FX168财经网_全球视野外汇黄金加密货币NFT资讯网_关键字搜索-FX168

全球数字财富领导者

CoNET｜客户端｜旧版｜｜

FX168 全球视野中文财经

登录 / 注册

JZL Capital 数字周报第42期 10/17/2022
go
降原因当然与Mango Market的黑客攻击事件分不开关系，可以看到最近一周内Mango的TVL归零，同时Solana生态内另外4个dapp的TVL也有超过50%的下降，生态资金收缩严重。 Mango是Solana生态中较为头部的借贷项目，具备杠杆交易和借贷功能，由于DeFi的可组合性，多个使用Mango的DeFi项目也受到本次攻击的影响。经过多日的跟踪，Mango 漏洞事件的幕后推手 Avraham Eisenberg浮出水面并布声明确认是由其策划了对 Mango 的攻击，其加入了一个执行高利润交易策略的团队，并通过使用设计好的协议完成了“合法”的公开市场行动。 Avraham Eisenberg 共计投入 1000 万美元，平均分为2个账户进行价格操纵（多空双开的原因在于，Mango 平台深度较差，如果不和自己作对手盘，仓位就很难开到这么高）：首先向第一个帐户（CQvKSNn...）提供了500万枚USDC（包含测试）；随即在订单簿中提供了4.83亿单位的MNGO perps（做空）；再向第二个账户（4ND8FVPjU...）注资500万枚USDC（包含测试）；然后以每单位0.0382美元的价格做多了4.83亿单位的MNGO perps；完成初步建仓后，黑客转身攻击多个平台上 MNGO 的现货价格，致使价格出现 5- 10倍的增长，该价格通过 Pyth 预言机传递到其中 Mango 交易所，进一步推动价格上涨；该行为最终操纵价格预言机将 Mango Token 价格提高接近24倍，从 0.0382 美元上涨至 0.91 美元，空头账户资不抵债，但多头账户有约4亿美金的账面利润，这提高了抵押品的价值，使 Eisenberg 及其团队能够从协议中借到更多的资金，如BTC、USDT、SOL、USDC等资产，最终从 Mango Markets 获利 1.14 亿美元。可怕的是，早在今年三月，名为 @Ozcal 的 Discord 用户就在社群中提醒，Mango 对 MNGO 的头寸没有进行限制，可能导致黑客利用价格攻击，套取平台资产。攻击成功后，剧情走向开始不同，这次黑客的“戏瘾很足”，自己发布了一项新提案，表示希望官方利用国库资金（7000 万美元）偿还用户的协议坏账，自己偿还接近一半资产，另一半留下作为赏金。虽然提案因为没有达到规定票数未通过，但提案获得 3290 万投票赞成（99%），其中 3241 万票由黑客自己所投。 Mango 社区16日已投票同意 Eisenberg 保留 4700 万美元，同时将剩下的 6700 万美元返还给项目。根据链上数据，投票开始后不久，Eisenberg 归还价值约 800 万美元的 Token。剩余资金现已归还给 Mango Markets（Solana 和以太坊链上），其中包括 4800 万美元的 SOL、1000 万美元的 USDC 和 9 万美元的 GMT。 3 ）Cosmos生态 BNB Chain由跨链桥安全漏洞导致的黑客事件发生后，Cosmos核心团队即开始对IBC进行审计，由此发现了一个严重漏洞，影响所支持IBC的链。目前该漏洞的补丁已经发布，未产生重大影响。跨链桥的安全性历来备受质疑，被戏称为“黑客提款机”。此前Cosmos生态和IBC机制并未出现严重黑客事件，或许只是由于生态中除ATOM外，并无高价值资产，且在离开生态DEX后，缺少可以变现的交易渠道。然而，随着当前生态发展向好，市值逐渐扩大，并引入了以太坊资产后，黑客攻击将更加有利可图。本次漏洞的发现和升级补丁有利于防患于未然，但效果如何还需拭目以待。 4 ）重点投资 Copper在C轮融资中已获投1.96亿美元，包括从新老股东处获得的1.81亿美元，以及1500万美元的可转换贷款票据。 Copper 成立于 2018 年，使用多方计算（MPC）技术，这是一种用于保护私钥的新兴加密方法，帮助保护加密资产免受网络犯罪侵害。该公司还提供支付结算和大宗经纪服务。 Copper 的标志性产品 ClearLoop 是一个将加密货币交易所连接在一起的系统，以实现即时、离线的交易结算。