FX168财经网_全球视野外汇黄金加密货币NFT资讯网

深度拆解 EigenLayer 白皮书：跨主观故障、代币分叉、bEIGEN及更多内容

公平环境。智能合约风险：AVS 中的黑客攻击或实施设计问题。鉴于这些不确定性和挑战，重要的是密切关注开发进展并进行跟踪。总结 EigenLayer 是以太坊的重要发展，允许质押的 ETH 用于新服务和应用。双代币模型将质押活动与 DeFi 等其他用途分开，增强了对恶意行为的鲁棒性。这种分离确保了质押可以继续进行，同时允许 EIGEN 代币用于各种非质押应用。通过内部分叉框架处理复杂争议，EigenLayer 有助于保护以太坊网络免受 AVS 生态系统中可能出现的问题的影响。术语表主动验证服务 (AVS)：在 EigenLayer 上需要通过重新质押参与者进行主动验证的服务。加密经济安全：结合密码技术和经济激励来确保数字任务的安全性。这涉及质押、削减和共识机制等来维持系统的完整性和可信度。分叉代币：一种可以在出现分歧或争议时分裂成多个版本的代币。分叉过程会创建两个版本的代币，每个版本代表不同的解释或结果。持有人可以选择支持哪个版本。跨主观故障：在区块链网络中，故障可以通过客观方式验证（例如双重签名、无效状态转换）或需要人类共识来验证（跨主观故障）。跨主观故障无法在链上客观验证，需要多个参与方的广泛共识来确定正确性。流动性重新质押：质押者将他们的 ETH 委托给运营者。他们只提供财务支持，技术要求由运营者处理。原生重新质押：质押者独立贡献代币并操作一个验证节点。运营者：在 EigenLayer 中运行 AVS 验证服务的参与者。削减：质押者如果未能履行承诺或行为恶意，会失去他们的代币的机制。削减机制通过惩罚不合规行为来确保责任和增强安全性。质押者：质押他们的 ETH 来支持网络并赚取奖励的参与者。他们可以选择成为独立质押者或将代币委托给运营者。质押和重新质押：传统的权益证明系统（如以太坊）要求参与者质押代币（ETH）来确保网络安全。EigenLayer 在此基础上允许 ETH 被重新质押以执行额外任务。这意味着同样的质押 ETH 可以用来确保除以太坊网络以外的各种服务的安全。工作代币：一种需要质押（锁定）以执行区块链网络内某些任务或工作的代币。它既是参与的要求，也是如果工作没有正确完成可以被削减的抵押形式。这里有一篇很棒的文章解释了工作代币。来源：金色财经

金色财经2024-06-07

山寨第一次轮动

元的回馈。事情起因，就是一个用户说，被黑客攻击了导致100万的B被盗，黑客通过挟持用户的浏览器，绕过密码和验证，进行了一系列对敲交易而控诉XX在发现软件有问题后，不作为。记住一点，不是每一个领土都那么安全，别什么东西都乱点，乱下载，最好是准备两部手机，打电话看视频啥的一部，一个专门看交易，大哥啥的专门放钱包里，别动它。 5.过去一个月，美国现货大哥ETF净流入24亿新资金，昨天净流入8.87亿美元，为成立以来第二高的净流入日。ETF的通过已经把大哥的基本面完全改变，很多人还是喜欢拿以前的资金和机构在做市来看市场，这是错误的，不要拿你以为的去以为，7W稳住，新高在即。 6.美国推出首支E的2X杠杆ETF，交易量超过500W美元。这也意味着E的现货ETF上线是早晚的事情，目前只是再走流程而已，一旦过了，海量的资金就会进来，跟大哥一样，这也说明那边在这块的极度看好，增加产品只是为了丰富市场，让更多的人参与到桌前，才有机会赚更多的钱目前看还在3700~3800画线，快出方向了，期待4K。 7.IOTA主网已上线，引入智能合约，跨链等功能。这一轮表现还行，刚换了一个庄进来，0.22稳住，下一个位置0.26 8.DWF将向MEME进更多资金，目前已完成FLOKI，LADYS等多个标的，还将进价值1200万美元的FLOKI。受消息面影响FLOKI创造历史新高，市值达到31.95亿。当机构都在选择MEME，意味着市场山寨玩法又一次改变，情绪才能推动共识，还会有更多机构选择MEME，我们也要跟着改变，留出一定的仓位，看MEME。 9.贪婪恐惧指数：75贪婪，有所上升。最后说下山寨，山寨轮动节奏依然有效，上周五说了要关注游戏和铭文，先是周末游戏板块爆发了一轮，今天铭文也跟着爆发，随后是大哥生态，还有DEX板块在UNI的引领下也出现了不错的表现，可仅仅只是收复了4月~5月的跌幅而已，这也导致人气还是不行。有个别比如AI板块，波卡，DEFI板块等还都没有出现补Z，这也是好事，它们会跟着第三阶段第一轮板块轮动补起来，需要我们继续关注，整体看山寨，大方向是向上，目前我觉得最重要的是在你无法判断什么板块动的时候，不要乱动你手里的B，控制山寨仓位，等风来就好了，钱会流向那些有耐心的人。来源：金色财经

