简析波卡平行链与以太坊2.0架构设计异同

来源：?谈谈区块链

撰文：谈国鹏，Ownbit创始人

前天晚上，波卡生态链项目Moonbeam和Ownbit进行了技术交流，期望未来Ownbit对波卡生态链进行更好地支持。Moonbeam也将竞争成为第一批波卡平行链。借着交流的机会，我对波卡平行链也有了更深的理解，遂成此文。

ETH2.0和波卡平行链是未来的两个重要技术，他们虽分属于两个不同的重量级项目，但在设计上却有惊人的相似。

波卡平行链

在波卡的设计里，有两个重要的概念，一个是波卡平行链，另一个是波卡平行线程。理解这两个概念是理解整个波卡生态的重要环节。

波卡平行链，故名思议，是与波卡主链平行的其他链。要成为平行链，需要占用波卡系统的一个插槽。波卡系统的插槽数量是有限的。波卡设计出了一套插槽拍卖的系统，通过出价拍卖获得一个插槽有限的使用权。

Beosin：ULME代币项目遭受黑客攻击事件简析:金色财经报道，10月25日，据Beosin EagleEye 安全预警与监控平台检测显示，ULME代币项目被黑客攻击，目前造成50646 BUSD损失，黑客首先利用闪电贷借出BUSD，由于用户前面给ULME合约授权，攻击者遍历了对合约进行授权的地址，然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格，然后黑客卖掉之前闪电贷借出的ULME，赚取BUSD，归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]

因此每次插槽的占有都是有限时间内，到期后要重新进行插槽竞拍。用于竞拍的DOT将在插槽使用到期后归还，因此使用插槽，只是占用金额，而不花费资金。

慢雾：DEUS Finance 二次被黑简析:据慢雾区情报，DEUS Finance DAO在4月28日遭受闪电贷攻击，慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个的DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

针对该事件，慢雾安全团队给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

为什么要成为波卡平行链？

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

成为波卡平行链主要获得两个好处：链本身更加安全，以及拥有和其他平行链的互操作性。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

为了更好理解链更加安全这个概念，我们可以把波卡系统想象成可以容纳多条平行链的容器。每个平行链会有自己的共识机制，以及产生区块的方式。容器定时将所有平行链产生的区块收集起来，形成容器层面的区块。该容器在波卡中被称为：中继链。被中继链打包对于平行链而言，称为区块的?finalize。

Harvest.Finance被黑事件简析:10月26号，据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击，损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。

1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费；

2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT；

3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC，此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小；

4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中，充值的同时 Harvest 的 Vault 将铸出 fUSDC，而铸出的数量计算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC；

5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常；

6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC；

7. 随后攻击者开始重复此过程持续获利；

其他攻击流程与上诉分析过程类似。参考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源)，导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量，从而使攻击者有利可图。[2020/10/26]

波卡中继链对平行连区块的最终确认让平行链更加安全。这样每个平行链可以得益于波卡系统的强大共识，而不用担心本链可能存在各种共识层面的攻击或问题。

波卡平行链和其他平行链的互操作性是另一个优点。波卡在系统层面设计了一套消息传递系统，可以让各平行链之间相互传递消息、执行指令、转移token等等。各平行链根据XCMP定义自己可以接收处理的消息类型，便可以让自己拥有和其他平行链的互操作性。

如果把平行链比喻成操作系统里的进程，那么XCMP可以理解为进程间通信机制IPC(InterProcessCommunication)。

平行链资源是有限的

因为平行链资源有限，大部分链可能无法竞拍到平行链插槽。这时，波卡官方给出的方案是，使用测试网络KUSAMA，或者平行线程。

平行线程和平行链之间的区别仅在于一点：平行链永久占用中继链资源，而平行线程只在需要时占用。平行线程需要中继链对其区块进行确认时，便提出请求，并给予一定的费用。因为同时会有多个平行线程提出确认需求，中继链会按照给予的费用高低进行优先选择。如下图所示：

比起平行链而言，使用平行线程，无需参与插槽竞拍，因此无需大额的启动资金。对于一些不需要频繁确认的应用，使用平行线程更加适合。

ETH2.0

ETH2.0的线路图按照分片技术在前进。分片技术最早出现在数据库技术中。为了让数据库拥有更大的执行查询或插入的能力，将一个数据库拆分成多个数据库，并且部署到多个机器上，让执行能力成倍地提升。

ETH2.0将以太坊网络拆分成多片，将以太坊的执行能力提升相应的倍数。每个分片就是一个子网络。处理ETH2.0共识，以及系统各个子分片之间通信的模块被成为：BeaconChain，这相当于波卡网络里的中继链。ETH2.0分片示意图如下：

可以看出，在大的架构方面，ETH2.0和波卡有着惊人的相似。但在细节和理念层面又有很多的不同。

波卡平行链VSETH2.0

从设计目的而言，波卡平行链主要是为了跨链目的，通过平行链水平扩张，进而解决性能吞吐问题。而ETH2.0的设计完全是为了解决性能吞吐问题。

波卡和ETH2.0都有状态确认的功能。ETH2.0每一个时代finalize一次，一个时代定义为64个区块，所以6-12分钟finalize一次。而波卡网络的finalize时间则更短，一般1分钟以内。

从共识机制而言，ETH2.0和波卡也有明显的区别。ETH2.0采用PoS机制。质押32ETH可以成为验证者。每个分片至少需要256个验证者才能进行finalize操作。以64个分片计算，ETH2.0需验证者16,384名。而波卡采用提名者PoS机制，所需验证者数量远小于ETH2.0，大约每个平行链需10个验证者，以整个系统100个平行链计算，共需1000个验证者。

另外一个不同点在于，波卡是不同系统间互联的框架。而ETH2.0是同一套系统间互联的框架。

波卡更关注其他链，而ETH2.0只是更关注本身，这也反应出它们对未来不同的展望。波卡打造的是多链并存、互联互通的场景。而ETH2.0则打造的强大统一的底层区块链系统，上层繁荣的DApp则通过应用接口彼此互通的场景。

跨链

波卡对于平行链之间，天然具有跨链优势。而ETH2.0不具有跨链能力。但这并不意味这波卡比在跨链方面ETH2.0强大很多。

例如对于跨链比特币网络而言，波卡需要使用比特币桥才能完成跨链。而这点，跟以太坊跨链比特币方案是一致的。因此，对于跨链而言，波卡只是对于未来部署在波卡网络上的平行链之间才具有优势。

结语

目前波卡生态的平行链项目正如火如荼地进行。它们是否会在未来占有非常重要的地位，将是区块链最大的看点之一。

从时间而言，波卡主网的上线时间较迟，错过了以太坊发展的这几年黄金时间。然而，ETH2.0上线又将是2年以后的事情，而波卡平行链项目有望在今年年底或明年初上线波卡主网。这也给波卡留下了更多追赶以太坊的时间。所以未来波卡网络能否像以太坊那样大放异彩，非常值得我们关注！

标签：USDETHETH2ETH2.0Neutrino USDETHYSETH2SOCKSeth2.0币价会涨吗

芝麻开门交易所下载热门资讯