簡析 Stellar：打造全球新型跨境支付標準的去中心化網絡_STE

來源：Cryptopedia

作者：DenelleDixon，Stellar發展基金會CEO

編譯：鏈捕手

概括

Stellar是一個連接全球金融基礎設施的去中心化、開放的區塊鏈網絡。作為一個成熟的鏈，其實時用例很容易將數字世界和法定世界連接起來，Stellar擁有超過480萬個賬戶——自2015年推出以來已經處理了超過15億次操作。在Stellar支付網絡上，企業和開發人員受益于幾分之一的即時結算和交易費用。

Stellar網絡：設定新的全球支付標準

每年都有數十億美元的價值跨境轉移，其中最顯著的是通過個人匯款。大多數情況下，這些匯款是按月從外國工人轉移到其本國的家庭成員的。匯款不僅為數百萬家庭提供支持，而且在中低收入國家的GDP中也占很大比例。

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

但在當今的金融體系中，發送這些重要的匯款遠非簡單，也不是無國界的體驗。從歷史上看，這些付款的處理時間長且費用高——典型的交易成本約為200至300美元，平均零售成本約為匯款總額的7%至8%，并需要數天才能結算。簡而言之，當今的系統充斥著速度慢、流程繁瑣和費用高的問題，使數百萬人被邊緣化。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

Stellar網絡的設計和構建旨在減少當今存在的摩擦，既能促進金融包容性，又能設定新的全球支付標準，這樣你居住的地方——以及你所擁有的——不再禁止你參與金融系統。使用Stellar網絡，在世界任何地方發送付款都可以像發送電子郵件一樣簡單。

安全團隊：LPC項目遭受閃電貸攻擊簡析，攻擊者共獲利約45,715美元:7月25日，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下：攻擊者先利用閃電貸從Pancake借入1,353,900個LPC，隨后攻擊者調用LPC合約中的transfer函數向自己轉賬，由于 _transfer函數中未更新賬本余額，而是直接在原接收者余額recipientBalance值上進行修改，導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD，最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC，攻擊者共獲利178 BNB，價值約45,715美元，目前獲利資金仍然存放于攻擊者地址上（0xd9936EA91a461aA4B727a7e3661bcD6cD257481c），成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]

這要歸功于Stellar區塊鏈的速度和規模。它允許用戶通過錨點在法定貨幣和數字貨幣之間進行交易，它們發行1:1法定支持的穩定幣并提供法幣出入通道進入本地支付系統。錨點有助于創建一個現有金融系統與Stellar相連并可互操作的世界。這使用戶能夠快速透明地發送和接收資金，同時避免了傳統上與跨境和跨貨幣匯款相關的費用和延遲。這已經在Stellar網絡上實時發生。使用Saldo等Stellar錨，當一個沒有銀行賬戶的人需要將外幣匯回家里給需要將其用作當地貨幣的家庭成員時，他們可以使用一個簡單的應用程序來完成。這一切都是可能的，無需事先了解或熟悉區塊鏈。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

它對于企業對企業(B2B)跨境支付同樣具有影響力。例如，總部位于英國并在尼日利亞設有辦事處的金融科技公司CowrieIntegratedSystems通過電子支付網絡提供增值服務。Cowrie非常清楚他們的商業客戶在向供應商和合作伙伴匯款時遇到的摩擦，因此設計了一個支付渠道來利用USDC，世界領先的美元抵押穩定幣之一，作為一種橋梁貨幣，幫助企業進行往返歐洲的支付。與總部位于法國的電子支付機構Tempo和EURT的發行人合作，Stellar正在建立一個雙向渠道，供客戶快速贖回和交易這些穩定幣。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

由Stellar共識協議(SCP)提供支持

Stellar如何做到這一點？部分原因在于Stellar的底層共識機制，即Stellar共識協議(SCP)。Stellar上的快速、透明和流暢的交易由協議處理和驗證，該協議允許網絡參與者通過投票而不是挖礦達成共識。支持和驗證網絡的節點協同工作以維護公共分布式賬本，并對其進行驗證和添加交易。為此，他們依賴SCP，它既不是工作證明也不是權益證明，而是使用聯合協議的系統來達成共識。節點選擇他們認為值得信賴的其他節點，并與他們一起制作和批準一組有效的交易來改變賬本的狀態。這些反過來又識別其他可靠節點，最終通過法定人數達成網絡共識。

另一個不同點是SCP為用戶提供了一個去中心化且高效的網絡。典型的挖礦過程與高昂的財務成本和高能源需求相關，其中一些依賴服務器到不可持續的地步。通過SCP驗證的交易得到快速處理——平均在3到5秒內，有可能同時發生數千筆交易——使Stellar網絡成為跨境交易的快速、可持續和便捷的支付解決方案。

由StellarNetwork的內置功能增強

SCP與Stellar的應用程序編程接口(API)?Horizo??n以及生態系統可用的不斷增長的工具和產品相結合，創建了一個環境，企業和開發人員可以輕松地在網絡上構建并利用其最引人注目的功能，例如：

速度：Stellar區塊鏈上的交易在三到五秒內得到確認。

成本：每筆交易的成本可以忽略不計，到2021年，平均成本略高于0.00001流明，或XLM。協議設定的費用被燒毀，因為它們的存在只是為了阻止不良行為者。

資產發行：Stellar的支持代碼可靠、經過審查、快速，只需幾行代碼即可發行代幣。??

去中心化交易所：Stellar有通用的內置訂單簿，稱為Stellar去中心化交易所，因此每個代幣都是可交換的，并且Stellar協議本身連接了買賣雙方。

合規：Stellar是合規方面的領導者，其內置功能允許統一的了解您的客戶(KYC)和反洗錢(AML)流程、協議級別的資產控制和發行人強制執行的最終確定性。?

開發人員工具：Stellar的開源開發人員資源提供全面的文檔、軟件開發工具包(SDK)和教程。

可持續：由于Stellar的共識機制，網絡成本與運行服務器一樣多，并且與挖礦不同，資源需求低。

原生代幣：Stellar創建了原生網絡貨幣XLM，作為防止網絡垃圾郵件的非歧視性解決方案。任何使用Stellar的人都需要在他們的賬戶中保留少量的XLM，并且每個人都可以平等地使用它。XLM代幣的要求足夠低，可以讓Stellar保持可訪問性，但會阻止輕率和惡意行為者大規模參與Stellar網絡。

Stellar區塊鏈：一個可互操作的互聯金融世界

Stellar努力設定新的全球支付標準。為此，它是為互操作性而構建的，將現有的金融系統和支付軌道與新的數字系統連接起來，以便價值可以無縫地跨境流動。

當前的金融體系實現現代化已經有幾十年了。區塊鏈技術正在挑戰我們以一種新的方式思考金錢和價值，提供了使其更有效和更有效率的機會。與互聯網使信息訪問民主化的方式大致相同，區塊鏈技術使金融系統的訪問民主化。

無論你身在何處，Stellar區塊鏈技術都可以連接金融基礎設施，以便系統和價值形式可以互操作。隨之而來的是更大的訪問和包容性，建設一個公平訪問不是特權而是權利的世界。這就是恒星的力量。

Tags：STEStellaTELLARMonsters ClanAIDOGE Stellarstella幣圈ABLE Dollar

AVAX