该产品系 Copper 与加密货币衍生品交易所 Deribit 合作推出，有了该工具，用户无需将自己托管账户中的加密货币资产转移到交易所的热钱包中，即可直接进行交易。ClearLoop 将交易所的入金和结算时间从 30-60 分钟缩短至 100 毫秒。随后，Copper 扩展了其 ClearLoop 交易框架，增加对机构级加密货币衍生品交易的支持。Copper 表示，新功能的推出旨在降低机构参与衍生品场外交易的风险。 4. DAO 去中心化自治组织 DeepDAO 项目简介： DeepDAO是一个DAO 的综合数据分析平台，提供24小时更新的 DAO相关的数据洞察，目前共收录了4828个DAO组织的相关信息；同时DeepDAO 基于多个维度对市面上现存的 DAO 组织进行资金规模、治理的分析和排名，类似于 DAO 版本的 defilama。功能介绍： 1. DAO的基本面信息汇总资金情况：直接检索对应dao项目的最新的国库资金量情况，并可细分到liquid和vesting两个维度。社区治理情况：Deepdao可根据由合约地址数量反映的dao社区成员数量、由投票议案更新速度反映的社区活跃度，对dao项目进行相关的排序评级。 2. 成员评级通过dao社区投票次数及提案数量和相应的被采用通过率，汇总并排名了各个DAO项目建设过程中的重要贡献者。 3. Daofeed 可按照信息流的形式，推送所订阅dao的链上行为。 4. 工具提供针对开发者，汇总了一系列dao基础工具。 5. DAO沟通软件目前正在开发中。商业模式：按提供信息的完整度，每月收费分25USD、450USD、3000USD三个版本。 Deepdao本身为中心化组织，目前暂无代币发行计划。小结： DeepDAO起步较早，且随着DAO生态的繁荣，自身的数据收录、分析等功能逐渐完善，属于DAO聚合分析赛道里最成熟的一批产品；未来mass adoption过后，DeepDAO势必有着更大的需求，成为一个更大的流量入口。目前产品在资产核算上还需要更大的包容度，目前仅支持核算ETH、SOL、Polkadot、KSM。项目20年3月上线，到22年10月的时间里，推特关注量一般，粉丝在1.3万左右，但用户整体口碑较好。目前项目组正在打造专门为DAO设计的聊天工具，未来值得关注。五、关于我们： JZL Capital 是一家注册于海外，专注区块链生态研究与投资的专业机构。创始人从业经验丰富，曾经担任过多家海外上市公司CEO和执行董事，并主导参与过 eToro 的全球投资。团队成员分别来自芝加哥大学、哥伦比亚大学、华盛顿大学、卡耐基梅隆大学、伊利诺伊大学香槟分校和南洋理工大学等顶尖院校，并曾服务于摩根士丹利、巴克莱银行、安永、毕马威、海航集团、美国银行等国际知名企业。 Website www.jzlcapital.xyz Twitter @jzlcapital 与我们联系我们一直在寻找有创意的想法、业务与合作机会，我们同样也期待您的阅读反馈，欢迎联系 hello@jzlcapital.xyz。如果以上内容存在明显的事实、理解或数据错误，欢迎给我们反馈，我们将对报告进行修正。来源：金色财经
金色财经2022-10-18
万字详解LayerZero Labs：普及全链资产抢占多链生态核心
 go
合约权限漏洞导致用户资产流失跨链桥是黑客攻击的高发地带，历史上最大的几次资产流失都来自跨链桥而跨链桥随着支持的功能越来越丰富，在升级过程中可能将会出现各种漏洞，将有可能造成用户资产流失。多链格局无法持续对于当下多链格局，有一种比较流行的批评是：同一些协议（AMM、借贷、GameFi 等）被不断地复制到新公链上重新开设赌局。当圈内逐渐厌倦这样的玩法后，将会使得用户对跨链的需求降低。但是当前以太坊的费用性能问题还是无法解决，加上这轮新公链的火爆已经大量培养了新用户去多链参与的习惯后，我们认为多链格局的熄火在可预见的未来发生的可能性还是比较小的。结论我们认为， Layerzero Labs 团队在跨链通讯方案上以较低的成本换取了可观的安全性，并在资产兑现环节解决了资产兑现的不可能三角。这都离不开团队对区块链安全和数学层面的理解和创新能力，为用户提供了更高性价比的安全方案和更高资本效率的跨链资产兑现。这两项优势已帮助 Stargate 在跨链桥市场获得了可观的份额和收入，相信 Stargate 将能成为多链格局中的重要选手。 Stargate 作为当前 Layerzero Labs 的主要商业化产品，其估值在当前熊市环境下已逐渐进入了较合理的估值区间了。所以相较于高昂的一级市场估值，投资者应更密切关注 Stargate 的业绩表现和功能更新，在能接受的估值倍数下直接投资其代币。来源：金色财经
