簡析去中心化存儲平臺 Arweave 特點與運作機制_WEAVE

來源：ArweaveNews

原標題：《WhatisArweave?(AR)》

譯者：Evelyn｜W3.Hitchhiker

當試圖解釋Arweave時，通常會落入使用復雜術語的陷阱，以至于非技術讀者無法輕松理解。當已經嵌入到生態系統中時，這就是一個很容易犯的錯誤——但我們希望對每個人來說，不管是在什么背景下，Arweave都是十分容易理解的。這就是本文的目的：我們將本文分解成了Arweave是什么，以及它是如何工作的——將用戶所需要知道的一切都寫出來。

Arweave的簡述

簡單地說，Arweave是一個幫助任何人永久存儲數據的工具。它的工作方式是將存儲的信息分布在一個稱為節點或礦工的計算機網絡中。這與我們所知道的模式不同，因為今天的互聯網掌握在少數公司手中，這些公司的服務器可以在任何時候癱瘓——小編們也可以悄悄地改變內容。

Arweave通過一個廣泛的節點網絡來為一個平行的互聯網「permaweb」提供服務，所有這些節點通過在很長一段時間內提供現有數據存儲，并根據客戶要求存儲新數據的方式來賺錢。

Beosin：SEAMAN合約遭受漏洞攻擊簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月29日，SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時，都會將SEAMAN代幣兌換為憑證代幣GVC，而SEAMAN代幣和GVC代幣分別處于兩個交易對，導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣，接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣，此時會觸發合約將能使用的SEAMAN代幣兌換為GVC，兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD，接下來在BUSD-GVC交易對中將BUSD兌換為GVC，攻擊者通過多次調用transfer函數觸發_splitlpToken()函數，并且會將GVC分發給lpUser，會消耗BUSD-GVC交易對中GVC的數量，從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD，獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），將持續關注資金走向。[2022/11/29 21:10:04]

就像許多去中心化的存儲平臺一樣，Arweave使用自己的原生加密貨幣——AR來運行服務。當人們花費代幣來存儲數據時，會支付AR給礦工。從這些交易中，AR也會被儲存在一個捐贈基金內，該基金能夠在技術上無限期地緩慢釋放獎勵。通過這種機制，Arweave保證了無限的永久存儲。

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

使Arweave脫穎而出的一些新特點是，它可以通過傳統的網絡瀏覽器訪問；另一個特點是它是開源的，所以社區可以參與其改進的過程。社區在很多方面都有很大的作用，因為Arweave有一個投票機制，允許其用戶對內容進行審核，并可將某些標記為非法內容，此外還有一個蓬勃發展的新應用開發者生態系統。

安全公司：Starstream Finance被黑簡析:4月8日消息，據Agora DeFi消息，受 Starstream 的 distributor treasury 合約漏洞影響，Agora DeFi 中的價值約 820 萬美金的資產被借出。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 在 Starstream 的 StarstreamTreasury 合約中存在 withdrawTokens 函數，此函數只能由 owner 調用以取出合約中儲備的資金。而在 April-07-2022 11:58:24 PM +8UTC 時，StarstreamTreasury 合約的 owner 被轉移至新的 DistributorTreasury 合約(0x6f...25)。

2. 新的 DistributorTreasury 合約中存在 execute 函數，而任意用戶都可以通過此函數進行外部調用，因此攻擊者直接通過此函數調用 StarstreamTreasury 合約中的 withdrawTokens 函數取出合約中儲備的 532,571,155.859 個 STARS。

3. 攻擊者將 STARS 抵押至 Agora DeFi 中，并借出大量資金。一部分借出的資金被用于拉高市場上 STARS 的價格以便借出更多資金。[2022/4/8 14:12:38]

Arweave是如何創建的

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

早在2017年，那時Arweave被稱為Archain。2018年，當Arweave團隊參加Techstars時，它被重新命名。2019年，Arweave從包括Coinbase、a16z和MulticoinCapital在內的知名風險投資公司那里籌集了500萬美元。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

2020年，Arweave又獲得了830萬美元的資金，他們計劃將其用于建立在Arweave之上的用戶和開發者社區上。這包括Verto、ArDrive和ArweaveNews等項目。

Arweave的創造者和創始人是SamWilliams，"他是一名博士，在去中心化系統設計和實施方面有著豐富的經驗"。他在大學期間建立了Arweave，靈感來自于Orwell的《1984》，并將其作為對假新聞流行的反應。

Arweave是如何工作的

與通常的區塊鏈不同，Arweave將數據存儲在一個區塊圖中。通過這種方式，每個區塊都與之前的兩個區塊相連，形成一個被稱為「blockweave」的結構。

在這里有幾個關鍵方面使Arweave與眾不同：

獲取共識的證明

Bundles

SmartWeave

Vartex網關

內容調節

這些功能使Arweave脫穎而出，我們將仔細研究每一個功能，看看它們是如何工作的，以及為什么它們很重要。

獲取共識的證明

Arweave與其他加密貨幣的不同之處在于它檢查交易準確性的方式。通常情況下，使用工作量證明系統，加密貨幣會要求讓計算機競爭計算一個數學難題。Arweave使用一種不同的方法來解決這個問題，稱為SPoRA。

