FX168财经网_全球视野外汇黄金加密货币NFT资讯网

用零知识证明架起多链宇宙的跨链桥

历史上一些最大的黑客攻击都发生在桥上安全漏洞的主要原因是由于跨链桥作为中心化存储单元的方式。大多数现有的跨链桥（用于流动性）通过锁定 - 燃烧 - 释放机制运行。典型的用户通过将链C1上的资金发送到将这些资金“锁定”到合约的桥协议来与桥进行交互，即这些资金在C1中不可用。然后，该桥允许用户在另一个区块链C2中铸造等效资金。一旦用户花费了一些资金并希望将剩余资金返还给C1，他就会“烧掉”C2中的资金，桥接实体对其进行验证，并“释放”C1中的剩余资金。在这样的链间跨链桥中，大量资金可能位于跨链桥中，其安全性依赖于少数受信任的各方，使其成为攻击的活跃目标。总而言之，建造跨链桥的主要技术挑战是低计算开销（高效处理跨域数据，场外算术）。低存储开销。（简洁）安全性/不可信。（稳健性）来源：金色财经

金色财经2022-10-20

Oasis网络：告别无隐私的透明人

018年9月，Facebook爆出由于安全漏洞遭受黑客攻击，导致3000万用户的信息被泄露。在这其中，又有1400万人用户的敏感信息被黑客获取。这些敏感信息包括：姓名、联系方式、IP地址、搜索记录等。同年12月，Facebook又因软件漏洞再次导致6800万用户私人照片被泄露；同年，万豪酒店5亿用户开房信息被泄露。万豪国际集团当时发布公告称，旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约5亿名客人的信息可能被泄露。被泄露的信息包括大约3.27亿客户的姓名、性别、地址、电话、邮箱、护照号码、出生日期等信息；此外，华住酒店5亿条用户数据疑泄露，被泄露的用户数据被发布在“暗网”售卖。包括用户身份证号、手机号、地址、邮箱等，共涉及5亿条公民信息。此次泄露的数据总计达5亿条，打包价售价为8个比特币或520个门罗币（当时约合人民币38万元）。除了以上这些典型例子之外，还有的大量隐私泄露事件，可谓是不胜枚举。比如Exactis大数据公司泄露2TB用户隐私信息，共计3.4亿条，涉及2.3亿人，被泄露数据包含的信息包括一个人是否吸烟、宗教信仰、是否养宠物等；美国功能性运动品牌Under Armour泄露1.5亿用户信息泄露，被泄露的用户数据包括用户名、邮箱和密码；国泰航空泄露约940万乘客数据信息；中东打车巨头Careem遭遇网络攻击导致1400万乘客信息失窃；法国外交部称紧急联络人信息数据库遭黑客入侵；美国监狱电话监控供应商Securus被黑，大量数据遭窃取；泰国最大的4G移动运营商TrueMoveH遭遇数据泄露；俄罗斯电信公司意外暴露数千名富豪客户个人信息；美国电信巨头Comcast爆漏洞，暴露2650万用户个人信息。以上这些案例只是过去数十年Web2网络中隐私泄露安全事件中的沧海一栗，缺乏隐私保护机制俨然是Web2时代的一个持续巨大痛点。此外，Web2.0时代缺乏隐私保护的现状之二是数据信息被随意买卖。Web2.0时代除了数据信息被广泛攻击的问题之外，还存在普遍的用户数据信息被互联网公司随意售卖问题。当今的Web2.0互联网公司主要是“流量驱动”型公司，商业盈利模式的核心是收集客户数据和以直接或者间接的形式出售客户数据。正是在这种畸形的商业盈利模式下，导致客户数据信息被大规模重复买卖，导致了大数据杀熟、大数据广告推送、用户数据随意被授权给第三方平台等典型无隐私保护的行为。我们可以普遍地发现，大量Web2.0网络的APP存在违规强制获取或者过度获取用户信息的行为：比如相机、定位、相册、通讯录、录音权限成为频繁调用的权限。据有关部门统计数据显示，约有95%以上的APP默认调用用户的相机权限；约有50%以上的app默认调用用户的位置权限；约有30%以上的APP默认调用读取通讯录联系人的权限...... 当前在隐私保护领域的法律现状是什么？Web2缺乏隐私导致了一系列的安全问题，引起了政府广泛的重视，世界上多个主要国家都出台了个人隐私保护法。