金色财经2022-10-18
成都链安：PLTD安全事件简析
 go
警与监控平台检测显示，PLTD项目遭受黑客攻击，其交易池中的所有BUSD被全部兑空。攻击交易：0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0，攻击者地址：0x6ded5927f2408a8d115da389b3fe538990e93c5b 攻击者共获利24,497BUSD。经过Beosin安全团队分析，本次攻击主要是利用了PLTD合约中的代码漏洞，通过闪电贷攻击将Cake-LP(0x4397c7)中的PLTD代币余额降为1，然后用手中的PLTD将所有的BUSD全部兑换到攻击合约中。具体细节如下：第一步：攻击者通过DODO协议的闪电贷发起了2次闪电贷借贷，同借贷66.6万 BUSD，作为攻击准备金；第二步：攻击者将66.6万的BUSD全部兑换为157万的PLTD代币，此时，攻击者手中已经持有的大量的PLTD代币，后续将利用这些代币达到操控Cake-LP中的PLTD代币余额的目的；第三步：攻击者查询当前的bron值与Cake-LP的PLTD余额，这是在做攻击前的检查，注意这两个值很关键，关系到攻击的成败；第四步：攻击者直接向Cake-LP(0x4397c7)发送了11.6万的PLTD代币，注意，这个数量刚刚是上一步中Cake-LP中的PLTD代币余额的两倍减去1 为什么是这个数字，我们结合代码就很明显的能够看出来： (1) 直接转账，调用transfer函数 (2) 由于目标地址是uniswapV2Pair，进入344行的else if分支，并且由于from地址是攻击合约，takeFee为true，并调用内部函数_tokenTransferSell (3) _tokenTransferSell函数内部代码如下，注意第423-426行，这部分代码将_bron设置为本次转账数量的一半，即Cake-LP的余额减去1，让我们记住这个_bron的值；第五步：让我们继续回到攻击过程，这里攻击者使用skim将第四步多转入的PLTD取回，由于PLTD合约的transfer函数中，如果from地址是uniswapV2Pair，那么将会调用_tokenTransferBuy这个函数细节不重要，我们知道他不会影响_bron的值就行了。第六步：图穷匕见，前面所有的操作都是为了这一步做准备。这一步，攻击者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae这个地址转入1 PLTD，由于这个地址不是Cake-LP的地址，这次转账调用的内部函数是_tokenTransfer这个内部函数，其代码如下：这里我们直接看问题代码，也就是第451行到456行，由于第四步中，我们将_bron设置为了Cake-LP的余额减去1，并且在第五步恢复了Cake-LP的余额，这一步直接将Cake-LP的余额减至1(这里略去了通缩分红型代币的tAmount与rAmount转换，这个转换在本次攻击中并不重要)，然后再调用Cake-LP的sync函数，将余额同步为reserve，此时reserve如下：第七步：攻击者将手中的所有PLTD代币，全部兑换为BUSD，几乎掏空了Cake-LP的全部BUSD余额，攻击者获得了69万的BUSD。并将其中的66.6万 BUSD归还闪电贷，剩余为本次攻击获利24,497 BUSD，并全部转入了0x083c057221e95D45655489Fb01b05C4806387C19地址，截止发文时，该资金未进行转移，Beosin Trace对被盗资金进行持续监控与追踪。针对本次攻击事件，Beosin安全团队提出以下建议： (1) 在合约上线之前，项目方应寻找第三方安全公司进行完整的安全审计； (2) 在代币合约中，直接操作Pair的代币余额是非常危险的行为，建议项目方如非必要，千万不要进行此操作；来源：金色财经
金色财经2022-10-18
比特币目前已经失败了它完全背离了中本聪的设计理念
 go
