FX168财经网_全球视野外汇黄金加密货币NFT资讯网_关键字搜索-FX168

全球数字财富领导者

财富汇｜美股投研｜客户端｜旧版｜｜

FX168 全球视野中文财经

登录 / 注册

突发！币安和美国证监会达成协议将所有美国用户资金、钱包私钥转回境内
 go
创建Binance.com无法访问的新加密钱包，向美国证监会提供额外信息并同意加快发现时间表。这意味着，币安首席执行官赵长鹏很可能在未宣判的背景下，更早让币安美国做出妥协让步。需要提醒的是，在此期间，美国客户仍然可以提取资金。币安本周并不好过，在欧洲市场也开始出现质疑币安的指控。法国监管称，币安非法提供数字资产服务，并存在严重洗黑钱行为，正接受当局调查。币安本周也宣布，退出荷兰市场，证实无法取得该国VASP牌照。另外也传出，币安美国裁员50人。延伸阅读：法国监管找上门！币安本周连环爆：退出荷兰市场、在美国裁员50人突发流动大笔USDT
小萧 1评论2023-06-17
Numen Cyber 已完成对 Suiet 钱包的审计
 go
。 Suiet 是基于 Sui 构建的加密钱包，完全开源且不追踪用户任何信息，可帮助用户在 Sui 上轻松安全地进行 Web3 之旅。 Numen Cyber 是链上威胁检测与防御的先驱，拥有 Web2+Web3 多重安全技能储备，在 Web3 安全审计上具有全面且完善的能力覆盖：智能合约审计一项全面的安全审查，侧重于审查用于承保智能合约中的条款和条件的代码，减少安全漏洞风险。钱包安全审计广泛的加密钱包安全审计，对钱包层区块链交易所业务逻辑缺陷的见解，这些缺陷可能允许恶意攻击利用，或者在加密钱包的依赖项之一中存在未知漏洞。交易所安全审计对加密资产交易所的各个方面进行系统和结构化的审计审查，以检测攻击媒介并设计一个框架来应对攻击媒介。公链安全审计使用不同的安全审计方法（如黑灰盒和白盒测试）评估多个级别的公链平台节点通信、存储、共识和权限管理。加密货币追踪与取证加密货币追踪和取证是跟踪区块链上虚拟资产的调查方法，用于识别犯罪者并定位资产被转移到哪里和转移到谁那里。 Web3 威胁情报 Web3 威胁情报是收集、处理和分析的数据，以了解区块链黑客的动机、目标和行为。它使我们能够做出更快、更明智、数据支持的安全决策，并将威胁参与者的行为从被动转变为主动。关于 Numen Cyber Numen Cyber 拥有 Web2+Web3 多重安全技能储备。 Numen Cyber 旗下拥有 ImmunX 和 Leukocyte 两款安全产品，分别可在应用层和物理层为 Web3 项目提供保护。其中 ImmunX 包含安全策略开放市场和合约防火墙等独创功能，可以为 Web3 生态提供一站式全方位的保护。 Leukocyte 则是保护服务器安全，实时检测黑客针对服务器的各种攻击并自动阻断、报警。 Numen 已发现 Aptos，Sui，EoS，Ripple，Tron 在内的 Web3 生态漏洞与微软、谷歌、苹果等产品漏洞。目前 Numen Cyber 的合作伙伴包括不限于 Binance，Sui，Cobo，BitForex，ChainUp，Suiet 等，也包括新加坡金融管理局、新加坡国立大学、中国移动，以及阿里云、腾讯云、华为云、亚马逊、微软等。来源：金色财经
金色财经2023-06-15
从提高生产力到噩梦场景：加密货币和人工智能可能重叠的10个领域
 go