金色财经2024-06-07

遭骇逾4500枚BTC成加密史上第七大案　DMM Bitcoin损失近480亿日圆前景堪忧

当时加密货币交易所Coincheck被黑客攻击，并盗取了约5 亿枚NEM，其时市值约为5.34 亿美元，事件导致该交易所被Monex Group收购重建，以及日本金融厅加强对加密货币交易所的监管。而另一宗案件则发生在2014年，总部位于东京的Mt.Gox交易所曾是世界上最大的比特币交易所，但当年被窃85万枚比特币直接令Mt.Gox宣布破产，该批BTC按当时市值计算约为4.5 亿美元。虽然DMM方面声称客户存放的比特币将全额得到保障，但日本业界人士指出DMM每年盈利仅所失资产的20份1，去年更出现亏损状态，该交易所的前景堪忧。针对是次DMM Bitcoin非法流出，日本财务大臣铃木俊一日前（3日）在财务省表示将彻底防止此类事情发生，同时FSA负责人称已根据《资金结算法》发出报告征求命令，要求DMM Bitcoin就被盗事件报告原因并提交客户赔偿方针。 BaseDawgz提供多链购买和质押奖励除了比特币走势，山寨币早前的涨幅引起不少投资人关注。BaseDawgz ($DAWGZ) 是一种新的基础迷因币，提供多链购买、质押奖励和分享即赚功能——用户在社交媒体上分享 BaseDawgz 的内容可以获得积分，这些积分可以在预售结束后兑换成 $DAWGZ 代币。立即进入Base Dawgz预售其形式是在Base Chain，但将在 Base、ETH、SOL、BSC 和 AVAX 上运行，预售可在Base (ETH, USDC)、ETH (ETH/USDT)、SOL、BSC (BNB/USDT)和AVAX上进行。 BaseDawgz 结合了Base链的流行性和狗模因币的吸引力——市值前十的模因币中有七个是以狗为主题。此外，它还通过质押奖励和分享即赚的概念提供了额外的实用性。 BaseDawgz 不仅是一个技术创新，更是一场探索去中心化金融世界的冒险。加入平台，与平台一起开启这场高能旅程，享受每一次跳跃带来的新开始。立即进入Base Dawgz预售

Business2Community2024-06-05

Portal Ventures：BTC生态现状与潜在领域

地说，这不是大多数用户关心的，除非发生黑客攻击。在大多数rollup/L2中保持信任假设恒定的情况下，将会有一系列低速度的用例（如高价值收藏品交换、借贷、原生收益、质押等），用户和开发者更倾向于在基层实现同等级别的可编程性（通过像Arch Network这样的解决方案），而无需桥接到另一个L2。当然，这里的权衡是速度，因为交易将受到BTC区块时间的限制。但是，并非所有操作都需要在链上非常快速。无桥解决方案将在基层解锁新的“慢而稳定”的用例段，如稳定币、借贷、预测市场等。 2.通过跨各种L2的状态编排统一基础设施（更适合第二层的用例）：提供“一站式”开发者/消费者体验，解决当今比特币生态系统中泛滥的流动性和功能碎片化问题。Auran Network是该领域的先锋，我们对其感到兴奋。 “初创公司成功的公式：找到一个大而高度分散的行业，具有低NPS；垂直整合解决方案以简化价值产品” - Keith Rabois, 创始人基金（Founders Fund） 3.BTC流动性输出到其他L1：许多高知名度的新/现有的其他L1正在探索利用BTC的流动性来促进自己的生态系统增长。像Zeus Network这样在Solana和BTC之间创建消息层的解决方案可能会受到关注。 4.稳定币的赢家：已经有超过10个稳定币项目。与主流可编程性和互操作性解决方案形成深入合作将是市场主导地位的关键。 5.OP CAT：OP_CAT (BIP-347)是一项旨在简化并扩展比特币功能的比特币改进建议，以便启用逻辑循环和条件语句。它将允许在比特币如何被消费的规则或条件上的创造，为包括第二层、智能合约等在内的许多开发可能性打开了大门。预计时间表将超过12个月。 6.原生Ordinals交易平台：如果历史重演，正如我们在SOL和ETH上所见，大部分交易量将由像Blur或Tensor这样的原生专业交易平台所主导。到目前为止，大部分的Ordinals交易活动都在Magic Eden和OKX上进行。随着NFT寒冬的消退，我们预计像Ordinal Hive这样的原生Ordinals交易平台将蓬勃发展。 7.BitVM 的替代方案，以实现无需信任，或至少最小化 L2 <> 基础层桥接 8.面向机构的链上 BTC-on-BTC 收益产品：鉴于 STX 的 BTC 收益能力和符合监管规定的特点，它可能会成为赢家。 9.比特币上的流动性质押：拟物化 ETH，但Lorenzo 协议等 LST-on-BTC 项目有其优点，可以优化 BTC Defi 的流动性来源：金色财经