其中美国是世界上最早提出并通过法规对隐私权予以保护的国家，美国在1974年通过《隐私法案》、1986年颁布《电子通讯隐私法案》、1988年又制订了《电脑匹配与隐私权法》及《网上儿童隐私权保护法》；德国联邦议院在1997年通过了Internet法律《多媒体法》；加拿大在2001年1月1日起实施《个人信息保护和电子文件法案》，所有收集用户信息数据的网站必须向它们的客户明确是谁在收集信息、收集什么信息以及为何收集信息；2021年8月，中国通过《个人信息保护法》，该法案要求不断加强企业应当遵循保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的知情权、决定权。通过多个世界主要国家在隐私保护领域陆续出台法案可以看出隐私保护的发展是已然是大势所趋。 Web3.0时代的隐私保护机制是什么？隐私保护已成为必然趋势，Web3是Web2的演进升级，Web3非常重视用户隐私安全，数据隐私成为了Web3.0的一个核心标准要求。在Web3.0时代，旨在通过隐私计算技术实现在保证数据本身不需要对外泄露的前提下就可以对数据进行分析处理，达到数据可用而不可见的目的。隐私计算是针对隐私数据进行全生命周期保护的计算方法，可以隐私数据的所有权、控制权、收益权和使用权分离确权，然后分别进行隐私度量、隐私保护与隐私分析。隐私计算的加密保护机制可以加强对数据的保护和降低数据泄露风险。目前市面上常见的隐私保护技术有多方安全计算、联邦学习、可信执行环境、同态加密、零知识证明和非对称加密等。在Web3.0领域，目前采用最广泛的隐私技术为多方安全计算、可信执行环境和零知识证明。 Oasis网络如何满足Web3.0时代的隐私保护需求？作为全球隐私计算龙头，Oasis从成立之初就有精准的定位，把隐私保护放在了Oasis网络建设的核心位置。目前在Oasis 网络上有两个隐私ParaTime：分别是Cipher 和 Sapphire。首先，Cipher是Oasis网络推出的与WebAssembly兼容的隐私ParaTime。在Cipher这种隐私 ParaTime中，节点使用可信执行环境 (TEE) 的安全计算技术保护用户数据隐私。通过使用密钥管理，将加密过的数据与智能合约一起发送进入黑匣子（黑匣子属于安全隔离区），在进入黑匣子后，先进行数据解密，数据解密后再用智能合约对数据进行处理，处理完成后在发送出黑匣子之前将数据再进行加密。这一执行过程中，在黑匣子内部运行的智能合约和数据因为与外部相隔离，所以不会被任何外部程序非法调用，也不会泄露给节点运营商或应用程序开发人员；其次，Oasis网络还推出了第二个隐私paratime Sapphire，Sapphire是全球首个也是目前唯一一个与兼容EVM的隐私智能合约。Oasis核心团队在目睹了EVM开发者社区的深度和广度之后，发现Solidity开发者在EVM智能合约中缺乏支持开发隐私Dapp的功能，于是Oasis核心团队推出了Sapphire来解决了这一问题。Sapphire 是一种全球首创的隐私EVM计算环境，允许 Solidity语言开发人员基于熟悉的开发环境使用隐私保护技术开发隐私Dapp。当前，大量的layer1公链都将主要精力放在了解决可拓展性问题，因为缺乏隐私保护等功能使得当前大部分layer1网络并不适配Web3时代对公链的需求标准。而Oasis除了将共识和计算分离来提升扩展性外，几年前就已经审视到了Web3隐私保护的核心需求，并推出了Cipher和Sapphire这两类隐私智能合约，Oasis在隐私保护方面相对其他layer1是极具竞争优势，有望成为适配Web3标准公链的全球领跑者。在Web3.0时代，告别无隐私的透明人，通过隐私保护技术的采用，使得个人信息更加安全，数据也无法被随意买卖。以Oasis为代表的一众隐私公链基础设施平台正在为Web3.0这一更好隐私愿景持续努力，让我们期待一个隐私权利真正得到捍卫Web3.0时代。来源：金色财经