提供‘损失赔偿’，这是一个旨在耗尽他们加密钱包存款的网络钓鱼骗局。欺诈者正在使用人工智能平台创建虚假交易网站。” 7.人工智能可以刺激元宇宙的发展恕我直言 Apple 的 Vision Pro，元宇宙的基础设施仍然是一个有问题的半成品。该空间需要更好的用户界面、更好的图像、更好的内容、更好的社区。人工智能可以帮助解决所有这些问题，人工智能将大幅缩短构建沉浸式世界所需的时间，它甚至可以让这些世界充满类似人类的角色。 Nvidia 最近在游戏开发者社区中融入了面孔，例如，通过展示 AI 如何为与 NPC（非玩家角色）的实时对话提供动力，从而释放了构建世界的各种潜力。 “AI 可以帮助这些游戏变得更吸引人、更快，”Yilmaz 说。 8.人工智能可能会加剧加密货币对环境的担忧好吧，也许这不是为了让任何事情“变得更好”，但我们应该承认环境影响的担忧和风险。 “就像加密货币一样，生成式人工智能平台也会消耗大量的能量”Howson 说。 “ChatGPT 的训练每小时消耗 1,287 兆瓦的电力，产生 550 吨二氧化碳。这相当于一个人在纽约和旧金山之间往返 550 次。” 9. 人工智能代理可以使用加密货币这是我最喜欢的。 Qureshi 设想，在未来，随着像 ChatGPT 这样的机器人变得更加先进，它们基本上将可以充当您的个人助理或代理。他们可以为您预订航班、为您下即时购物车订单，或者在恰到好处的时候召唤您的 Uber。（三年前，我采访了一位 Web3 企业家 Dele Atanda，他正是描述了这种情况。）当然，其中一些可能适合当前的财务框架，但是当我的 AI 代理开始与您的 AI 代理进行交易呢？或者，如果 AI 代理花钱的方式变得太复杂以至于法律或银行无法跟上怎么办？ “他们需要钱，”Qureshi说，“摩根大通要为人工智能开设银行账户的想法是无稽之谈。” Qureshi 怀疑“法律不会及时跟上”，但加密货币已经是一种可以立即实施的功能性解决方案。 Whittemore也说过类似的话。他给出了一个假设：想象一下，你想开一家乐队标志钥匙扣的在线商店，而 AutoGPT（或你的 AI“代理”）设计了一组任务，其中一个可能是弄清楚它是如何变成 3D 的打印钥匙扣。 “它可以将比特币发送到在后台自主运行的 3D 打印 AI 代理吗？” 如果 3D 打印代理遍布全球——这种情况经常发生——那么比特币将是比美元更优雅的解决方案。因此，最终，经过多年寻求“采用”之后，第一个在大众市场使用加密货币进行交易的可能不是人类，而是机器。 10. 人工智能可以利用加密来实现噩梦场景我们将讨论另一种不太乐观的可能性。（“不太乐观”是轻描淡写。）如果你一直对 AI 充满好奇，那么现在你可能已经听说过一个令人振奋的统计数据，即在一项针对 AI 研究人员的调查中，超过一半的人认为 AI 至少有 10% 的机会消灭人类。（旁注：这个统计数据有点夸张，而且有些被误报，因为调查回复率仅为 4%，并不是真正具有代表性的科学家样本。但无论是 1% 的机会还是 10% 的机会，“噩梦场景” ”在很大程度上仍然是一个场景。）加密货币可以在这场噩梦中发挥作用。 “随着对数字资产的更大依赖，人工智能代理可以轻松地改变金融机构，影响管理机构，或者在任何人都不知道的情况下推翻政府，”未来学家 Raczynski 说，他还认为人工智能可以在元宇宙中造成严重破坏。 Raczynski 担心人工智能的进步将使其很快超越人类的能力，“而区块链是一个推动因素。” 最后的想法让我们总结一些不太像世界末日的事情。尽管 AI 现在得到了风投的青睐，但与我交谈过的专家并不担心资金对 Web3 的影响。 “担心是一件愚蠢的事情，”Qureshi 说，他承认大量资金正以“天价”涌入 AI，但预计这不会对 Web3 生态系统造成实质性损害。 “美国有很多资本，”Qureshi 补充说，没有人可以直截了当地说，“我们没有足够的钱”。最终，从更有希望的角度来看，Ahmed 认为人工智能和加密货币不存在竞争，而只是“工具箱中的工具”。他们是免费的。 “他们之间并没有互相争斗，”Ahmed说。 “最终他们将被连接起来，就像电力被用来为互联网提供动力一样。” 来源：金色财经
金色财经2023-06-13
DATA WORLD启动全球品牌大使计划诚邀全球WEB3爱好者共同挖掘WEB3品牌价值
 go