金色财经2024-06-05

师爷陈6.5：多空预埋再次完美拿下大盘上攻阻力位蓄势待发？

因此比特币出现了上涨。尽管日本发生了黑客攻击的负面消息，但ETF的持续流入使得即使出现短暂下跌，重要的支撑位也得到了保持。如果你看了师爷这几天的图表分析，你会发现师爷一直保持着看多的观点。而上涨伴随着回调也是再正常不过现象了，目前K线与均线的距离也在拉大。所以回调的概率较高，但回调后仍能维持看涨的观点。阻力位参考：第一阻力位：71500 第二阻力位：72000 首先第一阻力位是前高点，在测试后可能会进入短暂的调整区间。而短期高点70500的阻力位已被突破，按当前走势来看，可以期待测试72000的高点。支撑位参考：第一支撑位：70450 第二支撑位：69700 目前来看师爷认为币价回调至第一支撑位是完全有可能的，相比回调的情况下，重新测试71500后再回调会更有优势。目前K线与均线的距离较大，所以随着K线走势更新。如果均线朝上并缩小距离，则可以期待进一步上涨。在今日交易中，比特币突破了短期箱体区间上沿。并突破了三角收敛形态的上沿，所以表明近期的趋势和方向已定。在今日可以继续保持看涨的观点，并设置70500为短期的重要支撑位。如果当前K线在其上方保持企稳，则可以期待阶梯式的上涨出现。请在交易时参考这些建议 6.5师爷短线预埋单：做多入场位参考：69300-69700区间分批做多防守500点目标70500-71500 做空入场位参考：71100-71500区间分批做空防守500点目标70500-69700 来源：金色财经

金色财经2024-06-05

比特币再次冲击72000 以太坊维持箱体等待突破

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。昨晚纽交所出现了故障导致包括巴菲特老爷子的伯克希尔哈撒韦在内的多只股票出现暴跌甚至归零，以前我们常常自嘲币圈项目方都是草台班子，你以为高大上的项目方、机构、交易所其实都是几个刚毕业的大学生，合约代码都是一周之前刚学会的，只不过他们发掘了正确的商业模式并且通过信息差才成为割韭菜的庄家而已，而纽交所事件告诉我们，整个世界可能都是一样的，纽交所本周已经发生三起交易故障了，只不过之前没有众多明星股票瞬间归零这么严重的事故所以大家不知道而已，而之所以故障频出只是因为美国交易所正处在T+2向T+1转换之际，就这么一个小小的变化，世界第一大所都能频频出错，这再次告诉我们千万不要对你不了解的任何公司付出100%的信任。市场方面，昨晚老美公布的5月制造业PMI指数不仅预期并创近三月的新低一下就浇灭了老美经济强劲的幻想，降息预期大大提升，昨晚CME预期9月降息概率已经增加至62%了，比前天的54%有上涨了8个百分点，这在币市肯定是利好，昨晚大饼也再次冲破7w点，不过好玩的是，纽交所事故突然传来，美股没怎么着，大饼吭哧吭哧的下跌，不知道的还以为大饼出啥利空了呢，下跌的无厘头；以太坊和其他山寨走势相比大饼更惨，昨晚大饼突破之前，市场就出现了被吸血行情，而当大饼回调后，山寨市场反而加速下跌，这就是所谓的跟跌不跟涨吧。比特币维持昨天的分析不变，短期底部支撑验证结束，将重新进入上攻阶段，昨天拉升到71000后没能有效站稳，不过后续还会继续上攻，直至站稳且创新高。以太坊本周相比大饼走势偏弱，也没有最新的ETF消息出来，而且上周五拜登变相支持SAB121法案后，也让大家再次看不懂他到底支不支持加密，这个可能一定程度的会影响大家对ETF短期上市的信心，另外就是木头姐推出以太坊ETF的申请队列，对ETH也有一定负面影响，不过关于后市，我还是维持我之前的看法，在6月底之前还会有一波不错的行情。文/我是周悦盈感谢阅读来源：金色财经

