Ran Yi

Kronos Research 首席運營官。

Ran Yi

Ran Yi 現任 WOOTRADE 合伙人、Kronos Research 首席運營官。此前，他參與創辦 QuattroQuant，也曾在招商銀行工作過。

Gitcoin Grants Protocol將啟動五輪Alpha測試輪:12月7日消息，Gitcoin宣布將其去中心化贈款協議Grants Protocol將在未來幾個月啟動五輪Alpha測試輪，此舉為Gitcoin Grants過渡到Grants Protocol的第一步。五輪Alpha測試輪中首輪為Gitcoin Protocol與聯合國兒童基金會創新辦公室的合作試點，于12月9日至21日進行；第二輪是Fantom基金會通過Gitcoin的贈款協議分配125000 FTM給在Fantom生態系統內建設的項目，于12月12日至進行2023年1月2日；第三輪為Gitcoin的簡化Alpha輪，分為開源軟件、以太坊基礎設施和氣候解決方案輪次，于2023年1月17日至31日進行；第四輪為Optimism追溯公共產品資助第2輪，時間為2023年1月31日至2月10日；第五輪為Alchemix將于明年2月份進行的二次投票輪次，確切日期待定。[2022/12/7 21:27:30]

安全團隊：跨鏈DEX聚合器Transit Swap因任意外部調用問題被黑，被盜資金規模超2300萬美元:10月2日消息，據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1. 當用戶在Transit Swap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的 claimTokens 函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

2. 而 claimTokens 函數是通過調用指定代幣合約的 transferFrom 函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

3. 路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

4. 而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的 calldata 內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對 calldata 數據進行具體檢查。

5. 因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的 callBytes 函數。callBytes 函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用 claimTokens 函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于 Transit Swap 協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對Transit Swap授權的代幣。

截止到目前，黑客已將 2,500 BNB 轉移到 Tornado Cash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從 LATOKEN 等平臺存提款的痕跡。慢霧 MistTrack 將持續跟進被盜資金的轉移以及黑客痕跡的分析。[2022/10/2 18:37:27]

Algorand創始人發布關于Algorand去中心化治理的提案:11月24日，Algorand創始人Silvio Micali教授發布了關于Algorand去中心化治理的提案，面向全球社區征集反饋。該提案的目標是實現Algorand的去中心化治理，并將網絡獎勵與治理模式結合起來。更確切地說，它所提出的機制和激勵措施，確保了治理模式同我們的共識協議一樣，是去中心化的、安全的和有效的。參與治理將是完全自愿的。選擇參與的賬戶，即治理賬戶，或者更簡單地說，治理人（Governor），需要將其持有的通證鎖倉一定的時間（目前暫定為一年）。對為生態貢獻的治理賬戶，應當給予獎勵。我們預計治理賬戶所獲得的獎勵將高于它們現在的網絡生態獎勵。

治理機制都應遵循以下指導原則：投票會議、投票截止日期、透明度、沒有審查、沒有垃圾信息、投票選項、投票有效性、投票權重和結果、監測、方便快捷和單獨的治理秘鑰。

治理獎勵機制提議以一種去中心化的方式來選擇治理賬戶的治理獎勵率。更確切地說，我們提議在基金會決定的參數范圍內，由治理賬戶自己通過荷蘭式拍賣的方式來決定。[2020/12/4 23:02:54]

Tags：專家 Ran Yi