到攻击，损失超 1 亿美元

Mango: 事件经过：2 个由 USDC 提供资金的账户在 MNGO-ERP 中持有过高头寸；各个交易所的 MNGO/USD 底层价格在几分钟内出现了 5 至 10 倍的价格上涨，导致 Switchboard 和 Pyth 预言机将其 MNGO 基准价格更新为 0.15 美元以上，进一步导致了未实现利润，使做多 MNGO-ERP 的账户价值按市价计算增加。允许账户从 Mango 协议中借入并提取 BTC（sollet）、USDT、SOL、mSOL 及 USDC，使得平台上 1.9 亿美元等值存款的借贷额度达到最大值，当时该账户提取的净值约 1 亿美元。随后，Mango 程序指令被冻结以防止任何用户进一步与协议交互。截止目前，任何在协议上拥有存款的用户都无法提取资产。【原文为英文】（ 来源 ）

Mango: 与此事件有关的各方都已在 MangoDAO 上进行了沟通，并表示愿意进行谈判。Mango DAO 的优先事项是：1）防止进一步不必要的损失；2）确保 Mango 协议的存款人得到补偿；3）挽回 Mango DAO 和协议的一些价值以便重建。我们认为最具有建设性的方法是继续与对事件负责并控制从协议中移除的资金的人进行沟通，以友好地解决问题。【原文为英文】（ 来源 ）

sec3: 攻击者地址之一：https://explorer.solana.com/address/yUJw9a2PyoqKkH47i4yEGf4WXomSHMiK7Lp29Xs2NqM【原文为英文】（ 来源 ）

深潮 TechFlow: 又是一场黑客的胜利！攻击者用 500 万美元利用预言机操纵攻击，短暂地飙升了抵押品价值，借入了大量债务头寸，然后留下了大部分毫无价值的抵押品。熊市，黑客的表演时间。（ 来源 ）

0xAA: Mango 被黑分析：1）这不是简单的合约漏洞，而是经济模型漏洞，有点像去年 BSC 上的借贷平台 Venus 被黑。；2）黑客动用了 1000 万 USDC 发动攻击，获利约 1 亿 u，也是下了血本的；3）黑客短时间买入了大量 Mango，将币价从 $0.038 拉到 $0.91，然后通过借贷，将协议内的其他代币借走。4）黑客哪来的这么多钱？黑客拥有两个账号，使用账号 A 500 万 u 作为抵押铸造了很多 Mango 永续合约卖单，账号 B 用 500 万 U 去买 Mango 永续合约，并拉高币价，最高时价值 5 亿 u。此外 Mango 的 DAO 金库和存款保险加起来还有 6000 万 USDC，很有钱。所以投资者大概率不会归零，清盘的话能退 60% 的资金，看项目方厚不厚道了。（ 来源 ）

ChainFeeds: Mango 攻击者发起社区提案表示，Mango 财库大约有 7000 万美金可用于偿还坏账，所有没有坏账的用户都将得到补偿，而坏账将被视为漏洞赏金，由 Mango 财库支付。如果提议通过，且在返还代币后不会追究任何刑事责任或冻结资金，我将会把这个账户中的 MSOL、SOL 和 MNGO 发送至 Mango 团队公布的地址。【原文为英文】（ 来源 ）

🐵 媒体：美国证券交易委员会正对 Bored Ape Yacht Club 创建者 Yuga Labs 就是否发行未注册产品进行调查

j1mmy.eth: 美国证券交易委员会对 Yugalabs 的调查是 NFT 和 Web3 采用的一个必要步骤，我希望调查结束后他们的品牌会更加强大。【原文为英文】（ 来源 ）

Mel: 我认为这真的很不正常。他们选择绕过适当的清晰和公平的监管途径，通过执法进行监管，这对任何合法机构都没有好处。【原文为英文】（ 来源 ）

🐦 以 Moonbirds 为例，什么样的 NFT 有被视为证券的政策风险？

Grant Griffith: 严格按照 Howey 测试定义来看时，Moonbirds 似乎确实符合证券的定义。1）这是金钱的投资 —— 是的。Moonbirds mint 筹集了近 6000 万美元。2）在一个普通的企业 —— 可能是。成千上万的投资者参与了 mint，该项目的成功取决于创始人的行动。3）带着对利润的期望，并主要来自他人的努力 ——Moonbirds 创始人 Kevin Rose 明确表示，从 mint 筹集的资金将用于创造一种产品，并为 Moonbirds 社区提供价值。这样的关系很危险，离满足证券要求只有一步之遥。（ 来源 ）