金色财经2024-06-05

区块链动态2024年6月5日早参考

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。 26. 金色财经报道，由华尔街巨头贝莱德(BlackRock)和Citadel Securities支持的机构正计划在得克萨斯州成立一家新的全国性证券交易所，旨在对抗他们认为纽约证券交易所和纳斯达克的监管不力。德克萨斯证券交易所(Texas StockExchange)首席执行官James Lee告诉《华尔街日报》，该交易所已经从个人和大型投资公司筹集了约1.2亿美元，计划今年晚些时候向美国证券交易委员会提交注册文件，目标是在2025年开始促进贸易，并在20)6年举办第一次上市。德克萨斯证券交易所将完全采用电子交易方式，但计划在达拉斯市中心设立实体机构。德克萨斯证券交易所还希望吸引ETF产品上市。来源：金色财经

金色财经2024-06-05

巴菲特“爱股”闪崩99%！纽约证交所曝光事发原因斯诺登发表“大胆声明”……

xchange)报告称，没有迹象表明有黑客攻击。针对这一事件，斯诺登在推特上简单地表示，“比特币解决了这个问题。” (来源:Twitter) 他的简短评论强调了他相信去中心化金融系统比传统的中心化交易所更具优势。 Bitcoinist报道，比特币是一种去中心化的数字货币，在点对点网络上运行，没有中央权威。这种结构与传统证券交易所形成鲜明对比，传统证券交易所的集中控制可能导致系统性风险，例如最近纽约证券交易所的故障所表明的风险。比特币的设计旨在确保透明度、不变性和安全性，从而降低因技术问题或集中错误而发生此类灾难性故障的可能性。斯诺登在此背景下对比特币的支持凸显了加密货币对传统金融系统可能存在的漏洞的抵御能力。斯诺登指出“比特币解决了这个问题”，暗示比特币的去中心化性质可能会防止金融系统出现类似的混乱，为传统交易平台提供更可靠的替代方案。值得注意的是，自诞生以来，比特币的正常运行时间高达 99.989%。这种非凡的可靠性证明了其底层区块链技术的稳健性。比特币早期只发生过两次事件：第一次发生在2010年，被称为“价值溢出事件”，当时一个漏洞凭空创造了数十亿比特币。第二次发生在2013年，涉及由于不兼容的软件升级导致的临时区块链分叉。核心开发人员迅速解决了这两起事件，增强了比特币的弹性。