金色财经2022-10-19

猛砸57万美元高薪！中国重金招募约30名英退役飞行员英国防部发布警告

Tusa)认为，这是一个骇人听闻的国家安全漏洞，因为这些英国教官教导中国飞行员如何击败西方战机。不过，据称被中国招募的飞行员中，没有人驾驶过最先进的F-35战机。

夏洛特2022-10-19

JZL Capital 数字周报第42期 10/17/2022

mos生态 BNB Chain由跨链桥安全漏洞导致的黑客事件发生后，Cosmos核心团队即开始对IBC进行审计，由此发现了一个严重漏洞，影响所支持IBC的链。目前该漏洞的补丁已经发布，未产生重大影响。跨链桥的安全性历来备受质疑，被戏称为“黑客提款机”。此前Cosmos生态和IBC机制并未出现严重黑客事件，或许只是由于生态中除ATOM外，并无高价值资产，且在离开生态DEX后，缺少可以变现的交易渠道。然而，随着当前生态发展向好，市值逐渐扩大，并引入了以太坊资产后，黑客攻击将更加有利可图。本次漏洞的发现和升级补丁有利于防患于未然，但效果如何还需拭目以待。 4 ）重点投资 Copper在C轮融资中已获投1.96亿美元，包括从新老股东处获得的1.81亿美元，以及1500万美元的可转换贷款票据。 Copper 成立于 2018 年，使用多方计算（MPC）技术，这是一种用于保护私钥的新兴加密方法，帮助保护加密资产免受网络犯罪侵害。该公司还提供支付结算和大宗经纪服务。 Copper 的标志性产品 ClearLoop 是一个将加密货币交易所连接在一起的系统，以实现即时、离线的交易结算。该产品系 Copper 与加密货币衍生品交易所 Deribit 合作推出，有了该工具，用户无需将自己托管账户中的加密货币资产转移到交易所的热钱包中，即可直接进行交易。ClearLoop 将交易所的入金和结算时间从 30-60 分钟缩短至 100 毫秒。随后，Copper 扩展了其 ClearLoop 交易框架，增加对机构级加密货币衍生品交易的支持。Copper 表示，新功能的推出旨在降低机构参与衍生品场外交易的风险。 4. DAO 去中心化自治组织 DeepDAO 项目简介： DeepDAO是一个DAO 的综合数据分析平台，提供24小时更新的 DAO相关的数据洞察，目前共收录了4828个DAO组织的相关信息；同时DeepDAO 基于多个维度对市面上现存的 DAO 组织进行资金规模、治理的分析和排名，类似于 DAO 版本的 defilama。功能介绍： 1. DAO的基本面信息汇总资金情况：直接检索对应dao项目的最新的国库资金量情况，并可细分到liquid和vesting两个维度。社区治理情况：Deepdao可根据由合约地址数量反映的dao社区成员数量、由投票议案更新速度反映的社区活跃度，对dao项目进行相关的排序评级。 2. 成员评级通过dao社区投票次数及提案数量和相应的被采用通过率，汇总并排名了各个DAO项目建设过程中的重要贡献者。 3. Daofeed 可按照信息流的形式，推送所订阅dao的链上行为。 4. 工具提供针对开发者，汇总了一系列dao基础工具。 5. DAO沟通软件目前正在开发中。商业模式：按提供信息的完整度，每月收费分25USD、450USD、3000USD三个版本。 Deepdao本身为中心化组织，目前暂无代币发行计划。小结： DeepDAO起步较早，且随着DAO生态的繁荣，自身的数据收录、分析等功能逐渐完善，属于DAO聚合分析赛道里最成熟的一批产品；未来mass adoption过后，DeepDAO势必有着更大的需求，成为一个更大的流量入口。目前产品在资产核算上还需要更大的包容度，目前仅支持核算ETH、SOL、Polkadot、KSM。项目20年3月上线，到22年10月的时间里，推特关注量一般，粉丝在1.3万左右，但用户整体口碑较好。目前项目组正在打造专门为DAO设计的聊天工具，未来值得关注。五、关于我们： JZL Capital 是一家注册于海外，专注区块链生态研究与投资的专业机构。创始人从业经验丰富，曾经担任过多家海外上市公司CEO和执行董事，并主导参与过 eToro 的全球投资。团队成员分别来自芝加哥大学、哥伦比亚大学、华盛顿大学、卡耐基梅隆大学、伊利诺伊大学香槟分校和南洋理工大学等顶尖院校，并曾服务于摩根士丹利、巴克莱银行、安永、毕马威、海航集团、美国银行等国际知名企业。 Website www.jzlcapital.xyz Twitter @jzlcapital 与我们联系我们一直在寻找有创意的想法、业务与合作机会，我们同样也期待您的阅读反馈，欢迎联系 hello@jzlcapital.xyz。如果以上内容存在明显的事实、理解或数据错误，欢迎给我们反馈，我们将对报告进行修正。来源：金色财经