Grant Griffith: 如果一个项目的 NFT 被认为是未注册的证券，并且在其他方面不符合注册豁免，那么后果很严重。SEC 可以采取执法行动，每个购买 NFT 的投资者都可能对未经注册的证券销售提起诉讼。最初出售 NFT 的创始人将承担责任，一旦有任何资金损失，他们将让投资者承担全部责任。（ 来源 ）

Grant Griffith: 在 SEC 就目前的项目提供具体审核标准之前，我们只能猜测哪些 NFT 可能被视为证券。有些类型，如出售碎片化 NFT （即单个 NFT 的部分 / 可替代权益），目前已经在 SEC 的关注范围内，存在一定程度的风险。（ 来源 ）

🗣 Vitalik：三种 Rollup 信任最小化或去信任化方案

Vitalik Buterin（以太坊联合创始人）: 1）借助高阈值的治理机制来决定对代码的重写（override）。譬如通过 6/8 的多签方案来决定是否对代码中出现的某个 Bug 进行重写，这种高阈值的治理方案可以达到一定的信任最小化，但仍存在共谋的风险。（ 来源 ）

Vitalik Buterin（以太坊联合创始人）: 2）多个证明人（multi-provers）。借鉴以太坊上的多客户端机制，采用多证明系统（欺诈证明的多种实现，或者 zkEVM 的多种实现），以预防网络的宕机情况。（ 来源 ）

Vitalik Buterin（以太坊联合创始人）: 3）两个证明人（欺诈证明 vs. zk 证明）再加上治理小组，实行 2/3 保证机制（two-provers plus governance tie break）。该方案的优点是：不必信任治理；当一个证明系统出现漏洞，另一个系统不受影响；理想情况下，两个证明程序应该具有非常不同的结构，以最小化同时出现漏洞的机会。（ 来源 ）

🤔【英文】一文解析 Polygon zkEVM 的安全性、稳定性及市场竞争力

DinoEggs.eth: Polygon 目前拥有四个 ZK rollups：zkEVM、Miden、Nightfall 和 Zero，每个都有不同的设计，但都从根本上使用相同的 ZK 原语并继承了以太坊的安全性。但 Polygon zkEVM 在技术上并不是作为 Rollup 开始，而是一个 validium 或 volition。这意味着 Polygon zkEVM 不会被以太坊完全保护，当 validiums 和 volition 在链外发布交易数据时，它们会继承额外的信任假设。此外，Polygon 团队还没有决定 Polygon zkEVM 是否会以 Rollup 的方式引入，或使用混合模式。【原文为英文】（ 来源 ）

DinoEggs.eth: Polygon zkEVM 的竞争维度：1）性能和成本：Polygon zkEVM 与 EVM 兼容的 L1 在短期上确实存在性能和成本方面的竞争，但 L1 需要大幅提高费用才能保持高性能和低成本的优化，否则就有可能无法持续。Polygon zkEVM 在成本和性能上的真正竞争者是其他 EVM 等效的 Rollup，包括 Scroll 及 Optimism；2）安全性：远比 L1 好，且与其他 Rollup 基本相同；3）开发者经验：最终性上而言，ZK Rollup 比 Optimistic Rollup 具有更快的本地最终性，根据 Vitalik 最近发布的文章，将 ZK EVM 分为四类，第一种类型最兼容 EVM，而 Polygo zkEVM 属于第三类。【原文为英文】（ 来源 ）

📑 A&T Capital：简析现有 NFT 借贷模式优缺点，并引入新的 Peer-to-Orderbook 模式

Liam（ANT Capital）: 借贷协议主要解决三个问题：一是高效地匹配、撮合资金供求双方；二是安全地保管抵押品；三是借款人违约时按约定处置抵押品。现有的 Peer-to-Pool 模式和 Peer-to-Peer 模式没能解决好第一个问题，它们的撮合效率都不高，要么隐性资金成本高，要么时间成本高。（ 来源 ）

Liam（ANT Capital）: Peer-to-Pool 模式的优点在于时间成本低，能够实现「Instant Borrowing」，缺点在于隐性资金成本高且依赖预言机报价。Peer-to-Peer 模式的优点在于隐性资金成本低且无需预言机报价，缺点在于时间成本高。（ 来源 ）

Liam（ANT Capital）: 设想一种兼顾两者优点的 Peer-to-Orderbook 模式。例如，可以将抵押品、可贷金额上限和期限相同但利率不同的订单集中到一个订单簿上，让借贷双方在不同利率水平上竞价并进行撮合，从而降低隐性资金成本和时间成本，实现更高匹配效率。（ 来源 ）