颜辞2024-06-05

金色百科 | 什么是去中心化应用程序 (dApp)？

在点对点网络上运行，这使得它们不易受到黑客攻击和数据泄露。然而，由于整个区块链网络的批准，dApp 可能很难更新和维护，这使得它们容易受到攻击和黑客攻击。金融交易、供应链管理、房地产销售、医疗数据存储和跟踪、教育、社交媒体平台和预测市场等各个行业都在使用 dApp。各行业可以使用它们来建立去中心化的学习平台和去中心化的预测市场。他们还帮助医疗保健专业人员、学生和教师在社交媒体上进行交流和协作。 Web3 和 dApp 有什么不同？ Web3 和 dApp是两种不同的技术，旨在使用区块链技术创建一个超安全、无需信任和自治的网络。加密生态系统的万维网被称为 Web3，Web3 应用程序是连接到加密钱包的任何基于区块链的应用程序。它包括游戏以及DeFi 和 NFT平台。 Web3拥有广泛的 dApp，例如游戏、金融服务以及社交和内容共享功能，创建了一个融合社交媒体和去中心化网络的生态系统。基于区块链技术的 dApp 或“去中心化应用程序”使服务提供商能够收集和监控用户的在线数据和浏览习惯。然后，消费品牌利用这些信息来制作更相关的广告。 DApp 的工作方式与常规应用程序类似，但如果没有中央服务器，任何实体都无法对其拥有更大的权力。用户在使用dApp之前通常需要购买代币，帮助构建区块链环境。它们包括智能合约和实用代币，这是使用服务或购买数字商品的主要区块链支付方式。 dApp 是短暂的趋势还是长期的答案？去中心化应用程序是在去中心化网络或区块链上运行的计算机系统，为用户提供不受公司控制的未来。这些应用程序为区块链游戏、交易 NFT 以及在平等对待每个人的网络上投资去中心化金融(DeFi) 提供了新的机会。它们依靠计算机网络而不是单个实体来执行其功能。这使得它们不易受到黑客攻击或信息违规等漏洞的影响。它们可以更加透明和安全，因为任何人都可以看到区块链上的代码和交易。凭借所有这些优势，dApp 作为未来金融的长期解决方案而广受欢迎，因为它们提供隐私保护和对数字财产的控制。虽然一些人认为当前围绕 dApp 的热潮只是一种短暂的趋势，但另一些人则认为早期采用者和加密货币爱好者主要使用它们。尽管存在一些怀疑，但仍有许多人认为dApp是解决当今技术行业面临的各种问题的最终解决方案，因为它们提供了更大的隐私和个人控制，允许人们保持对其信息的控制并选择访问它。 dApp将如何改变区块链行业？去中心化应用程序正在彻底改变区块链行业，支持新的业务模式，减少中介机构，并通过在区块链上存储用户数据来增强隐私，防止未经授权的访问和数据泄露。例如，音乐流媒体 dApp Audius 将艺术家与粉丝直接联系起来，并在区块链上创建他们的作品的不可变记录，允许表演者将他们的作品货币化。 DApp 还提供增强的隐私性，通过仅共享用户想要的内容来减少停机时间并减少中央数据存储。他们使用区块链网络进行去中心化，并且通常包含用于资产和数据传输的智能合约。此外，它们还提供广泛的其他用途，包括点对点金融交易、供应链管理、身份验证、财产所有权跟踪和医疗保健相关活动。此外，去中心化应用程序通过记录和轻松证明交易来保证金融交易的透明度。因此，dApp 可以利用智能合约创建新的商业模式，使其透明、防篡改和自动化，并借助区块链技术的力量减少对中介机构的需求。来源：金色财经