金色财经2022-10-18

Cosmos 的 $8B 生态系统受到严重漏洞的威胁

所有启用 IBC 的区块链都有被“关键安全漏洞”利用的风险。关键要点 Cosmos 开发人员最近发现，一个严重的安全漏洞威胁到所有支持 IBC 的区块链。该攻击向量是在上周 BNB 链的攻击之后发现的。一个补丁已经私下传达给 Cosmos 开发者和验证者。上周的 BNB 链攻击导致 Cosmos 开发人员检查他们的 IBC 代码。他们发现了一个危及每个启用 IBC 的区块链的关键安全漏洞。宇宙妥协整个 Cosmos 生态系统似乎都受到一个漏洞的威胁。根据联合创始人 Ethan Buchman 今天在 Cosmos Hub 治理论坛上发布的公告，主要开发人员最近发现了一个“影响所有 IBC 版本的所有启用 IBC 的 Cosmos 链的关键安全漏洞”。 Cosmos 是一个分散的区块链网络，通过区块链间通信协议 (IBC) 连接，使用户能够从一个 Cosmos 区块链无缝跳转到另一个区块链。在撰写本文时，有42 个支持 IBC 的区块链，包括 Cosmos Hub、Osmosis、Cronos 和 Evmos。根据该项目的网站，所有启用 IBC 的链的市值加起来达到 81.8 亿美元。其他主要区块链如 OKX Chain、Luna Classic 和 Thorchain 过去也集成了 IBC。然而，由于各种原因，他们要么停用了该功能，要么一开始就没有完全启用它。BNB 链就是这些项目之一。最近针对它的攻击（在此期间，一名黑客从区块链的网桥中窃取了5.66亿美元）激励 Cosmos 开发人员研究其他 IBC 区块链是否可能容易受到相同的攻击。 Buchman 表示，已经采取措施修补主要的 IBC 区块链。该补丁最初是私下提供的，以便开发人员和验证者有时间在漏洞公布之前更新他们的链。据他介绍，超过三分之一的区块链投票权必须应用补丁才能确保项目安全。Cosmos SDK将于 10 月 14 日 14:00 UTC 发布补丁的公开版本。Buchman 建议所有 Cosmos 链和验证者尽快升级到公共补丁，即使他们已经集成了私有补丁。来源：金色财经