己的见解； · 拥有加密货币并熟悉多款加密钱包的操作； · 活跃在Twitter\Discord、Telegram 等社交媒体; · 拥有自己的社区群，在加密行业有一定的人脉基础； · KOL，有自己的推广宣传渠道或者推广资源； · 拥有和B端应用方商务沟通的经验和技巧。大使职责我们设置了3类大使，你可以根据自己的兴趣来选择。 · 社区大使如果你拥有自己的团队/社区，你可以申请成为社区大使，在社区内宣传DATA WORLD品牌，并组织AMA、社区会议、直播、Twitter Space等多种形式的活动，我们将会为你提供必要的宣传/活动物料、丰厚的代币奖励、DATA WORLD周边，以及品牌长久发展红利； · 推广大使如果你已经是加密行业的KOL或者有自己的宣发渠道，你可以翻译、编辑DATA WORLD相关内容在自己的渠道进行宣传，我们将根据您的贡献给与奖励；当然，如果你可以帮助我们维护社区，积极互动，帮助我们解决用户所遇到的问题，你也可以申请成为推广大使，也将获得推广大使奖励； · 商务大使如果你拥有B端资源，或者擅长与B端用户沟通，那欢迎你成为我们的商务大使，你将成为我们与WEB2、WEB3应用建立关系的纽带。联系我们，申请成为DATA WORLD全球品牌大使我们期待与您一起挖掘DATA WORLD品牌价值，共赢WEB3时代未来！来源：金色财经
金色财经2023-06-12
福布斯：SEC的加密执法行动不会止步于币安和Coinbase
go
的特定语言可能会让政府将一些用户控制的加密钱包定性为证券经纪人，因为它们参与了交易路由。 SEC不断加强的活动可能会鼓励国会为数字资产制定更明确的规则，以限制该机构对加密行业的攻击。“在最近这一轮案件中，SEC的措辞明显升级了，”Winston and Strawn律师事务所合伙人Daniel Stabile表示。“关键是我们是否会很快对其中一个案件做出裁决，以及国会采取行动的先后顺序，这将对SEC监管这一领域的权力产生根本性影响。” 来源：金色财经
金色财经2023-06-12
远离跨链桥 V神提倡使用原子交换：但它们真的好用吗？
go
可以这样简单理解：原子交换发生在两个加密钱包之间，没有任何中介来促进交易。它们是“原子的”，就像原子是不可分割的一样，要么交易成功完成并且每个交易者都收到对方的资金，要么什么都没发生，两个交易者只有他们交易前的资金。原子交换机制依赖于哈希时间锁定合约 (HTLC)，可以被理解为是一个带有“哈希锁定”(HashLock) 和“时间锁定”(TimeLock) 两项特殊保障的虚拟保险箱：哈希锁定：在交易发起方将用于解锁 HTLC 合约的密钥发给另一方之前，确保资金被锁定在合约中。时间锁定：如果交易未在指定的时间段内完成，则将交易的加密货币退还给交易者。一旦双方都提交了合约密钥，交易就完成了。如果双方未在规定时间内提交，则交易将被取消，确保没有人蒙受损失。原子交换 vs 跨链桥当然，原子交换技术远比解释的更复杂，并且还在不断发展，它能够提供的好处包括：无需信任：不涉及受信任的第三方缓解交易对手风险：如果一方未能满足交易要求，另一方不会失去资产所有权控制：你在交易完成之前保持对资产的控制隐私：交易是私密的，只有交易双方知道。尽管早期有不少技术大佬都对原子交换进行了实验，但它似乎从未真正得到应用。这是 Vitalik 3 年前发的推文：我们应该将资源用于适当的（无信任、无服务器、最大限度地类似于 Uniswap 的用户体验）ETH <-> BTC 去中心化交易所。令人尴尬的是，我们仍然无法轻松地在两个最大的加密生态系统之间无需信任的进行价值转移。三年后情况就不同了。我指的不是原子交换，而是跨链桥。在这三年中，汇集用户资产并发行锚定币（或者叫包装代币，如 Fantom 上的 wETH）的跨链桥越来越受欢迎。根据 DefiLlama 的数据，在过去 7 天内，14 个跨链桥的资产总量达到 48 亿美元！ Vitalik 对跨链桥的设计非常挑剔。一年前，他在 Reddit 上分享了他对跨链桥持悲观态度的原因。以下是要点：虽然多链生态系统提供了多样性优势，但由于合约漏洞，跨链桥会带来安全问题。