金色财经2024-06-04

OKX Web3、BlockSec：@所有巨鲸 DeFi世界最新避险攻略

差异，了解项目的安全改进情况。 Q5：黑客攻击历史、赏金计划，对DeFi项目安全性的参考价值？ OKX Web3 钱包安全团队：黑客攻击历史和赏金计划，对于DeFi项目的安全性评估提供了一定的参考价值，主要体现在以下几个方面：第一，黑客攻击历史 1）揭示历史漏洞：攻击历史可以展示项目曾经存在的具体安全漏洞，让用户了解过去哪些安全问题被利用过，以及这些问题是否得到了彻底的修复。 2）评估风险管理能力：项目如何响应历史上的安全事件，能够体现出其风险管理和危机处理的能力。一个积极响应、及时修复漏洞并赔偿受影响用户的项目，通常被视为更可靠和成熟的投资选择。 3）项目信誉：频繁的安全问题可能减损用户对项目的信任，但如果项目能展示出从错误中学习并加强安全措施的能力，这也能够构建其长期的信誉。第二，赏金计划赏金计划在DeFi及其他软件项目中的实施，是提高安全性和挖掘潜在漏洞的重要策略。这些计划对项目的安全性评估带来了多方面的参考价值： 1）增强外部审计：赏金计划鼓励全球的安全研究者参与到项目的安全审计中。这种“众包”方式的安全测试能够揭露内部审计可能忽视的问题，从而增加了发现和解决潜在漏洞的机会。 2）验证安全措施的有效性：通过实际的赏金计划，项目可以在实战中测试其安全措施的有效性。如果一个项目的赏金计划历时较长但报告的严重漏洞较少，这可能是一个表明项目相对成熟和安全的指标。 3）持续的安全改进：赏金计划提供了一种持续改进的机制。随着新技术和新攻击手段的出现，赏金计划帮助项目团队及时更新和强化其安全措施，确保项目能够应对最新的安全挑战。 4）建立安全文化：项目是否设立赏金计划，以及该计划的严肃性和活跃度，能够反映出项目团队对安全的态度。一个积极的赏金计划显示了项目对建立坚实的安全文化的承诺。 5）提升社区和投资者信心：赏金计划的存在和效果可以向社区和潜在投资者证明项目对安全的重视。这不仅可以增强用户信任，还可能吸引更多的投资，因为投资者倾向于选择那些显示出高度安全责任感的项目。 Q6：参与DeFi时，用户如何构建监控感知能力 BlockSec安全团队：以巨鲸用户为例，巨鲸主要是指个人投资者或小团队的投资机构，这些用户的资金规模较大，但通常没有非常强的安全团队，也没有自研安全工具的能力。因此，目前为止，实际上大部分巨鲸都没有足够的风险感知能力，否则就不会遭受如此巨大的损失了。由于面临巨大损失的风险，一些巨鲸用户开始有意识地依赖一些公开的安全工具来监控和感知风险。现在，有很多团队在做监控产品，但是如何选择非常关键。这里有几个关键点：首先，是工具的使用成本。许多工具虽然非常强大，但需要编程，使用成本并不低。对于用户来说，搞清楚合约的架构，甚至收集地址都不是容易的事情。其次，是精准度。没有人希望在晚上睡觉时连续收到几个警报，结果发现是误报，这样会让人心态炸裂。因此，准确度也非常关键。最后，是安全性。特别是在这种资金规模下，不能忽视工具研发及其团队的各种安全风险。最近的 Gala Game 被攻击事件，据说就是由于引入了不安全的第三方服务商。因此，可靠的团队和可信的产品至关重要。截至目前，也有许多巨鲸找到我们，我们会为其推荐专业的资管方案，从而使巨鲸用户既能保证资金的安全，又能兼顾日常的资金管理如“挖提卖”，感知风险，甚至在紧急状态下的资金撤退。 Q7：参与DeFi的安全建议、以及如何处理安全风险 BlockSec安全团队：对于大额资金参与者，参与 DeFi 协议首要是要保证本金安全，在对可能的安全风险进行了比较充分的研究后进行投资。通常可以从以下几个方面保证资金安全。首先，要多方位判断项目方的安全重视和投入程度。包括上面说的是否经过比较彻底的安全审计、项目方是否具有项目安全风险监控和自动响应能力、是否具有比较好的社区治理机制等。这一些都能反映出项目方对于用户资金安全是否放在比较重要的方面，是否对用户的资金安全具有高度负责的态度。其次，大额资金的参与者也需构建自己的安全监控和自动响应系统。在投资的协议发生安全事件后，大额资金的投资人应该第一时间能感知并且能撤退资金，尽可能地挽回损失，而不是将所有的希望都寄托在项目方身上。在 2023 年我们能看到多个知名项目都被攻击过，包括 Curve、KyberSwap、Euler Finance 等。很遗憾的是，我们发现在攻击发生的时候，大额投资者往往缺乏及时、有效的情报，也没有自己的安全监控和应急撤退系统。另外，投资人需要选择比较好的安全合作伙伴来对投资的项目标的安全进行持续的关注。无论是对项目方代码的升级、重要的参数改变等都需要能及时感知并且评估风险。而这样的事情没有专业安全团队和工具的参与是很难完成的。最后，需要保护好私钥安全。对于需要经常交易的账户，最好通过线上多签和线下私钥安全解决方案相结合的方法来进行，杜绝单个地址和单个私钥丢失后的单点风险。如果一旦投资的项目面临安全风险，又该如何处理？相信对于任何巨鲸和投资者而言，遭遇安全事件的第一反应一定是先保本，尽快撤资是最优先的动作。