金色财经2022-10-17

听a16z讲安全：钱包的「非托管」谬论

成后，以明文形式登录到外部服务器。这种安全漏洞可能出现在代码的审计或开源实现中。缺乏透明度的钱包——以封闭的源代码为特征，对公众没有可用的第三方安全审计应该引起警觉。密钥存储密钥生成后，它们需要被隐藏在某个地方（不以明文形式，永远加密）。但是，仅仅拥有存储密钥的设备并不一定等同于密钥的所有权和控制权。必须考虑许多因素，如设备的供应链安全、设备的连接方式以及设备与哪些其他组件交互。此外，每种存储方法在安全性、可访问性、可维护性和可用性之间都有自己的权衡。下面，我们根据相关的所知的风险水平对最常见的钱包安全类别进行了分类。高风险：热钱包在其他条件相同的情况下，冷钱包比热钱包更安全，但它们也更难用。连接到任何网络的钱包都更容易被黑客攻击，因为它让攻击者有更多机会发现和利用漏洞。热钱包联网有两种形式： · 连接软件：在线数据库或 Web 服务器应用程序内存、浏览器扩展这些风险最高。因为钱包软件不管是否托管，都可以直接访问密钥——所有这些都与外部互联网相连。理想情况下，密钥应该是加密的，而用于加密它们的另一组密钥应该存储在专用的密钥管理系统（KMS）中，该系统具有高度限制的访问控制，如操作系统密钥链或云密钥管理系统。 · 连接硬件：专用设备、移动安全区域、在线硬件安全模块（HSM）连接硬件通常被认为比连接软件风险更低，但它仍然不如冷存储安全。在连接的硬件中，密钥只生成在专用硬件设备中。然后这些可以连接到内部或公共网络。这类设备通常承担与密钥管理相关的多重责任，包括密钥生成、签名和存储的安全性。还有硬件钱包，如 Trezor 和 Ledger。也有硬件安全模块，或称 HSM，通常用于更传统的业务设置，如处理敏感数据处理（如信用卡支付）的设置。设备的安全程度取决于生产和配置它们的供应链。当考虑连接硬件时，最好直接从可信的供应商那里购买设备。直接从源头运过来，确保包裹看起来没有损坏。也可以在使用之前验证固件版本和配置。当然，硬件钱包以后总是有可能被盗或被未经授权的一方访问。鉴于这些威胁，重要的是要确保硬件钱包也有安全的访问控制层——安全措施确保它们不会盲目地签署任何和所有的交易。控制可以包括密码要求、对交易的每一步要求明确许可的提示，以及描述交易实际操作的简单摘要。此外，大多数硬件钱包支持私钥加密，也称为「密钥包装」。风险较小：冷钱包在其他条件相同的情况下，冷钱包通常被认为比热钱包更安全，尽管它们通常也不太好用。冷钱包与任何内部或公共网络都没有连接。让我们回顾一些冷钱包选项： · 离线软件：离线服务器应用因为攻击者可以在任何时候偷窃或使机器在线，冷钱包应该设计在线时的安全系统。与连接软件相比，强烈推荐特殊用途的硬件，如 HSM，因为它们通常提供更多的控制。 · 离线硬件：离线硬件钱包、离线硬件安全模块（HSM）这种解决方案被认为是最安全的。与前面的类别类似，我们应该假设硬件可以被窃取并在线获取。因此，正如前面所讨论的，这些系统必须包含正确实现的访问控制层。许多 HSM 供应商要求在解锁密钥访问之前，必须有一定数量的物理智能卡聚集在一起。即使设备没有显示屏幕，它也应该为用户提供一些方法来验证交易的细节。因为冷钱包或离线钱包是最安全的一类，所以大公司管理的大多数资金都以这种方式存储，如 Coinbase 、Gemini、Kraken 等，以及 Anchorage。