平台现在比传统银行更容易受到隐私泄露和黑客攻击。在他最初的比特币宣言中，创造者中本聪特别谈到了 “传统银行模式 ”是如何通过 “限制有关各方和受信任的第三方对信息的访问 ”来维护隐私。在这里，薄弱环节是受信任的第三方，这通常是控制我们使用的银行账户和电子系统的金融机构。这些机构可能会受到法律的压力，被要求交出信息，或者干脆被恶意的行为者入侵。相比之下，中本聪使用一种叫做区块链的分布式账本技术，设计了比特币系统，使用整个互联网的志愿计算机网络（称为节点）来保存记录和处理交易。交易方只能通过加密的密钥对来识别，这些密钥对在每次交易发生时都会重新生成。这防止了交易被持续追踪和 “链接到一个共同所有者”。不幸的是，今天大多数加密货币的工作方式，与使用传统银行渠道或现金相比，你作为交易方的身份更容易被确认。这是区块链专家Gurvais Grigg最近在接受CNBC采访时所说的。 “与其他形式的法币欺诈不同，有了区块链中的加密货币……就有了记录……这种透明度和在全球范围内访问该记录的速度使得对这些类型的欺诈的调查比传统金融加快。”—— Gurvais Grigg，Chainalysis首席技术官和前联邦调查局助理局长对中本聪和他的宣言的彻底背叛现在是区块链爱好者们问这个问题的时候了。比特币设计的主要原则——隐私、防欺诈、非通货膨胀——是否已被今天的区块链运营商完全破坏？最近加密货币交易所和数字钱包因黑客攻击而遭受的一连串损失，确实让人怀疑他们的系统是否比传统银行模式更糟糕。 2022年10月8日，世界上最大的加密货币交易所——Binance遭到了5.7亿美元的黑客攻击。这只是2022年期间一连发生的13起不同的区块链黑客攻击事件中的最新一起，导致约20亿美元被盗。在这次Binance事件中，黑客铸造了200万个Binance币（BNB）——这是世界上第五大加密货币，并将其中的大部分转移到他自己的数字钱包。这样的情况正是中本聪在创建比特币时想要防止的。在题为 “计算”的一长节中，他特别描述了数学证明，说明为什么他的设计不会 “让系统向任意的变化敞开，比如凭空创造价值或拿走从不属于攻击者的钱”。不幸的是，他出色设计的这一方面是最先被后来的区块链运营商破坏的东西之一。此后创建的许多加密货币都是无限供应的，包括一些投机性最强的货币，如Solana、Dogecoin和Shiba Inu。这比中央银行的做法更糟糕。至少，一个国家的货币是以其经济价值为支撑的。另一方面，加密货币的价值往往只基于其创造者和追随者认为的价值——其中有一大批是由其创造者在一开始就凭空创造的。这也正是中本聪不希望看到的。比特币被设定为只有在志愿者节点为维护网络做出贡献时才会被创造出来，从而为其用户社区产生实际价值。回归到对某人的信任当你看到加密货币的世界，以及它如何催生了整个去中心化金融（DeFi）的运动，人们不禁要问，我们是否又绕回了我们开始时的问题。 DeFi是一个新的术语，描述了数字交易所、钱包和贷款平台的整个运动，基本上使用加密货币和区块链来做传统银行几个世纪以来做的事情。除了使用区块链技术来做会计和簿记，而不是传统的数据库之外，唯一的区别是，“受信任的第三方”现在是创建和运行这些DeFi平台的人。在任何信任系统中，不可避免地会有不良行为者或薄弱环节。为了克服这个问题，中本聪把比特币设计成不依赖任何人，甚至不依赖他自己和他早期的比特币支持者们。他还让它不依赖于单一的计算机系统或网络。但现在所有这些都被撕掉了。 DeFi本质上只是传统银行模式的翻版，用不同的方式保存记录，由新的公司和个人管理。但是，如果以某种方式使金融系统更加有效和可靠，那么为什么不呢？这里的问题是，只要需要信任第三方，那么就需要有一层监督和监管，以防止欺诈和确保问责。因此，政府的规则和政策将会出现，以管理许多为公众服务的DeFi公司，这些公司已经兴起。当尘埃落定，他们将成为一个制度化和受监管的行业，就像传统金融一样。这没有错，但这肯定不是中本聪的意图。区块链社区需要重新思考比特币和区块链技术背后的最初目的。他们需要问自己，他们是否真的创造了更好的东西，还是在贪婪和炒作中忽略了创始人的愿景。区块链和加密货币是否真的让世界变得更加公平，摆脱了中央权威？还是我们又回到了原点？ P.S.：目前涉及加密货币平台的麻烦浪潮可能只是冰山一角。四年前，我曾写过企业和初创公司如何不顾区块链的固有缺陷而跳上区块链的浪潮。还有许多基于区块链的企业很快就会亏损，不管是由于黑客还是仅仅是在他们自己有缺陷的可行性意识下摇摇欲坠。来源：金色财经
金色财经2022-10-18
为什么 BNB 的复兴尝试应该成为投资者的重要关注点