但是攻击者的速度通常很快，手动操作往往来不及，因此最好能够根据风险自动撤资。当前，我们提供相关的工具，可以实现发现攻击交易后自动撤资，帮助用户优先撤离。其次，如果真的遭遇了损失，除了吸取教训，还应该积极推动项目方寻求安全公司的帮助，对受损资金进行追溯和监控。随着整个 Crypto 行业对安全的重视，追回资金的比例在逐步提升。最后，如果是大户，还可以请安全公司盘点投资的其他项目是否有类似问题。很多攻击的 Root cause 是一致的，例如 Compound V2 的精度损失问题，去年许多项目都存在相似的问题并被连续攻击。因此，可以请安全公司分析投资组合中其他项目的风险，如果发现风险，应该尽快与项目方沟通或撤出。 OKX Web3 钱包安全团队：参与 DeFi 项目时，用户可以通过采取多种措施来更安全地参与 DeFi 项目，降低资金损失的风险，享受去中心化金融带来的收益。我们分别从用户层面、以及OKX Web3 钱包2个层面来展开。第一，对于用户而言： 1）选择经过审计的项目：优先选择经过知名第三方审计公司（如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉宾BlockSec）审计的项目，审阅其公开的审计报告，了解潜在风险和漏洞修复情况。 2）了解项目背景和团队：通过研究项目的白皮书、官方网站和开发团队背景，确保项目具有透明性和可信度。关注团队在社交媒体和开发社区中的活动，了解其技术实力和社区支持。 3）分散投资：不要将所有资金投入到单一 DeFi 项目或资产中，分散投资可以降低风险。选择多个不同类型的 DeFi 项目，如借贷、DEX、Farming等，以分散风险敞口。 4）小额测试：在大额交易前，先进行小额测试交易，确保操作和平台的安全性。 5）定期监控账户及应急处理：定期检查自己的 DeFi 账户和资产，及时发现异常交易或活动。使用工具（如 Etherscan）监控链上交易记录，确保资产安全。检测到异常后及时采取应急措施，比如撤销账户的所有授权，联系钱包安全团队获取支持等。 6）谨慎使用新项目：对于刚上线或未经验证的新项目，保持谨慎态度。可以先投入少量资金进行试验，观察其运行情况和安全性。 7）使用主流Web3钱包进行交易：仅使用主流的Web3钱包与DeFi项目交互，主流Web3钱包提供更好的安全防护。 8）防范钓鱼攻击：谨慎点击陌生链接和不明来源的电子邮件，不要在不受信任的网站输入私钥或助记词，确保访问的链接是官方网站。使用官方渠道下载钱包和应用程序，确保软件的真实性。第二，从OKX Web3 钱包层面而言：我们提供了很多安全机制以保护用户资金安全： 1）风险域名检测：在用户访问DAPP时，OKX Web3钱包会在域名层面进行检测分析，如用户访问的是恶意DAPP，则会进行拦截或提醒，防止用户上当受骗。 2）貔貅盘代币检测：OKX Web3钱包支持完善的貔貅盘代币检测能力，在钱包中主动屏蔽貔貅盘代币，避免用户尝试跟貔貅盘代币交互。 3）地址标签库：OKX Web3钱包提供了丰富完善的地址标签库，在用户跟可疑地址交互时，OKX Web3钱包会及时给予告警。 4）交易预执行：在用户提交任何交易前，OKX Web3钱包都会模拟执行该交易，并将资产和授权变化结果展示给用户参考。用户可根据该结果评判是否符合预期，以便决定是否继续提交该交易。 5）集成DeFi应用：OKX Web3钱包已经集成了各类主流的DeFi项目的服务，用户通过OKX Web3钱包可以放心与集成的DeFi项目进行交互。另外OKX Web3钱包也会对DEX，跨链桥等DeFi服务进行路径推荐，以便给用户提供最优的DeFi服务和最优的Gas方案。 6）更多安全服务：OKX Web3钱包还在逐步增加更多安全功能，建设更多先进的安全防护服务，将更好更高效地保障OKX钱包用户安全。 Q8：不仅是用户，DeFi项目方面临的风险类型以及如何防护？ BlockSec安全团队：DeFi项目方面临的风险类型包括：代码安全风险、运营安全风险和外部依赖风险。第一，代码安全风险。即DeFi项目在代码层面可能存在的安全隐患。对DeFi项目而言，智能合约是其核心业务逻辑（前后端处理逻辑等属于传统的软件开发业务，相对而言比较成熟），也是我们关注和讨论的重点，包括： 1）首先，从开发角度来说，需遵循业界公认的智能合约安全开发实践，比如对于用于防止重入漏洞的Checks-Effects-Interactions模式等等；此外，常用的功能尽可能选择可靠的第三方库来实现，避免因为重复发明轮子带来的不可知风险。 2）其次是做好内部测试，测试是软件开发中的重要环节，能够帮助发现很多问题。但对于DeFI项目而言，仅通过本地测试并不足以暴露问题，更需要在贴近实际上线的部署环境中做进一步测试，这方面可以通过使用类似Phalcon Fork这样的工具来帮助实现。 3）最后，在测试完成之后，接入口碑良好的第三方审计服务。审计虽然不能确保100%不出现问题，但系统性的审计工作能够在很大程度上帮助项目方定位已知常见的各类安全问题，而这些往往是开发者不熟悉或者因为思维方式的不同而较难触及的部分。