这些玩家中的许多人还会选择另一道防线——备份和恢复，以防万一他们失去访问权限，或者机器损坏、被盗或被摧毁。备份和恢复签名密钥应该在加密后进行备份。加密签名密钥和密钥包装密钥的重复是至关重要的。备份签名密钥的方法各不相同，但应该始终选择硬件本机解决方案。对于硬件钱包，备份通常涉及一个纯文本种子，从该短语派生出私钥。标准加密密钥具有可以导出密钥的机制，这些密钥在默认情况下使用访问控制进行加密。如果满足访问控制，则可以将密钥导入其他 HSM。大量的 HSM 还可以提供一个通用的加密密钥，该密钥来自于智能卡的法定数量。以这种方式将硬件与关键材料分离有助于避免单点故障。最后，还要考虑人为因素。恢复机制应能够承受帐户管理业务中涉及的任何个人的临时或永久不可用的情况。个人应确保在发生停机或其他紧急情况时，提供收回密钥的方法。与此同时，群体运营应该确定一个人数，在突发事件发生时能继续运营。密钥使用在生成并存储密钥之后，可以使用它们创建授权交易的数字签名。软件和硬件的组合越多，风险就越大。为了降低风险，钱包应该遵守以下授权和身份验证指南。可信任，但也要验证钱包应该需要验证。换句话说，应该验证用户的身份，并且只有授权方才能访问钱包的内容。这里最常见的安全措施是 PIN 码或密码短语。更高级的身份验证形式可以包括生物识别或基于公钥加密的批准，例如来自多个其他安全设备的加密签名。不要使用没有经过足够长时间的检验的钱包钱包应该使用完善的密码学库。做一些调查，以确保它们被审计和安全，以避免密钥材料泄漏或完全丢失私钥。使问题更加复杂的是，即使是受信任的库也可能具有不安全的接口，正如最近这些 Ed25519 库的情况一样。 Nonce 重用一个经过充分研究的密钥使用陷阱是某些加密签名参数的无意重用。有些签名方案可能需要一个一次性的意思，「只使用一次的数字」（一个任意的数字），意味着在一个系统中使用一次。因此，要确保正在使用完善的加密库。但这种攻击载体在 Web3 之外的高调黑客攻击中也曾被利用过，比如 2010 年的索尼 PlayStation 3 黑客攻击。一密钥一用另一个最佳实践经验是避免为多个目的重用同一密钥。例如，应该为加密和签名保留单独的密钥。这遵循了在妥协情况下的「最小特权」原则，这意味着对任何资产、信息或操作的访问应该仅限于对系统工作绝对需要的各方或代码。根据不同的用途，不同的密钥对备份和访问管理有不同的要求。在 Web3 生态中，最好的做法是在资产和钱包之间分离密钥和种子短语，这样一个帐户的泄露不会影响其他帐户。总结从生成到存储到使用的许多相互作用的部分和阶段，密钥的保管是一个棘手的问题。密钥所有权的托管或非托管性质并不像传统观念所认为的那样非黑即白。由于涉及到密钥管理的许多移动部分（从密钥生成到存储再到使用），情况变得复杂起来。这条链上的每一个硬件或软件都会引入风险，甚至会使原本不属于托管型钱包的选项暴露在托管型风险之下。对于未来，我们希望做更多的开发工作来保护钱包免受攻击，并降低上面讨论的风险。有待改进的领域包括： · 跨移动和桌面操作系统共享安全的开源密钥管理和交易签名库； · 共享的开源交易审批框架。还有共享和开源的开发： · 在不同的存储后端（在磁盘上加密，安全硬件等）实现最佳的安全密钥生成库； · 用于移动和桌面操作系统的密钥管理和交易签名库； · 交易审批流程框架，实现专门验证，如生物识别、基于 PKI 的审批、授权恢复等。来源：金色财经