 go
日，该比率也是 4.449%，这表明该黑客攻击不足以破坏 BNB 生态系统。因此，目前的汇率意味着 BNB 的已实现价值超过了市场价值。因此，BNB 持有者可能面临资产损失更多价值的风险。此外，MVRV 是唯一受影响的链上指标。根据 Santiment 的说法，大假发投资者最近对代币的兴趣趋于负面。鲸鱼供应百分比显示为 41.94%——自 10 月初以来有所下降。你应该少信任 BNB 吗？根据期货市场的最新消息，BNB 投资者可能需要降低对长期上涨的信心。据 Coinglass 称，最近渴望该代币的 BNB 交易者感受到了市场的愤怒。截至发稿时，BNB 多头清算在 10 月 16 日凌晨为 106,230 美元。与最低 15,590 美元的空头清算相比，这已经很多了。然而，发稿时数据显示，BNB 可能不会上涨，尤其是前两天显示有更多的多头清算。由于 BNB 在过去 24 小时内损失了 22% 的交易量，因此投资者可能有必要停止购买可能进一步下跌的底部。尽管如此，毫无疑问，市场动能随时可能发生变化。来源：金色财经
金色财经2022-10-18
重磅！万事达宣布进入加密货币行业，成为加密货币平台与银行之间的“桥梁”
go
月以来，加墨货币行业遭受了数十亿美元的黑客攻击，再加上多个高知名度公司的破产。万事达的首席数字官说，民意调查仍然显示出对加密货币资产的需求，但大约60%的受访者表示，他们宁愿通过现有银行试水。万事达首席数字官Jorn Lambert在接受CNBC采访时表示：“有很多消费者对此非常感兴趣，对加密货币感到好奇，但如果这些服务是由他们的金融机构提供的，他们会感到更自信，这对一些人来说还是有点吓人的。” 大型投资银行如高盛、摩根士丹利和摩根大通都有专门的加密货币团队，但在很大程度上避免了向消费者提供加密货币。就在上周，摩根大通首席执行官Jamie Dimon在国际金融研究所的一次活动中称加密货币为“去中心化的Ponzis”。如果银行真的接受这种万事达合作模式，可能意味着与Coinbase等其他在美国运营的交易所展开竞争。万事达表示，他们的作用是通过遵循加密货币合规规则、验证交易并提供反洗钱和身份监控服务，使银行站在监管的正确一边。万事达卡将在明年第一季度试行加密货币产品，然后“摇动手柄”，在更多的地区进行推广。Lambert拒绝透露到目前为止有哪些银行已经签约。虽然行业正在经历熊市或“加密货币的冬天”，但Lambert说，更多的活动可能会导致更多的交易，并推动万事达的核心业务。 Lambert说：“如果认为一点点的冬天就预示着加密货币的结束，那是短视的，我们不这样认为。随着监管的到来，加密货币平台将有更高程度的安全性，目前的很多问题都将在未来几年中得到解决。” 万事达和Visa都在加密货币领域开展了合作。万事达已经与Coinbase就NFTs和Bakkt进行了合作，让万事达网络中的银行和商户提供加密货币相关服务。上周，Visa与FTX开始合作，在40个国家提供加密货币借记卡，有超过70个加密货币合作伙伴。美国运通则表示，正在探索将运通卡和网络稳定币挂钩，稳定币是与美元或其他法定货币的价格挂钩的加密货币。具有讽刺意味的是，加密货币旨在颠覆银行和万事达和Visa等中间商。它们的基础技术区块链允许交易在没有中间人的情况下进行。不过Lambert说，他们还没有看到加密货币行业对他们的参与有任何抵触情绪。他说，加密货币正处于“真正走向主流的边缘”，仍然需要与现有的参与者合作，才能达到目的。 Lambert说：“很难相信，如果不拥抱我们所知的金融业，加密货币行业还能真正成为主流。”
Sue2022-10-17
久跌不破怎么办
 go
lana生态DeFi平台Mango遭遇黑客攻击，损失超1亿美元。点评：之前是宕机，现在是攻击，要走的路还有很长，生态封闭性暂时还不会打开，熊市表现不会有亮眼的时候，可能宕机和攻击事件对价格影响较小算是亮眼时刻吧。目前Avalanche链上DeFi协议总锁仓量为14亿美元（同样在下降），锁仓资产排名前五分别为AAVE（6.1亿美元）、Benqi（2.37亿美元）、Trader Joe（1.35亿美元）、Platypus Finance（9445万美元）、Stargate（9130万美元）。点评：Solana和Avalanche一直以来都是难分伯仲，目前5亿美元的差距其实可以忽略，相较于Solana具有一定的开放性优势，但是技术上属于同一档。