FOR:简析Jabber：在Web3时代，网络聊天应该完全上链吗？_SOL

作者：路畅

来源：律动研究院

链上除了可以记录交易，每笔交易更可附上自定义的文本。借助一最简单又最基础的功能，人们可以做很多有趣的事情。举一个最简单的例子——链上聊天。此前，律动曾撰文介绍过使用以太坊传递信息的情况，详情可见《其实有很多人在用以太坊聊天》。

而由于以太坊自身网络的特性，链上交易gas费用高昂。虽然有人在使用以太坊进行聊天，但这种使用方式难以普及。有多少用户愿意为了发送一条消息而支付十美元呢？

通过区块链聊天，这的确是一个有趣的想法，但在以太坊上似乎并不可行，但如果使用别的网络呢？建立在Solana之上的Jabber就在尝试实践这个有趣的构想。

11月底，Jabber上线了app的测试版。Jabber是一款「Telegramlike」的聊天App，而它有趣之处在于，每一条消息，都是一笔在Solana链上发送的交易。受益于Solana的高性能和低成本，将消息作为交易发送，并不会让用户的成本高到难以承受。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

当我们进入主界面，一个简洁的聊天列表呈现在眼前，基本操作逻辑与Telegram并无较大差异。用户需点击右上角的写信按钮，自行键入信息接收人的地址，就可以开始进入聊天了。除标准的钱包地址外，该App还支持.sol域名。

慢雾：跨链互操作协议Nomad桥攻击事件简析:金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下：

1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。

2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。

3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。

综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]

Force DAO 代币增发漏洞简析:据慢雾区消息，DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现： 在用户进行 deposit 操纵时，Force DAO 会为用户铸造 xFORCE 代币，并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度，当用户的授权额度不足时 transferFrom 函数返回 false，而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行，xFORCE 代币被顺利铸造给用户，但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法，但外部合约在对其进行调用时并未严格的判断其返回值，最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查，以避免此问题的发生。[2021/4/4 19:45:30]

除了点对点聊天外，该App还支持小费打赏、创建群聊、收费收信等功能。收费收信是其中一个较为新颖的设计。

链上信息传输因为其无需许可的特点，只要知道地址，任何人皆可发送任意的信息。假设这样一个场景，若Jabber成为像微信一样广泛普及的聊天应用，而你又恰好是一个地址已被公开的KOL，那你的聊天列表会被多少无效信息充斥呢？

通过收费收信的功能，这一问题得到了解决。在设置界面我们看到「SOLpermessage」这一项目，这一数值代表着向你发送信息每条需向你支付多少SOL。这一设计非常有趣。

而在群聊中也存在着类似的机制，用户加入群聊后需支付一定的SOL才可发送消息。这一机制可创造更多的用例，譬如付费社群、线上答疑等等。但目前在Web2的同类产品中，尚无有类似机制的用例。这一需求是否能产生真实的使用场景，仍然有待观察。

这款App与其他聊天软件最根本的区别，即所有数据全部链上传输。而这也是用户对其最大的担忧所在，链上数据公开透明，如何保证聊天内容的隐私性？

我们以真实的使用情况作为演示。笔者使用Jabber向某地址发送了「GM」两个字符，该笔交易收取了0.000005SOL的gas。

而在这笔的转账的log详情中，我们可以看到一些更细节的内容。

Jabber尽管会将全部信息上链，但消息是加密的并不会将你的聊天内容公开，用户无需担心聊天全部上链所使得隐私泄露。

而全部上链的缺点也是显而易见的，每次操作都要付出一定的gas是在所难免的。在进行多次尝试之后可以发现，修改个人资料、更改头像图片、设置是否显示SOL域名等等，在设置中的每一项操作几乎均需要进行链上交互，并付出gas费。而在实际的聊天过程中，发送不同数量的字符，付出的gas费用也都相同，与更改各项设置所需gas相同，均为0.000005。

Jabber由Bonfida团队开发，目前并无独立官网，现已提供iOS和Android版本。Bonfida是基于Solana建立的一款完整产品套件，其旗舰产品为基于Serum中央订单簿的DEX前端。目前Bonfida提供的功能除了基于Serum的基础交易功能以外，还有程序化交易机器人、SerumAPI、Solana链上永续合约协议、SOL域名等。

Jabber是基于Solana建立的第一个移动消息应用。Bonfida认为，Jabber最重要的价值在于它为用户提供了一种无需信任、去中心化的方式来将他们的交互货币化。这个特性或可为NFT和GameFi带来更多的用例。?

标签：FORFORCEORCSOLNimbus PlatformMoonForceorca币价格sol币币币情

欧易okex官网热门资讯