简析 Aptos 公链：PayPal 投资、Facebook 成员打造的项目有何不同？

作者：律动BlockBeats

想要创建一个可快速创新且适应性强的区块链来满足当今和未来数十亿人的需求。期望用户体验在安全性和可扩展性方面能得到明显的改善。使区块链对普通用户，尤其是非加密原生用户来说更具适用性，以加快互联网用户对web3的采用。

团队背景与项目起源

Aptos于2021年创立，总部位于加利福尼亚州的帕洛阿尔托，主要领导者MoShaikh与AveryChing也曾是Diem与Novi的主要构建者。

Meta踏足加密领域遇到坎坷重重，许多项目一度停摆，不少成员离开Meta，后继续投身加密领域。MoShaikh与AveryChing亦是如此，在Diem被阻止启动后离开了Meta，与许多Diem和Novi的初创造者、研究人员、设计师和建造者等核心开发人员聚集在一起，在开源的Diem代码库的基础上建立了一个名为Aptos的新网络。

当前许多Aptos的团队成员曾在Meta工作，这意味着Aptos团队有丰富的大规模开发和部署系统的经验，且Aptos使用团队成员同样熟悉Move语言，成员不必增加新的学习成本。

Beosin：UVT项目被黑客攻击事件简析，被盗资金已全部转入Tornado Cash:金色财经报道，据Beosin EagleEye 安全预警与监控平台检测显示，UVT项目被黑客攻击，涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

经Beosin安全团队分析，发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法，该方法会调用被攻击合约的0x7e39d2f8方法，因为合约具有Controller权限，所以通过验证直接转走了被攻击合约的所有UVT代币，Beosin安全团队通过Beosin Trace进行追踪，发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]

据Aptos披露，联合创始人AveryChing是构建分布式系统的世界领先专家之一，除其以外，还有AldenHu、AlinTomescu、DahliaMalkhi、DavidWolinsky、GregNazario、JakeSkinner、JoshLind等许多由博士、研究人员、工程师、设计师和战略家组成的其他团队成员。

安全团队：Audius项目恶意提案攻击简析，攻击者总共获利约108W美元:7月24日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Audius项目遭受恶意提案攻击。成都链安安全团队简析如下：攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址，随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过，该提案允许向攻击合约转账1,856w个AudiusToken，随后攻击者将获得的AudiusToken兑换为ETH，总共获利约108W美元，目前获利资金仍然存放于攻击者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

Aptos将部分建立在其团队成员过去三年中公开开发的技术之上，计划在安全性、可扩展性以及可升级性三方面着手进行部署。

安全性

Move编程语言

在语言上，Aptos使用的是最初为Diem开发的Move编程语言，Move语言专为在区块链上进行安全资源管理和可验证执行而设计。三年前，这些工作人员同时开发了区块链和Move语言。当前账户、交易费用、标准库、验证节点管理和配置都通过Move实现。Move被很多?誉为Diem最大的创新。

慢雾：Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报，Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下：

1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。

2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。

3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。

4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。

针对该事件，慢雾给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]

众所周知，以太坊的Solidity是当前开发者最常用的语言之一，功能强大具有良好的可扩展性。Move与其相比，安全性较为突出，从底层内存和智能合约编程的代码层面，提供了非常强大的安全保证。

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

Hotstuff共识衍生品

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

Aptos提出其开发了生产级、高保证、低延迟的拜占庭容错(BFT)引擎，在过去三年中，实施了共识协议的第四次迭代。HotStuff是一种基于领导者的拜占庭容错复制协议，用于部分同步模型。一旦网络通信变得同步，HotStuff使正确的领导者能够以实际网络延迟的速度推动协议达成共识。

Aptos团队在私有主网环境中升级了共识协议，添加了一个主动起搏器，使用超时来同步验证器，远快于等待增加的超时，区块只需两次网络往返即可提交，实现了亚秒级的最终确定性。且Aptos的声誉系统无需任何人为干预，即可分析链上状态并自动更新领导者轮换，适用无响应的验证者。协议清楚地将活性与安全区分开来。无论网络不可达或非安全核心以某种方式受到损害，只要BFT诚实保证得到维护，链就不会分叉。

验证测试、密钥与多代理交易

为保证安全性，Aptos团队在不同环境中运行大量验证器，对AptosCore进行了反复测试。

且Aptos中设置了帐户密钥恢复和轮换协议，主要防止密钥被盗的情况发生，具体表现为Aptos支持任何帐户轮换其私钥，验证者还可以定期轮换他们的共识密钥。为防止密钥丢失，Aptos还在开发可直接集成到区块链账户模型中的密钥恢复新技术。

