以太坊上海升级,也被众多媒体称为Web3下一场新的叙事,这也是目前大家讨论最多的一热点。2023年3月,以太坊将推出预期的上海升级,截止发稿前,本次升级主要包括EIP-3540、EIP-3651、EIP-3670、EIP-3855、EIP-3860、EIP-4895、EIP-4200、EIP-4750以及EIP-5450。而备受瞩目的EIP-4844将推迟到5月至6月进行更新。
图片:Shutterstock首先,在以太坊生态中,我们经常听到一个词“EIP”,这个词是什么意思呢?EIP全称是EthereumImprovementProposal。它是一系列以太坊平台上推荐使用的标准和协议的统称。它所包含的具体标准和协议涉及以太坊的核心协议、客户端API、智能合约标准等。每一个EIP包含对某个标准或协议的定义。我们先来了解以太坊上海升级将涉及的几个标准。EIP-3540该EIP主要是针对EVM对象格式(EOF)合约字节码进行的更新,为EVM引入了一种可扩展和版本控制的容器格式。在合约字节码中添加了代码和数据的标记,实现了代码与数据的分离,这种分离对于链上代码验证器特别有利,因为验证器可以区分代码和数据。EIP-3651该EIP主要目的是将「COINBASE」地址由冷地址变为热地址。目前,COINBASE直接交易正变得越来越流行,因为它们允许有条件的支付,这提供了如隐式取消交易等好处。但是访问COINBASE的价格过高,原因是最初在EIP-2929中引入的访问列表框架下COINBASE是按冷地址访问成本来进行gas计算的,而冷地址访问成本相比于热地址访问成本相对较高。EIP-3670该EIP主要是配合上述EIP-3540合约创建时引入代码验证。拒绝包含截断PUSH数据或未定义指令的合约字节码。EIP-3855该EIP主要是增加了PUSH0指令,作用是将常量0压入堆栈。目前只有将1字节到32字节压入堆栈的PUSH1-PUSH32指令,而将常量0压入堆栈,需要使用PUSH10指令进行操作,而该指令在runtime中需要消耗3gas,并且额外需要消耗2字节的存储成本费用2*200gas。目前大约存在11.5%的PUSH指令压入了一个常量0到堆栈,而新增PUSH0指令后,可以节约一定量的gas费用。EIP-3860该EIP主要是对initcode的最大值进行了修改。目前initcode的最大值在之前EIP-170中设置为MAX_CODE_SIZE:24576,在EIP-3860中,新的initcode的最大值为MAX_INITCODE_SIZE=2*MAX_CODE_SIZE=49152。这使得合约大小的最大值扩展了一倍,合约可以拥有更加丰富的功能。但initcode每字节将添加0.0625gas的成本,合约部署gas成本微微上涨。EIP-4895该EIP主要是激活以太坊信标链质押提款的功能。EIP-4200该EIP引入了三个新的EVM静态跳转指令,分别为RJUMP、RJUMPI和RJUMPV,其目的是为了优化网络以及降低成本。目前EVM仅拥有动态跳转机制,这虽然能让字节码非常灵活,但是也同样增加了代码分析的复杂程度。这些静态指令的主要好处是降低了gas成本以及拥有更好的分析属性。EIP-4750该EIP主要是对代码的优化。主要是在上述EOF格式(EIP-3540)的基础上引入了在字节码中包含多个代码段的能力,每个代码段所代表的是一个单独的子程序或函数。在字节码中引入了CALLF以及RETF两个新操作码来负责调用和返回这种子程序或函数。此外,该EIP还引入了JUMPF指令来执行跳转到这种子程序或函数的操作。EIP-5450该EIP主要是改变了代码的验证过程,对网络进行了优化。目前EVM对每条执行的指令进行大量的有效性检查,例如溢出、gas是否充足等,而该EIP将使得合约在部署时便进行相关验证,从而减少代码在运行的时候进行的此类验证次数。
安全团队:Defrost Finance被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Defrost Finance预言机被恶意修改,并且添加了假的抵押token清算当前用户,损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址,随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址,最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上,目前有490万美元的DAI在0x4e22地址上,有500万美元的DAI在0xfe71地址上,剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]
Beosin:sDAO项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/21 7:53:09]
本次上海升级主要分为以下几个大的类型
Beosin:Skyward Finance项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Near链上的Skyward Finance项目遭受漏洞攻击,Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id,并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near,约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]