🔍【英文】Delphi Labs：深度解析跨链流动性统一模型 SLAMM

Delphi Labs: SLAMM 旨在通过在多个链上共享流动性来改善交易执行和 LP 回报，同时改善早期方法的缺点。SLAMM 的设计主要考虑了以下目标：1）在 SLAMM 「卫星（satellite）」上进行的交易能够与其他 DeFi 原语同步组合；2）流动性提供者无需承担不必要的价格风险；3）交易员和流动性提供者只需要与「卫星（satellite）」进行互动，尽量减少额外的用户体验复杂性。【原文为英文】（ 来源 ）

Delphi Labs: 通过使用协调的应用链「Hub」、虚拟流动性池和其他链上的「卫星」部署，理论上 SLAMM 将跨越相互隔离的跨链池优化流动性。Hub 作为协调者，协调所有 AMM 卫星之间的流动性，检测和预测哪个 AMM 部署后拥有最多交易量，并在不同链上的池子之间转移流动性。如果流动性被用于某个特定交易，该流动性的提供者将以交易费的形式得到补偿。Hub 还负责在链上转移真实代币以结算卫星上的实际流动性，它还将决定哪些跨链池应该是同一捆绑包或池控制器的一部分。【原文为英文】（ 来源 ）

Delphi Labs: SLAMM 治理包括：1）批准 CosmWasm 部署以在其他链上建立卫星 DEX；2）将单个池添加到共享跨链池控制器中；3）确定可接受的 IBC 代币路径；4）为一般池和特定池设置价格曲线；5）根据需要调整优化算法；6）修改参数更新界限。【原文为英文】（ 来源 ）

Delphi Labs: SLAMM 架构目前是概念性的，但它提出了有趣的挑战，值得进一步研究。最直接的是探索黑天鹅 Hub 链暂停的缓解措施，如果这种情况发生，流动性提供者必须能够在无需 Hub 任何协调的情况下撤回一系列卫星上的流动性。此外，还可以改进拟议的跨链补充流动性方法，特别是对于波动性资产池。最后，应该探索一种整合非 Cosmos 的模式。【原文为英文】（ 来源 ）

⚒️【英文长推】一文盘点 7 个 NFT 工具：Degenmint、Traitsniper、NFTinspect......

Corleone: 1）Icy.tools（https://icy.tools/）：具有实时洞察功能，可以发现热门 NFT 趋势，且集成了 NFT 铸造情况、日历及警报功能；2）Degenmint（https://degenmint.xyz/sign-in）：主要用户群体是风险偏好较高的投资者，完全免费，支持用户关注 NFT 持有者，便于追踪；【原文为英文】（ 来源 ）

Corleone: 3）Traitsniper（https://www.traitsniper.com/）：NFT 特征分析机器人，可以扫描 NFT 系列并进行排名，还集成了 NFT 交易功能；4）NFTinspect（https://www.nftinspect.xyz/）：可以帮助分析 NFT 在推特上的活跃程度、社区关注情况及持有者；【原文为英文】（ 来源 ）

Corleone: 5）Uniq.cx（https://uniq.cx/）：免费分析工具，具有独特的 K 线图表，可以自动帮助用户计算回本价格；6）Tokun（https://www.tokun.app/）：提供限价订单功能，且能够自动生成钱包，支持以太坊与 Solana 生态系统；7）NFTbank（https://nftbank.ai/）：NFT 投资组合管理工具。【原文为英文】（ 来源 ）

🔐【长推】为什么通过审计的项目还是会被攻击？谈谈安全审计的意义

Haotian: 安全审计基于已有工具，利用已有经验进行逻辑审查，扫除代码缺陷，排查诸如溢出、重放、验签等常规漏洞。但 DeFi 等协议难的并非代码，而是复杂的金融业务逻辑，比如流程管控，外部组合嵌套，市场操纵等，超出安全公司的业务范畴。（ 来源 ）

Haotian: 区块链生态存在形形色色的组合，开源 + 非开源，已审计项目 + 非审计项目，链下 validator + 链上执行等等，很多项目给安全公司的审计也都只是模块化展开，比如审计开源的部分。项目本身在安全防御 + 加固 + 应急响应上的低投入才是安全事件屡见不鲜的根本原因。（ 来源 ）

Haotian: 我们预期的生态是，项目自身安全防护 + 第三方安全审计预防协助 + 用户人人皆有安全意识，行业从根本上变得更「安全」。安全生态需要每一个参与者共同守护。（ 来源 ）

感谢对 ChainFeeds 的陪伴，我们会根据读者的需求持续优化产品，如果有建议及想法，欢迎与我们交流，关注 ChainFeeds 推特与我们互动。如果你觉得 ChainFeeds 正在做的事情对你有帮助，别忘记分享 chainfeeds.xyz 给一同坚持在熊市阅读成长的小伙伴！