关于以太近期还是在跟随大饼，本月底或是下月初如果下跌，以太跌幅应该会更大一些，这一周ETH2.0合约新质押量虽然超过了7w枚，但是还是在减少，说明以太链上活跃度在下降。大饼的链上情况暂时看起来趋于中性，鲸鱼买卖差距没有拉开，也并不是很活跃，但是5-7年最后活跃供应量超过了100w枚，近两年的高点，不能说是利空，只能说不算利好，供应量大是利空，能换水是利好，熊市中偏利好一点，牛市利空。关于山寨，很多山寨项目其实主要是依靠DeFi在发展，随着很多人恐慌的金融危机要来，我的理解是债务危机要来，债权贬值会带来一系列连锁反应，连带的会波及到很多山寨项目，信任崩塌什么机制都没用了，这也是山寨在熊市中持续低迷的原因，流动性降低。很多都已经跌破六月低点了。说一个上一轮表现还不错的项目，gala，很多项目操作方式大同小异。它的总节点是5w个，截至目前卖出了不到4w个，按照现在9.6w美元一个的价格来计算，日产160枚gala，单价0.36美元，就是每天收益58美元，十万除以58等于1724天，回本需要4.7年，一定要说牛市不是这样的，可以一年回本，那我只能说你永远无法确定牛市何时会来，会持续多久。下一轮牛市拉盘的话，那么抛压就大了，项目初期拉盘是为了卖节点，但是山寨项目一旦成熟，就会出现天量抛压吓得利益相关方不敢拉。反弹博空，下跌不追。不破六月点位不找机会。来源：金色财经
金色财经2022-10-17
应用链理论无懈可击吗？可组合性与自主性的博弈
 go
想让加密货币行业被认真对待，就需要减少黑客攻击造成的价值损失。这并不意味着 IBC 是不安全的，然而，在 BNB 事件之后，我们进行了一些深入的调查。我们发现，一个会影响所有启用 IBC 的链的漏洞。这里我要向 Cosmos 团队致敬，因为他们在造成更多损失之前就发现了这个问题。 2021 年 1 月，Informal Systems 对 Cosmos Go 模块（用于实施 IBC）进行了审计，虽然我不怀疑他们的能力，他们比我聪明得多，但如果能看到其他独立方对该模块进行审计会更好一点。尽管 Informal Systems 没有参与这个模块的 build，但他们直接受益于这个模块，因为他们的业务是建立在这个模块之上的，这就成了一个利益冲突。生态系统内的自相残杀生态系统内的自相残杀主要会对 ATOM Token 产生不利影响。多个协议正试图获得生态系统中不同形式的价值积累，因为 Cosmos Hub 在实施方面进展缓慢。这不一定是坏事，因为它可以被视为为任何人提供价值，而不是成为将其保留在内部的看门人。作为新的 ATOM 2.0 路线图的直接竞争者，需要关注的主要是：Celestia。 Celestia 是一个模块化的区块链，允许其他链连接到他们现有的共识，而不要求他们创建自己的共识机制，为这些链之间提供了共享的安全。其价值主张是，与使用 IBC 和 ICC 相比，在 Celestia 上部署会更加容易。同时，Celestia 还能够通过仅从块而不是整个网络下载随机数据样本的可用性采样与加入其网络的用户数量一起扩展 -> 证明整个块是可用且可验证的。块的大小能够随着用户（轻节点）的数量而增长，因为基础层不需要下载整个块，因此不需要不断增加硬件要求。开发者的复杂性像 Celestia 这样的竞争对手会出现的主要原因之一是 Cosmos SDK 的笨重，与只在 Ethereum 上启动相比，开发者在 Cosmos 上运行和维护自己的链成为一个更大的任务。对于大多数需要受益于可组合性便利的应用程序来说，笨重和孤立可能不是一个好主意。另外，目前以太坊的路线图已经朝着向应用链和 Rollup 的方向发展了，并优先考虑这个方向的发展。IMX 就是一个例子，Arbitrum Nova 也是如此。尽管如此，竞争对行业的发展是健康的，因为用户会从高质量的产品获得更好的体验。那么，谁会从中受益？答案是 ATOM Token，因为他们打算推出链间安全，可以实现更好的价值捕获。当我为应用链争论时，我提到它有利于互操作性，一些人可能已经大概猜到 Synapse 可能值得关注。该团队面对跨链的未来正跃跃欲试，因为它比其他跨链桥协议更好地利用了资本。 Synapse 已经开始建立 Synapse 链，它正在准备一个跨链的信息传递系统，在链之间安全地发送任何任意数据。它将提供一个接口，促进开发者建立跨链用例的过程。 