1、EVM细节优化主要有两个细节改进的EIP,分别是:EIP-3651以及EIP-3860。主要是针对现有的细节问题以及优化体验方面进行的细节改动,其中EIP-3860能够缓解目前智能合约字节码长度限制导致部分复杂的合约必须拆分成多个合约才能够部署到主网的问题,该EIP的引入将会显著增加智能合约功能的丰富性与多样性。2、信标链提款主要通过EIP-4895进行实现。目前,信标链上的ETH质押数量超1500万枚,占以太坊流通总量的近13%,本次升级之后,将开放这超1500万枚以太坊的提取功能。本次提取功能将采用“推”的方式将款项从共识层推送到执行层,将定义一个分叉时间戳FORK_TIMESTAMP,从该时间戳开始,执行层便要对提款进行处理。共识层会定义一个负载级对象withdrawal,该对象会提供包括:index、validator_index、address以及amount的关键信息,会主动推送到执行层。执行层中也将定义一个新字段withdrawals,该字段保存的是withdrawal对象的列表,执行负载获取到一个withdrawal对象后,添加到withdrawals列表。在经过验证之后,便会对address地址增加amount数量的以太坊,从而实现以太坊的提取。
Beosin:UVT项目被黑客攻击事件简析,被盗资金已全部转入Tornado Cash:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,UVT项目被黑客攻击,涉及金额为150万美元。攻击交易为0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499
经Beosin安全团队分析,发现攻击者首先利用开发者部署的另一个合约的具有Controller权限的0xc81daf6e方法,该方法会调用被攻击合约的0x7e39d2f8方法,因为合约具有Controller权限,所以通过验证直接转走了被攻击合约的所有UVT代币,Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入Tornado Cash。[2022/10/27 11:48:46]
安全团队:Audius项目恶意提案攻击简析,攻击者总共获利约108W美元:7月24日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,Audius项目遭受恶意提案攻击。成都链安安全团队简析如下:攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址,随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过,该提案允许向攻击合约转账1,856w个AudiusToken,随后攻击者将获得的AudiusToken兑换为ETH,总共获利约108W美元,目前获利资金仍然存放于攻击者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
3、字节码改进主要有六个字节码相关改进的EIP,分别是:EIP-3540、EIP-3670、EIP-3855、EIP-4200、EIP-4750以及EIP-5450。这类升级主要是增加部分新字节码指令,包括:PUSH0、RJUMP、RJUMPI、RJUMPV、CALLF、RETF、JUMPF。还对字节码进行了分类,添加字节码的标记用于区分字节码的类型,并对字节码每个类型进行了模块化。另一方面,更新了字节码的验证机制,优化了网络以及使用费用。这部分升级是本次上海升级的主要内容,将会对以太坊虚拟机系统产生相对较大的影响。Beosin会将本次上海升级中的所有指令同步纳入Beosin-VaaS智能合约代码检测工具中。以太坊可扩展解决方案是什么?
另一方面,备受瞩目的EIP-4844被推迟到了今年5月至6月进行更新,其功能是引入一种“携带blob的交易”的新交易格式,该格式是为L2数据传输所专门设计出的数据类型。Rollups是一种扩展解决方案,在短期、中期甚至可能在长期内,该方案是以太坊唯一的去信任扩展解决方案。近期几个月中,L2向L1传输数据的费用一直高居不下,而Rollups很明显的降低了许多以太坊用户的交易费用,其中Optimism和Arbitrum拥有比以太坊基础层本身低3-8倍费用的功能,而ZKrollups甚至拥有比以太坊基础层本身低40-100倍费用的功能。然而,即使是这样的费用,对于许多用户来说也太贵。长远看,数据分片是解决rollups自身不足的很好的解决方案,可以为使用rollups的链的每个区块增加16MB的专用数据空间。但是,数据分片功能的实施和部署需要漫长的时间才能实现。
该EIP提供了一个解决方案,通过实现“携带blob的交易”这一新的交易类型,该交易类型是为了承载L2的原始交易压缩数据,相当于之前的calldata。由于L2的交易压缩数据上传的目的只是为了供其他人下载验证,所以calldata其实并不需要被L1执行从而产生gas费用。新交易类型blob便不会像calldata那样被EVM读取,其会保留在共识层,并在30天的延迟之后被删除。简单来讲,就是将之前的calldata数据保留到共识层,而不会像之前那样发送到执行层,从而产生高昂的gas费用,也正是Rollup费用能因此降低的原因。
上海升级完成之后,将会有大量的ETH被提取出来,数量可能在300万到600万之间。其中多少会被卖出?我将质押者分成了几个大类,以了解他们卖出ETH的能力和意愿,并分析了不同的场景.
有关美国证券交易委员会可能禁止零售客户进行加密质押的传言在社区掀起热议。2月9日,SEC宣布与加密交易所Kraken达成和解,Kraken同意「立即」停止为美国客户提供链上质押服务,并支付300.
Bitfinex的首席技术官谈到了一个事实,即人们对金融资产代币化很感兴趣。为了收集意见并揭示关于2023年对加密货币和区块链行业的预期的不同观点,我们与Bitfinex的技术总监PaoloAr.
2021年3月,俄亥俄州参议院正式通过DAO法案,允许用户通过DAO来处理事务,DAO的法律地位也逐步得到认可.
特别感谢BenDiFrancesco、MattSolomon、ToniWahrst?tter和AntonioSanso的反馈和审阅。以太坊生态系统中剩下的最大挑战之一是隐私.
2022年10月21日,混合算法稳定币协议FraxFinance推出的以太坊流动性质押产品frxETH上线,截至今日,正好满100天的时间,frxETH从0增长到超8.14万枚.