金色财经2022-10-17

金色观察 | 从星巴克到可乐加密域名会是下个风口？

可以提供更为坚实的物权，让用户不易受到安全漏洞的影响，而这一切都将直接影响到ENS等代币的价值。广大投资者认为，Web3域名服务提供了重要的基础设施，这将使得Web3获得更广泛的采用，同时也将促进用户数量的增长。而对于他们来说，有两种投资方法值得参考：一种与互联网时代类似，可以趁早购买有潜在价值的优质域名；另一种做法则更安全，那就是是购买基础平台自己的代币，例如ENS。现阶段除ENS外，其它一些域名服务提供者如Unstoppable Domains、Avvy Domains和Space ID都还未推出自己的代币，不过它们很可能会采取类似策略，向现有域名持有者空投可溯源代币。以ENS为例，他们在空投期间对现有用户的平均代币奖励已达到15000美元。假如投资者不确定该押注哪个域名服务提供商，那么他们可以参考一下每个平台各自支持的应用程序以及合作伙伴，优先考虑那些能够整合最高质量及最多数量应用程序的域名服务提供商，因为作为Web3领域的标杆，他们肯定能提供最多的实用性。坦率地说，去中心化域名在实用性方面还有很大的潜力可以挖掘，用户体验和安全方面也存在着诸多问题，用户在参与新兴Web3加密经济时仍然阻力重重。不过令人欣慰的是，去中心化域名提供商至少已经在着手解决其中一个痛点了，那就是让Web3领域用户可以更容易识别对方、更轻松地进行交互，去中心化域名服务未来可期。本文部分内容编译自《福布斯》来源：金色财经

金色财经2022-10-15

金色观察 | 跨链桥的当前风险和未来发展

桥团队来说仍然是无法预见的其他识别协议安全漏洞。鉴于最近国家支持的加密欺诈的增多，这一点尤甚，导致了大规模的资本支持的攻击。一般来说，除非有紧急援助，不然黑客攻击的结果是一定的——所铸造、包装资产部分或全部贬值。这些风险远非假想。在过去的两年中，“包装资产相关”的黑客攻击占了前15大加密黑客攻击损失资金的66%，超过20亿美元。尽管总有一些天才工程师有可能创建一个不可破解的协议，但这种方式的风险是，每个协议看起来都是安全的、设计良好的……直到发现事实并非如此。协议构建者在残酷的零和游戏中博弈，失败的惩罚将是100%的资金损失。然而成功并不能确保稳定，只是意味着更复杂的攻击带来的潜在收益会增加。路线2：跨链流动性兑换正如不同国家的经济通过外汇和货币兑换市场相互连接一样，代币经济体也通过公开市场上的流动性（汇率）相连接。在外汇交易中，将欧元兑换成美元意味着将你的欧元卖给中间商，并从中间商那里购买美元（中间商指经纪人、交易商和运行“跨经济体桥”的大型金融机构）。这些中间商收取买卖差价（相当于桥接费）。这种商业模式需要大量的资金来处理完成大额及大量交易。尽管加密市场上有一些协议支持这种兑换模式，但最具流动性和效率的部署仍然出现在中心化交易所。然而，在中心化交易所（CEX），兑换是在单方监管下在链下进行的，这与倡导去中心化的加密社区背道而驰。因此，对此已投入大量的努力和资本，以期实现一个更加去中心化的进程。尽管THORchain使用RUNE进行流动性匹配兑换原生代币的方法很有前景，但它仍然依赖于用于入库的27/40门限签名方案（TSS）及用于出库的1/1单签名方案。任何对带有27/40 TSS的THORChain状态机或MPC节点的成功攻击都将给THORChain的流动性提供者带来重大风险。然而，在攻击期间不主动兑换的用户不会遭受任何损失，大部分损失发生在流动性提供者身上。 Layer 0 ——某种程度上，通信更加安全。 Layer 0（0层）指的是促进区块链之间去信任和去中心化通信的网络概念。假设1层和2层区块链的去中心化确保网络永远不会允许重复支出（UTXO），并且每个人的余额都是对的。在这种情况下，0层网络的去中心化将确保跨链数据和价值转移的合法性。 LayerZero是一个全链互操作性协议，它通过底层通信原语实现跨链应用。第一个利用LayerZero技术的应用是Stargate.finance——一个完全可组合的流动性传输协议，允许用户在不同链上的统一流动性池之间安全转移原生代币。即使假设跨链通信可以在技术上完全安全，跨链桥接的最终挑战仍然在于多重签名（Multi-sig）钱包的限制。用于去中心化钱包控制的最流行的技术要属Multi-sig（链上）和TSS（链下），它们只能有效地将资产池的控制权最多分配给数十个参与方，才不至对桥的性能产生实质性影响。总结当涉及跨链桥时，很难去量化每种方法的风险，但风险量化却很关键。对web3用户来说，有必要花时间了解一下包装资产桥的风险，因为向这些平台提供流动性会在发生攻击的情况下使投资者处于危险境地。像Cosmos IBC、Polkadot XCM、LayerZeros和Avalanche跨子网等流行解决方案要证明它们各自的模式需要花些时间，但钱包安全性仍将一如既往是加密行业的瓶颈，需要优化解决才能使可扩展的安全跨链应用成为可能。来源：金色财经