即使受到 51% 攻击，区块链仍然可以保持其规则，保持用户余额不变并确保交易的一致性。然而，在 51% 攻击期间，如果跨链桥的智能合约失去控制，那么跨链资产可能会贬值。因此，将原生资产保留在其原始链上比将它们跨链到其他链上更安全。跨链活动表现出了一种“反网络效应”：使用得越多，风险就越大，尤其是在跨链桥持有大量资产的情况下。就在撰写本文时，“反网络效应”的风险已经变得非常真实，有谣言称持有多重签名密钥的 Multichain 开发团队已被捕。提醒一下，Multichain 的跨链桥使用资产池模型在支持的链上发行锚定币。比如 Fantom上的 BTC，其实就是被“包装”后的 wBTC 再由 Multichain 二次“包装”发行。链上分析师 An Ape Prologue 对 Multichain 进行了研究。他发现除原生代币 FTM 以外 40% 的 Fantom 资产，都是由 Multichain 发行的。这些锚定资产高达 6.5 亿美元，表明 Fantom 对跨链桥的高度依赖。不幸的是，Multichain 并不是第一个也不是最后一个遇到麻烦的跨链桥。五个最大的跨链桥黑客攻击事件已造成 19 亿美元的损失。就像 Vitalik 所说的那样：“将资产保存在它们起源的链上，并使用原子交换协议在不同链之间进行价值转移。” 尽管跨链桥存在风险，但原子交换协议目前很少见，主要由于这 5 个障碍：不同的语言：不同的区块链使用不同的语言，这使得直接原子交换变得困难。功能有限：比特币的语言缺乏以太坊 Solidity 的智能合约功能，这使得要实现某些原子交换条件变得复杂。不同的共识机制：比特币使用工作量证明，而以太坊已经过渡到权益证明。这种差异会使原子交换机制复杂化。复杂性和风险：原子交换需要多个步骤，如果执行不当，存在资金损失的风险。流动性要求：有效的原子交换需要两条链上都拥有足够的流动性，否则，交易中会出现汇率波动。 “原子交换”的尝试最后，我们真的可以使用“原子交换”协议吗？目前至少有 15 个相关协议使用着不同的交换机制。然而，对我来说，真正重要的是在链之间交换原生资产的能力，尤其是当它涉及在原生 BTC 和 ETH 之间交换时，在我看来，这是圣杯。 Thorchain 的 Thorswap Thorswap 可能是最著名的多链资产交易协议。它促进了 9 条链之间 ETH、BTC 和其他原生代币的交换。在下图中，我将 ETH 换成 BTC 用了 9 分钟时间，花费了 37 美元的手续费用（大部分是比特币网络）。 THOR 系统的核心是流动资金池，每个资金池包含 50% 的 THORChain 原生代币 RUNE，以及 50% 的 BTC 或 ETH 等其他资产。当你想将 ETH 换成 BTC 时，协议会用你的 ETH 换取 ETH-RUNE 池中的 RUNE，然后用该 RUNE 换取 BTC-RUNE 池中的 BTC。因此，THORChain 仍然依赖于流动资金池，这可能会成为黑客的目标，这意味着它不是真正的原子交换。事实上，我联系了 THORSwap 团队来解释他们为什么放弃使用原子交换。这是他们的运营经理 paperX 所说的：由于流动性有限的原因，THORChain 不得不放弃原子交换。因为我们如果想要提供能够替代 CEX 的去中心化跨链交易协议，那么必须提供有竞争力的交易报价。早在 2018/2019 年，THORChain 就已经将原子交换作为一种技术选择进行了研究，但最终转向构建一个去中心化的跨链流动性协议，该协议使用 Tendermint 共识引擎、Cosmos-SDK 状态机和 GG20 阈值签名方案 (TSS)。它不锚定或“包装”资产，它直接在链上金库中管理资金。 Komodo (AtomicDEX) Komodo 是原子交换领域的先驱之一。他们的去中心化交易所 AtomicDEX 使用了原子交换技术，提供“安全且无需信任的多链交易”环境。 