当然，由于各家审计公司在专业和方向上存在差异，如果预算允许，在实践中也推荐2家或者多家审计公司参与。第二，运营安全风险。即项目上线后在运营过程中的产生的安全风险。一方面，代码依旧可能存在未知漏洞。即便代码已经经过良好的开发、测试和审计，依旧可能存在未被发现的安全隐患，这一点在软件开发数十年的安全实践中得到了广泛证明；另一方面，在代码层面的问题之外，项目上线后面临更多挑战，比如私钥泄漏、系统重要参数错误设置等等，均可能造成严重的后果和巨大的损失。运营安全风险的应对策略建议包括： 1）建立健全私钥管理：采用可靠的私钥管理方法，比如可靠的硬件钱包或基于MPC的钱包解决方案等。 2）做好运行状态监控：监控系统实时感知特权操作和项目运行中的安全状态。 3）构建针对风险的自动化响应机制：比如采用BlockSec Phalcon，可以在遭遇到攻击的时候自动实施阻断，避免（进一步）的损失。 4）避免特权操作的单点风险：如用Safe多签钱包来执行特权操作。第三，外部依赖风险是指项目存在的外部依赖带来的风险，比如依赖于其它DeFi协议提供的价格预言机，但预言机出现问题导致价格计算产生错误的结果。针对外部依赖风险的建议包括： 1）选择可靠的外部合作伙伴，如业界公认的可靠的头部协议等。 2）做好运行状态监控：类似运营安全风险，但这里的监控对象是外部依赖。 3）构建针对风险的自动化响应机制：类似运营安全风险，但处置方式可能有所区别，比如切换备用依赖而非直接pause整个协议。此外，对于希望构建监控能力的项目方，我们也给出一些监控建议 1）准确地设置监控点：确定协议存在哪些关键的状态（变量）、在哪些位置需要监控，这是构建监控能力的第一步。但监控点的设置很难覆盖全面，特别是在攻击监控方面，建议采用外部专业第三方、经过实战检验的攻击检测引擎。 2）确保监控的精准性和及时性：监控的精准性是指不能有太多的误报(FP)和漏报(FN)，缺乏精确性的监控系统实质上是不可用的；及时性是做出响应的前提（比如能否在可疑合约部署后、攻击交易上链前检测到），否则只能用于事后分析，这对监控系统的性能和稳定有极高的要求。 3）需要自动化响应能力：基于精准和实时的监控可以构建自动化的响应，包括pause协议阻断攻击等等。这里需要有可定制、可靠的自动化响应框架支持，可根据项目方的需求灵活地定制响应策略并自动触发执行。总体而言，监控能力的构建需有专业的外部安全供应商参与建设。 OKX Web3 钱包安全团队：DeFi 项目方面临着多种风险，其中主要包括以下几类： 1）技术风险：主要包括智能合约漏洞和网络攻击。防护措施包括采用安全开发实践、聘请专业的第三方审计公司对智能合约进行全面审计、设置漏洞赏金计划以激励白帽黑客发现漏洞，以及做好资产隔离来提高资金的安全性等。 2）市场风险：主要包括包括价格波动、流动性风险、市场操纵和组合性风险。防护措施包括使用稳定币和风险对冲防范价格波动，利用流动性挖矿和动态费用机制应对流动性风险，严格审查DeFi协议支持的资产类型和使用去中心化预言机防止市场操纵，并通过持续的创新和优化协议功能来应对竞争风险。 3）运营风险：主要包括人为错误和治理机制风险。防护措施包括建立严格的内部控制和操作流程以减少人为错误的发生、使用自动化工具提升操作效率，以及设计合理的治理机制，确保去中心化与安全性平衡，如引入投票延迟和多签机制。并对上线的项目做好监控和应急预案，一旦出现异常可以立即采取措施，将损失降到最低。 4）监管风险：法律合规要求和反洗钱（AML）/了解你的客户（KYC）义务。防护措施包括聘请法律顾问确保项目符合法律和监管要求、建立透明的合规政策以及主动实施 AML 和 KYC 措施以提升用户和监管机构的信任。 Q9：DeFi项目方，如何判断并选择好的审计公司？ BlockSec安全团队：DeFi项目方如何判断并选择好的审计公司，这里有一些简单标准的可供参考： 1）是否审计过知名项目：这表明该审计公司被这些知名项目所认可。 2）审计过的项目是否被攻击过：固然从理论上来讲审计并不能保证100%的安全，但实践经验表明口碑良好的审计公司所审计的大部分项目未曾有过被攻击记录。 3）通过过往审计报告判断审计质量：审计报告是衡量审计公司专业程度的重要标志，尤其是在同样的审计项目、同样的审计范围可作对比的情况下，可重点关注漏洞发现的质量（危害程度）和数量等，漏洞发现是否通常被项目方采纳。 4）专业从业人员：审计公司的人员构成，包括学历和从业背景等，系统性的教育和从业经验对于确保审计质量有很大的帮助。最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第05期，当前我们正在紧锣密鼓地准备第06期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！免责声明：本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经2024-06-04

24小时热点