金色财经2022-10-14

Fintoch：为传统投资者降低 DeFi 门槛

集中化和缺乏隐私，以及后者的高波动性和安全漏洞。通过HyBriid，资金不再由任何单个实体控制。相反，"多重签名 "技术要求三方中的两方--借款人、平台和监管节点--签署并授权资金转移。此外，"零知识证明 "技术被用来支持 "多重签名"，防止借款人和监管节点之间的私下串通。通过这两者的结合，Hybriid将资金被盗的风险降低到几乎不可能，从而减轻了传统投资者对DeFi是 "黑暗森林 "的担忧。 Fintoch的CEO Bob Lambert说，"我们将秉承 "接触金融、享受金融 "的初衷，希望广大民众能够享受到金融平台的服务，从而实现普惠金融的美好愿景。” 关注Fintoch的Twitter、Reddit、 Telegram跟进他们的公告。关于Fintoch Fintoch是一个创新的区块链金融平台，由来自美国硅谷的Morgan DF Fintoch公司打造。它致力于突破传统金融的困境，弥补去中心化带来的短板。Fintoch提供多元化的金融服务，如借贷、投资、借款等。Fintoch的核心功能HyBriid结合了多重签名和零知识证明，大大促进了区块链安全技术的发展。来源：金色财经

金色财经2022-10-13

当Discord备受批评 Web3版Discord会是怎样的？

ord现存的网络钓鱼攻击、第三方机器人安全漏洞等问题，Console的替代优势主要是基于Web3原则构建，从而真正意义上达到去中心化、开源、安全和社区所有。据悉，用户可以直接使用网络钱包登录Console，身份也可以直接从区块链上查询，不需要第三方机器人，从而消除与机器人相关的漏洞；Console不拥有对用户身份数据的访问权限，可以保护用户免受数据泄露和黑客攻击。此外，访问Console会伴随一套 DAO 工具，用于财务管理、治理、赏金等。在Console发布后，核心团队将成立ConsoleDAO，将Console的未来发展交由社区管理。目前，Console已经推出测试版，并正在接受10个社区的申请。本月，NFT 项目Crash Punks拥有25000名成员的Discord社区已整体迁移至Console。官网：https://www.console.xyz/ 推特：https://twitter.com/consoledao 来源：金色财经

金色财经2022-10-13

24小时热点