原文标题:《SovereignrollupsonBitcoinwithRollkit》
原文作者:Rollkit
原文编译:Kate,Marsbit
上周,我们介绍了Rollkit,这是一个用于rollup的模块化框架。今天,我们自豪地宣布Rollkit是第一个支持比特币主权rollup的rollup框架。早期的研究实现允许Rollkitrollup使用比特币来提供数据可用性。
Rollkit为开发人员打开了一扇大门,他们可以创建带有任意执行环境的rollup,这些环境继承了比特币的数据可用性保证和重组阻力。通过新的集成,现在可以在比特币上作为Rollkit主权rollup运行EVM。比特币的主权rollup不仅扩大了rollup的可能性,而且有可能帮助引导一个健康的比特币区块空间费用市场,从而实现更可持续的安全预算。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
TL;DR
安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]
通过Rollkit新的早期研究集成,使用比特币进行数据可用性的主权rollup现在已经成为现实。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
接下来是在比特币上作为主权Rollkitrollup运行的EVM的演示。
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
由于比特币的Taproot升级和Ordinals使用比特币发布任意数据,实现成为可能。
用Taproot发布比特币数据
2023年2月1日,Luxor矿池挖出了有史以来最大的比特币区块(#774628),大约4MB。大部分区块空间被用于用Ordinals来嵌入一个TaprootWizardsNFT,这是一个通过在链上发布图像数据来实现比特币NFT的项目。
比特币NFT使用Taproot见证来记录任意数据,这是通过比特币的Taproot升级实现的。Taprootwitnesses提供了比SegWit交易稍微好一点的有效载荷与数据的比率。一个标准交易最多可以包含大约390kB的任意数据,同时仍然通过公共内存池。矿工直接包含而不通过内存池的非标准交易可以包含接近4MB的任意数据。简而言之,有了SegWit,将大量数据发布到比特币区块链变得可行。
从那时起,Ordinals用于NFT铭文和Taproot的使用开始了。EricWall发现,在他发推文的时候,发布比特币数据比以太坊便宜7倍。现在比特币上有成千上万的铭文,很明显,比特币上的主权rollup和dapp生态系统可能成为现实。缺失的部分是:一个可以轻松集成比特币作为数据可用性层的rollup框架。
将比特币作为数据可用性层集成到Rollkit中
Rollkit是一个用于rollup的模块化框架,开发人员可以在其中插入自定义执行层和数据可用性层。最初,Rollkit只支持Celestia作为数据可用性和共识的选项。现在,得益于Rollkit的比特币数据可用性模块的早期研究实现,比特币成为了一种选择。在这种情况下,主权rollup管理自己的执行和结算,同时将共识和数据可用性卸载给比特币。
rollkit-bitcoin-rollup
Rollkit如何向比特币发布数据
为了在比特币上读写数据,我们使用了Taproot交易。为了促进这一点,我们实现了一个名为bitcoin-da的Go包,它为比特币提供了一个读取器/写入器接口。关于接口如何工作以及如何使用Taproot的详细信息,请参见规范。任何想要在比特币上读写数据的项目都可以重用该包。
Rollkit是以模块化为核心构建的。它有一个数据可用性接口,因此开发人员可以简单地实现特定的方法来添加新的数据可用性层。要添加数据可用性层,实现者需要满足定义数据可用性客户端行为的DataAvailabilityLayerClient接口,以及定义如何同步块的BlockRetriever接口。这些接口位于da包中。这些接口中最重要的方法是用于读写块的SubmitBlock和RetrieveBlock。
在为比特币(bitcoin-da)实现了Taproot读写器接口之后,将其添加为Rollkit的数据可用性模块只花了不到一天的时间。我们基本上只需要为Rollkit实现SubmitBlock和RetrieveBlocks函数来调用bitcoin-da中的Read和Write方法。
rollkit-bitcoin-rollup-2
比特币演示中的EVM
Rollkit支持自定义执行层,包括EVM、CosmWasm或CosmosSDK。为了测试集成,我们使用Rollkit在本地比特币测试网络上运行EVM(使用Ethermint)作为主权rollup。请看下面的演示。
https://youtu.be/qBKFEctzgT0
结论
随着我们走向未来,主权社区将围绕不同的应用程序形成,要求他们承担部署第1层区块链成为主权的高成本和开销是不可持续的。主权rollup解决了这个问题,它使得部署一个主权链成为可能,该链继承了另一个第一层链(如比特币)的数据可用性和共识。
我们使用Rollkit的目标是使构建和定制rollup变得容易。我们邀请您试用Rollkit并在比特币上构建主权rollup,或使用不同的执行环境和数据可用性层自定义Rollkit。有关如何使用比特币数据可用性模块运行Rollkit的详细信息,请参阅此处的说明。请记住,集成是早期的研究实现,还没有准备好投入生产!
模块化,而不是最大化。
作者:TheReadingApe?编译:深潮TechFlow前言:在今年即将结束之际,Vitalik?Buterin再次来到?Bankless?的播客.
原文来源:Sullivan,ZonffPartners?投资总监,Twitter:@devicex_w在和一些Web3游戏开发者沟通后.
原文标题:《NFTRentalinWeb3Gaming》撰文:DoubleProtocol、Winkrypto编译:Frank.
作者:DanielLi,CoinVoiceLayer2明星项目Optimism代币OP在过去的一周内出现了大幅涨幅,相较于最低点位的0.98$,最高时涨到了1.39$,涨幅超过了40%.
原文标题:《TheDecentralizedScienceEcosystem:BuildingaBetterResearchEconomy》撰文:StephanieDunbar、StephenB.
NFT聚合市场Element推出ElemetasPassNFT,持有者将获得以下权益:1.通过NFT质押获得ELE空投;2.直接获得ElementVIP4等级用户专属权益;3.获得ELEDAO生.