Arweave要求網絡中的每個節點檢查一個新的交易區塊是否包含一個從早期隨機選擇的區塊，如果它是存在的，那么新的交易就可以被添加到網絡中。

這種共識機制有助于驗證新交易的準確性，并確認舊交易沒有被篡改。這種方法被稱為訪問證明，添加新區塊的節點會得到AR代幣作為獎勵。

Bundles

Bundles是一種保證一組交易最終會被開采進一個區塊的方式。它解決了每個區塊鏈都有的一個問題，即在其他人提交的交易對礦工獎勵更多的情況下，交易可能會被拒絕的情況。

當Arweave作為一種存儲大容量NFT項目的方式，有成千上萬的媒體文件需要同時上傳時，Bundles就成為一種必須。項目可能會發現，在他們上傳的批次中，有幾個文件被刪除了，這就會破壞項目的上傳。

SolanaFT市場的Metaplex是Bundles的第一個采用者，并與Bundlr的JoshBenaron合作開發了MetaplexCandyMachine，這是一個允許項目使用Arweave作為存儲層來批量上傳NFT的應用程序。其實，它也常用于非NFT的項目。

SmartWeave

SmartWeave是一個智能合約協議，使用AR代幣，使開發人員能夠使用JavaScript構建智能合約應用程序。像大多數代碼一樣，它是由用戶的計算機運行的，而不是區塊鏈本身。

它的工作方式與以太坊的合同執行方法不同，在以太坊中，整個網絡被調用來驗證交易；SmartWeave依靠智能合約，用戶自己在本地客戶端完成。

它不需要那么多的計算能力，因此使它成為了一個更環保的選擇，也更加的安全。如果有人使用惡意代碼，那么它也不會影響整個區塊鏈。這樣一來，它不需要那么多的安全檢查和安全束縛，也可以運行得更快。

另一個值得注意的特點是，SmartWeave合約可以成為一個應用程序的整個后端。這意味著開發者不需要服務器，整個應用程序可以在區塊鏈上運行。與以太坊不同的是，與SmartWeave合約互動的成本少于1美分。

Vartex網關

Vartex是一個工具，它只需幾個命令，就可以讓運行自己的網關成為可能。雖然arweave.net是通過瀏覽器訪問Arweave上所有數據的一個主要途徑，但它是由AWS提供服務的，這是一個可能的單點故障。而Vartex是一種任何人都可以運行自己網關的方式，這意味著更多的網關和不依賴中心化的服務器。

這是一種將permaweb去中心化的方式，確保它不依賴于某個主要的公司。它建立在Amplify的基礎上——最初的arweave.net網關的分叉。開發者可以在GitHub上找到源代碼，只需克隆它并遵循readme說明。

內容調節

內容調節允許運行挖礦軟件的任何人選擇他們希望存儲的數據類型。這種類型的調節允許網絡上的計算機選擇他們想要承載的內容。

然而，由于由網關來決定他們屏蔽什么，可能內容并不像數據的大小那樣重要。例如，有人可能只想存儲圖片或只存儲音頻文件。當一個新文件被上傳到網絡時，Arweave會詢問每臺計算機是否接受它。然而，人們會因為激勵而接受它，尤其是如果它是一個更大的文件的話，因為簡單來說，你存儲的越多，你得到的獎勵就越多。

還需要注意的是，現在啟動這個激勵機制還為時過早，因為沒有人真正得到一個他們愿意或不愿意支持文件的總清單。Arweave是相當新的；同時，上傳的數量是巨大的，瀏覽所有的文件將是相當困難的。

盡管如此，我們還是增加了這個功能，作為確保內容調節的方法之一。在這里，它不是關于傾向或內容偏好，而是Arweave在發明時試圖擺脫的東西。

關于代幣

Arweave有自己的貨幣——AR代幣。想要存儲數據的用戶必須購買它來支付存儲費用，反之提供存儲的計算機必須接受AR代幣作為付款。但有趣的是，付款并不直接給每個礦工，而是匯集起來，隨著時間的推移分配給網絡。

這個費用池被稱為存儲基金。其目的是為未來的數據從這個超額收費的AR池中提供保障。其費用是由用戶支付的挖礦獎勵，因為這個池子隨著時間的推移而增長，它能夠在很長一段時間內為礦工支付未來的報酬。

需要補充的是，Arweave上的存儲是一次性付款，而不是基于訂閱的方式。但是，數據是永久存儲的，這使得Arweave對客戶和網絡都有吸引力，使其成為一種具有真正效用的貨幣。AR代幣的供應量有限，只有6600萬。請查看本指南，了解如何在世界任何地方獲得它。

Tags：WEAVEAVEARWArweavearweave幣被低估SAVE幣Narwhalswaparweave幣團隊

DAI