Synapse 还包含 IBC 以外的跨链桥基础设施，它使您能够在 18 个不同的 L1/L2 之间进行桥接。主要收获从区块链的角度来看，应用链理论与当前主流区块链是不同的。虽然你说有其他区块链，如 Solana 和 Avalanche，它们也是 PoS 区块链，但除了速度之外没有明显的差异化。 Cosmos 生态系统提供了一些不同的东西，尽管到目前为止已经发生了令人印象深刻的发展，但仍有很长的路要走。然而，毫无疑问，正在建设的基础设施为该空间提供了一个净收益，因为从用户的角度来看，应用建立在什么链上并不重要——只要它易于使用并能吸引需求，人们就会使用它。因此，Cosmos 和以太坊是一个道理。但是，当协议发布时，我会对不使用链间安全的协议采取一些预防措施，特别是如果他们没有大量使用 Cosmos SDK 的成熟经验。最后，这是跨链基础设施的第一次迭代，毫无疑问，随着时间的推移，人们在各个链上的体验会更加丝滑无缝。你对跨链的未来有什么看法？来源：金色财经
金色财经2022-10-17
听a16z讲安全：钱包的「非托管」谬论
 go
使用可靠的算法进行加密。今年夏天遭到黑客攻击的 Slope 钱包的密钥生成后，以明文形式登录到外部服务器。这种安全漏洞可能出现在代码的审计或开源实现中。缺乏透明度的钱包——以封闭的源代码为特征，对公众没有可用的第三方安全审计应该引起警觉。密钥存储密钥生成后，它们需要被隐藏在某个地方（不以明文形式，永远加密）。但是，仅仅拥有存储密钥的设备并不一定等同于密钥的所有权和控制权。必须考虑许多因素，如设备的供应链安全、设备的连接方式以及设备与哪些其他组件交互。此外，每种存储方法在安全性、可访问性、可维护性和可用性之间都有自己的权衡。下面，我们根据相关的所知的风险水平对最常见的钱包安全类别进行了分类。高风险：热钱包在其他条件相同的情况下，冷钱包比热钱包更安全，但它们也更难用。连接到任何网络的钱包都更容易被黑客攻击，因为它让攻击者有更多机会发现和利用漏洞。热钱包联网有两种形式： · 连接软件：在线数据库或 Web 服务器应用程序内存、浏览器扩展这些风险最高。因为钱包软件不管是否托管，都可以直接访问密钥——所有这些都与外部互联网相连。理想情况下，密钥应该是加密的，而用于加密它们的另一组密钥应该存储在专用的密钥管理系统（KMS）中，该系统具有高度限制的访问控制，如操作系统密钥链或云密钥管理系统。 · 连接硬件：专用设备、移动安全区域、在线硬件安全模块（HSM）连接硬件通常被认为比连接软件风险更低，但它仍然不如冷存储安全。在连接的硬件中，密钥只生成在专用硬件设备中。然后这些可以连接到内部或公共网络。这类设备通常承担与密钥管理相关的多重责任，包括密钥生成、签名和存储的安全性。还有硬件钱包，如 Trezor 和 Ledger。也有硬件安全模块，或称 HSM，通常用于更传统的业务设置，如处理敏感数据处理（如信用卡支付）的设置。设备的安全程度取决于生产和配置它们的供应链。当考虑连接硬件时，最好直接从可信的供应商那里购买设备。直接从源头运过来，确保包裹看起来没有损坏。也可以在使用之前验证固件版本和配置。当然，硬件钱包以后总是有可能被盗或被未经授权的一方访问。鉴于这些威胁，重要的是要确保硬件钱包也有安全的访问控制层——安全措施确保它们不会盲目地签署任何和所有的交易。控制可以包括密码要求、对交易的每一步要求明确许可的提示，以及描述交易实际操作的简单摘要。此外，大多数硬件钱包支持私钥加密，也称为「密钥包装」。风险较小：冷钱包在其他条件相同的情况下，冷钱包通常被认为比热钱包更安全，尽管它们通常也不太好用。冷钱包与任何内部或公共网络都没有连接。让我们回顾一些冷钱包选项： · 离线软件：离线服务器应用因为攻击者可以在任何时候偷窃或使机器在线，冷钱包应该设计在线时的安全系统。与连接软件相比，强烈推荐特殊用途的硬件，如 HSM，因为它们通常提供更多的控制。 · 离线硬件：离线硬件钱包、离线硬件安全模块（HSM）这种解决方案被认为是最安全的。与前面的类别类似，我们应该假设硬件可以被窃取并在线获取。因此，正如前面所讨论的，这些系统必须包含正确实现的访问控制层。许多 HSM 供应商要求在解锁密钥访问之前，必须有一定数量的物理智能卡聚集在一起。即使设备没有显示屏幕，它也应该为用户提供一些方法来验证交易的细节。因为冷钱包或离线钱包是最安全的一类，所以大公司管理的大多数资金都以这种方式存储，如 Coinbase 、Gemini、Kraken 等，以及 Anchorage。