Aptos通过多代理交易，利用Move的签名者类型，允许在单个交易中跨多个链上账户进行任意数量的原子操作。

可扩展性

指标与测量

高交易费用、低吞吐量和高最终确定性限制了区块链的普及与发展，Aptos认为L1应该重视发展可扩展性，从而优化用户体验。

从区块链性能指标来说，因测试基准不同，所以数据可能存在差异，Aptos打算分享基准测试框架并比较不同区块链上各种用例的性能特征。如吞吐量TPS与最终确定性。

吞吐量与最终确定性

在提高吞吐量与最终确定性速度的规划中，Aptos计划将共识协议与交易执行完全分离。团队为推进交易传播，已着手开发迭代下一个共识协议，可能将于今年在测试网推出。

除此之外，另一个难题是交易执行时间。Aptos使用受软件事务内存启发的新技术，在仅执行基准测试中只使用32个内核实现了每秒超过130k的事务。

在性能方面最后一个瓶颈是经过身份验证的数据结构和相关的状态存储。在验证账本状态时，内存中的Merkletree在小规模上是有效的，但无法将大型Merkletree写入持久存储。为解决这个问题，Aptos正在通过探索更高的分支因子、访问模式优化的缓存和仔细的版本控制来设计经过身份验证的数据结构，且Aptos还在开发对大型帐户的支持。

并行账户交易及控制交易排序

与以太坊普及的序列号方法不同，Aptos使用的是尝试使用抗冲突的序列号来增强序列号方法，允许帐户在序列号窗口上并行，同时仍然允许用户在必要时控制交易排序。考虑未来实现更灵活和可组合的并行账户交易。

支持管理节点不同状态

高吞吐量区块链，节点之间的状态同步可能是CPU密集型的，Aptos支持一系列不同的状态同步协议。且为了支持廉价的全节点，Aptos中有一个协议可同步交易及其由法定人数验证者签署的执行结果，允许节点以更高的网络吞吐量为代价跳过计算，并直接从已执行的账本状态更新账本状态结果。

不同于大多数区块链需下载区块链来获取最新的分类账本，Aptos客户端可以使用交易累加器来获取最新提交的交易，且许对以前的交易和分类帐进行修剪。

可升级性

区块链发展日新月异，从Defi到NFT再到DAO，热点类型不停变换。但许多底层协议在发布后都难以做出重大改进，以至于当前网络难以快速适应不断发展的web3需求。

Aptos提出一些网络尝试进行重大升级时，有的曾停机数小时，有的经历了意外的硬分叉。而Aptos在验证者的管理和配置采用链上状态进行管理，方便社区投票和快速执行升级，在过去几年中成功执行了多次重大升级而没有停机，确保部署安全可靠。

融资情况与路线图

Aptos于3月15日表示完成了由a16z领投，TigerGlobal、KatieHaun、MulticoinCapital、ThreeArrowsCapital、FTXVentures和CoinbaseVentures等众多知名VC参投的2亿美元融资。

而后，不仅BinanceLabs宣布投资了AptosLabs，支付巨头PayPal也表示曾参与投资，这是PayPalVentures投资的首个Layer1公链项目。需要注意的是，为了保持与Meta的隔离，保证Aptos的独立性，该项目并未从Meta相关人员处融资。

根据当前Aptos的路线图规划，今年Q1发布开发者测试网，开发人员从3月15日起，即可开始在Aptos测试网上进行构建。在与战略合作伙伴和web3开发者社区合作，同时收集反馈并改进Move开发者体验和Move语言。

Q2启动激励性测试网，提供更大的测试平台，与节点运营商社区合作，共同运营去中心化网络。提出漏洞赏金完善基础架构，并为保护网络的参与者提供激励机制。这里需要注意的是，开发网和测试网的不同在于，开发网主要是为了尝试新想法构建，而测试网用于验证核心开发人员测试的结果，为主网上线做准备。

Aptos计划于今年Q3发布主网，Q4至明年Q1将下一个主要版本部署到Aptos主网。

当前开发人员可在激励测试网上进行构建，第二期激励测试也即将开始，符合其硬件要求的用户可以运行节点参与其中。

在应用方面，Pontem开发的Liquidswap是Aptos网络上的第一个去中心化交易所。Pontem是一家产品开发工作室，据其所说还可能与Aptos合作构建开发工具、EVM、AMM等其他Dapp与基础设施。除了Liquidswap之外，Aptos上还有Fewcha钱包。且MartianDAO也正在为Aptos生态系统构建各种产品，包括MartianWallet，以及一个名为Curiosity的NFT市场，可适当关注。

标签：AptosAPTTOSUSDaptos币最新消息apt币介绍CryptoShipsdusd币哪个交易所有

Pol币热门资讯