惹争议的空投?Beosin KYT带你追踪AltLayer链上可疑囤积地址

Beosin
Beosin 机构得得号

Jan 30 Beosin是总部位于新加坡的全球知名区块链安全公司,为区块链生态提供代码安全审计,安全风险监控、预警与阻断,虚拟资产被盗追回,KYT/AML等“一站式”安全产品+服务,已为全球2000多个区块链企业服务,保护客户资产5000多亿美元。

摘要: 近期,Rollup as a service(RaaS)赛道的头部项目 AltLayer 开启了2024年目前最大的空投,空投总价值超1亿美元,成为了Web3社区热议的事件。

而本次 AltLayer 的空投活动受到了社区的质疑,空投份额的35%(约3500万美元)分配给了持有AltLayer NFT(流通总量仅2157)的地址,平均每个地址获得价值约1.4万美元ALT代币,而参与测试网的地址平均每地址仅获得约30美元ALT代币。此外,交易员 BlurCrypto 与 AltLayer 的增长主管就是否有内幕交易获利20万美元在社交媒体上进行争论。

AltLayer是一种具有高拓展性、低成本、快速启动Rollup的解决方案。1月25日空投后,获得AltLayer空投的地址有无异常链上活动?AltLayer所在的RaaS赛道又面临哪些安全挑战?今天Beosin团队将为大家一一解析。

AltLayer技术架构

 

AltLayer通过支持所有主要的 Rollup 技术栈、数据可用性层、结算层、去中心化排序器集的组合,帮助开发者快速启动模块化的 Rollup。其主要 RaaS 合作伙伴包括 Optimism、Arbitrum、Polygon、zkSync、EigenLayer、Celestia 和 Hyperlane。

如上图所示,基于 AltLayer 构建的区块链网络会将交易分三步处理:先聚合交易以提高性能,再生成区块,最后验证区块。在打包生成区块时,AltLayer支持使用名为SQUAD的去中心化排序器打包交易。而在验证区块时,验证者需要提交交易数据到Layer1,开发者可根据性能和安全的需求,选择不同的数据安全级别。

而为了实现去中心化排序,AltLayer在执行层和共识层之间加入了一层名为信标层(Beacon Layer)的组件。它是 AltLayer 的核心组件之一,在执行层和共识层之间提供协调和验证功能。信标层中的共享排序节点为AltLayer中的Rollup提供分层交易排序服务,如下图所示。当开发者通过AltLayer的仪表板来创建和启动自己的Rollup后,信标层会分配排序器节点负责执行Rollup中的交易,如下图所示:

这些共享排序节点使用质押/削减机制来激励和惩罚排序者的行为,以保证网络的安全性和活跃度。AltLayer计划将共享排序节点开放为一个任何人都可以加入的去中心化网络,但目前这些节点主要由AltLayer及其合作项目所控制。

空投争议

AltLayer在公布空投细则后,社区对NFT Holders可获得35.47%(106,410,000枚ALT代币)的空投额度表示不满。因为AltLayer此前发行过两个NFT系列:AltLayer OG Badge和Oh Ottie!,两个系列的流通总数仅为2157。这意味着持有NFT的地址将获得巨额空投,而参与测试网活动的用户平均每个地址仅获得约1000个代币的空投,部分用户被误标记为女巫,更加重了社区的不满。AltLayer空投分配

我们用 Beosin KYT 检查NFT持有者的地址后,发现不少NFT Holders在购买OG Badge和领取Oh Ottie!系列NFT后,他们的地址就暂时停止了活动,直到AltLayer的空投开启

以获得最多空投的0xf39a60D5577220059829f0838c79bB7081Bdb6Ac为例:

0xf39a地址在2022年7月30日从FTX提出以太坊后,只通过Seaport共花费2.569个ETH购买了8个OG Badge,除了领取Oh Ottie!系列的NFT空投,在领取代币空投前没有任何交易记录。Beosin KYT0xf39a购买的8个OG Badge0xf39a在本次空投中共领取了129万枚ALT代币,随后它将领取的代币发送到多个新地址。具体操作可在 Beosin KYT 查看:获得第二多空投的地址0x4f0e22F2888d7F95787c4948576Ab3a54E3ab83c也是类似,2022年7月28日从FTX提出ETH,随后通过Seaport共花费5.3844个ETH购买了相关NFT。Beosin KYT分析其交易可以发现,0x4f0e先是于2022年7月-8月花费了2.0414个ETH购买了6个OG Badge。然后在2023年2月,0x4f0e继续花费了3.343个ETH购买了7个Oh Ottie!系列NFT。随后直到AltLayer开启空投,0x4f0e才重新活跃。0x4f0e领取了119万枚ALT,与0xf39a类似,它也将领取的代币分散到多个新地址。具体操作可在 Beosin KYT 查看:

这些地址的囤积和静默是否是巧合?项目的空投规则应该如何设定才能做到反女巫和公平奖励用户?这是项目方和社区都需要继续探索的问题。

RaaS赛道安全挑战

AltLayer是RaaS赛道的头部项目,而RaaS赛道可根据支持的Rollup分为op-Rollup as a Service与zk-Rollup as a Service。目前RaaS赛道的服务提供商主要使用的op-Rollup技术栈,支持op-Rollup的快速启动。而op-Rollup as a service的服务提供商,面临着众多安全挑战。

通常,op-Rollup的核心组件如图所示,由4个部分组成:

1.  Layer1的验证器合约。每一条Rollup都需要在Layer1部署一个验证器合约,该合约的功能为接收和存储Rollup提交的区块哈希值和状态根,更新用户往Rollup充值提现的状态,Rollup需及时同步修改Layer1与Layer2用户的状态。如果Rollup服务运营商跑路了,用户的资产也需要确保可在Layer1上的这个合约里提取出来。

2.  交易排序器(Rollup Sequencer)。负责处理和执行Rollup的交易,维护Layer1和Rollup 之间用户的状态,以及同步L1和L2的状态。

3.  欺诈证明。欺诈证明正是op-Rollup的核心,乐观认为所有交易和状态都是正确的,等第三方提出挑战,向Layer1提交相关证明等待确认。如果欺诈被证明,则原先发布相关交易的节点会受到惩罚,状态将回滚。

4.  数据可用性。Rollup会将交易数据存入Layer1,用于保证数据的最终确认和状态更新。这样即使Rollup项目方跑路了,用户有可能在Layer1上取回资金。

如果要做op-Rollup as a Service,那上述4个部分都由RaaS服务商提供,Rollup的代码、节点的维护都会由RaaS服务商负责(服务商可能会外包/分配给其合作伙伴)。使用RaaS服务的项目方只需要做好运营和营销,吸引用户来使用自己的Rollup即可。

这大大降低了项目方的启动成本和时间,但留给op-Rollup服务商的作恶空间很大,其中存在的安全挑战有:

一是上文提到的欺诈证明。欺诈证明是op-Rollup保证网络安全稳定运行的核心,而随着Rollup as a Service的推广,越来越多op-Rollup的推出很难让安全公司/社区去监控Rollup的状态是否正常,是否有恶意交易。后续相关Rollup的安全事件发生的频率大概率增加。

二是Layer1和Layer2的资产安全问题。目前很多op-Rollup的资产并不是从其部署在Layer1的智能合约充值跨入到Rollup的,很多资产是通过第三方的跨链桥进入的Rollup,这些跨链桥的存在引入了更多潜在安全风险,上个月Orbit Chain就因私钥泄露损失8000万美元。

以上是op-Rollup与op-Rollup as a Service目前最需改进的两个安全问题。

zk-Rollup的核心组件和op-Rollup类似,但zk-Rollup采用有效性证明,当证明被验证为正确后,状态才会更新在Layer1上。这确保了zk-Rollup始终可保持正确的状态运行,相比op-Rollup更为安全。但zk-Rollup的性能与开发难度导致了zk-Rollup as a Serivce的进展缓慢,目前zk-Rollup as a Serivce的服务商基本都还处于开发测试阶段。

总结

目前AltLayer作为RaaS赛道的头部项目,已和多个公链项目方达成合作关系,帮助开发者快速启动Rollup,为解决排序器的中心化问题,AltLayer引入一层信标层去进行去中心化和分层验证。但由于op-Rollup的乐观假设前提,难以监测每个op-Rollup的交易安全性,后续通过RaaS服务构建的op-Rollup可能存在恶意交易但长时间未被挑战,造成资金损失

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 Beosin 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信