这些玩家中的许多人还会选择另一道防线——备份和恢复，以防万一他们失去访问权限，或者机器损坏、被盗或被摧毁。备份和恢复签名密钥应该在加密后进行备份。加密签名密钥和密钥包装密钥的重复是至关重要的。备份签名密钥的方法各不相同，但应该始终选择硬件本机解决方案。对于硬件钱包，备份通常涉及一个纯文本种子，从该短语派生出私钥。标准加密密钥具有可以导出密钥的机制，这些密钥在默认情况下使用访问控制进行加密。如果满足访问控制，则可以将密钥导入其他 HSM。大量的 HSM 还可以提供一个通用的加密密钥，该密钥来自于智能卡的法定数量。以这种方式将硬件与关键材料分离有助于避免单点故障。最后，还要考虑人为因素。恢复机制应能够承受帐户管理业务中涉及的任何个人的临时或永久不可用的情况。个人应确保在发生停机或其他紧急情况时，提供收回密钥的方法。与此同时，群体运营应该确定一个人数，在突发事件发生时能继续运营。密钥使用在生成并存储密钥之后，可以使用它们创建授权交易的数字签名。软件和硬件的组合越多，风险就越大。为了降低风险，钱包应该遵守以下授权和身份验证指南。可信任，但也要验证钱包应该需要验证。换句话说，应该验证用户的身份，并且只有授权方才能访问钱包的内容。这里最常见的安全措施是 PIN 码或密码短语。更高级的身份验证形式可以包括生物识别或基于公钥加密的批准，例如来自多个其他安全设备的加密签名。不要使用没有经过足够长时间的检验的钱包钱包应该使用完善的密码学库。做一些调查，以确保它们被审计和安全，以避免密钥材料泄漏或完全丢失私钥。使问题更加复杂的是，即使是受信任的库也可能具有不安全的接口，正如最近这些 Ed25519 库的情况一样。 Nonce 重用一个经过充分研究的密钥使用陷阱是某些加密签名参数的无意重用。有些签名方案可能需要一个一次性的意思，「只使用一次的数字」（一个任意的数字），意味着在一个系统中使用一次。因此，要确保正在使用完善的加密库。但这种攻击载体在 Web3 之外的高调黑客攻击中也曾被利用过，比如 2010 年的索尼 PlayStation 3 黑客攻击。一密钥一用另一个最佳实践经验是避免为多个目的重用同一密钥。例如，应该为加密和签名保留单独的密钥。这遵循了在妥协情况下的「最小特权」原则，这意味着对任何资产、信息或操作的访问应该仅限于对系统工作绝对需要的各方或代码。根据不同的用途，不同的密钥对备份和访问管理有不同的要求。在 Web3 生态中，最好的做法是在资产和钱包之间分离密钥和种子短语，这样一个帐户的泄露不会影响其他帐户。总结从生成到存储到使用的许多相互作用的部分和阶段，密钥的保管是一个棘手的问题。密钥所有权的托管或非托管性质并不像传统观念所认为的那样非黑即白。由于涉及到密钥管理的许多移动部分（从密钥生成到存储再到使用），情况变得复杂起来。这条链上的每一个硬件或软件都会引入风险，甚至会使原本不属于托管型钱包的选项暴露在托管型风险之下。对于未来，我们希望做更多的开发工作来保护钱包免受攻击，并降低上面讨论的风险。有待改进的领域包括： · 跨移动和桌面操作系统共享安全的开源密钥管理和交易签名库； · 共享的开源交易审批框架。还有共享和开源的开发： · 在不同的存储后端（在磁盘上加密，安全硬件等）实现最佳的安全密钥生成库； · 用于移动和桌面操作系统的密钥管理和交易签名库； · 交易审批流程框架，实现专门验证，如生物识别、基于 PKI 的审批、授权恢复等。来源：金色财经
金色财经2022-10-17
怎么回事？以太坊恐面临美国政府审查重磅曝光：48%合并以太坊“由中心化实体所创建”
go
5%。根据该报告，2022年第三季，黑客攻击仍是造成损失的主要原因，占损失总额比重高达93%，相较之下欺诈、诈骗、 Rug Pull仅占损失总额比重7%；而去中心化DeFi是攻击的主要目标，占总损失98.8%，中心化CeFi占总损失1.2%。值得注意的是，BNB Chain 、以太坊是今年第三季黑客攻击最多的区块链，加总起来占区块链攻击总损失达51.8%。BNB Chain遭受的攻击次数最多，共发生16起攻击事件，占区块链攻击总损失的28.6%，以太坊发生13起攻击事件，占区块链攻击总损失23.2%。#NFT与加密货币# (来源:Immunefi)
小萧2022-10-17

上一页
1
•••
154
155
156
157
158
•••
170
下一页

24小时热点

最新话题更多