Komodo 自豪地断言，“我们不能冻结资金或停止交易。” 遗憾的是，该平台在手机和电脑上使用起来都不太容易。目前，它不支持 Metamask 或 Keplr，仅允许通过助记词或硬件钱包连接。此外，BTC 的兑换上限为 2 ETH，所提供的汇率比中心化交易所 (CEX) 低 7%。这也许就是用户在选择使用跨链桥还是真正的原子交换协议时需要做的权衡。总结实现 BTC<>ETH 的原子交换具有挑战性。如果使用去中心化应用程序不是问题，想要进行跨链交易，你还可以尝试使用 SWFT AllChain Bridge、Maya 协议（THORChain 的分支）。此外，有三个新一代跨链协议值得一试： InterSwap - 具有统一流动性的全链 AMM。 Orion Protocol - 用户可以使用 DeFi 钱包在主要 CEX/DEX 之间进行交易。无需 KYC。 Chainflip - 以极低的滑点实现跨链交换，以取代中心化交易所。（注：以上为作者个人观点，不构成投资建议，DYOR）无论如何，我想知道 Vitalik 在建议远离跨链桥和使用原子交换时，看好哪些协议。不过，显而易见，真正的原子交换似乎远未实现大规模采用。风险提示：根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》，本文内容仅用于信息分享，不对任何经营与投资行为进行推广与背书，请读者严格遵守所在地区法律法规，不参与任何非法金融行为。来源：金色财经
金色财经2023-06-11
“香港概念”百倍币（MXT）出现,下一轮牛市将出东方开始？
go
人工智能技术，集成了数字身份、去中心化加密钱包、Web3社交、人工智能金融服务等模块。它还采用了最新的跨链技术，支持以太坊、Arbitrum、Aptos等主流公有链使用MixTrust服务和资产合成及跨链转移。 MixID是MixTrust的数字身份识别模块，它创新地使用生物识别技术和用户的社交图谱，采用基于个人ID的信息。与此同时，用户的社交图也将成为重要的Web3资产，可以在网络上流通。 MixBank是MixTrust的去中心化钱包，也是MixTrust的主要载体。它采用了最先进的零知识证明技术，并且兼容多个虚拟机。它开放的API接口允许不同的平台和应用程序调用它，让用户的社交关系在不同的网络间传递。 MixGPT是一个基于MixTrust创建的GPT4的智能DeFi服务平台。与ChatGPT不同，MixGPT专注于Web3 DeFi领域。用户可以与MixGPT进行交互，获得所需的信息。同时，人工智能将整合用户的使用信息，为用户提供更快捷、更自然的支付和查询体验。利用AI技术识别和处理来自社交媒体、社区、协作等多个渠道的数据，并自动进行沟通和管理，确保社交网络信息的准确性。价值捕获和后市预期 MixTrust作为Defi平台，其价值收集和捕获能力都大大强于大部分的应用，有点像去中心化的自助机构，项目方仅仅只是开通了一个平台并具备不到20%的治理权，但是其代币绑定其他Defi的能力，或者用于提供手续费及其他应用场景都超过其他的Defi代币，加上香港概念、ai概念，arb生态狂潮等，再加上MXT目前市值较低的特点，笔者认为MXT的涨幅空间不可估量。总结 ID最近走势很强，应该会带动DID板块的项目，DID作为区块链的护城河，也属于技术流。前景还是可以的，目前ID引领了这一波的涨幅，这个板块的项目应该会跟一波。MXT在基本面还不错。MXT币走的还是挺好的，每一波箱体震荡后都选择像上突破；而且近期有几大利好:1.MXT生态重量级项目MixID即将正式上线 2.MixID将采用受限社区模式 3.MXT将进行通缩升级来源：金色财经
金色财经2023-06-10
DATA WORLD多链跨链钱包即将开启全球巡演 WEB3钱包大航海时代到来
 go
入口随着WEB3时代的快速发展，全球加密钱包市场也呈现出快速增长态势，用户群体和市场份额同步上升。据Blockchain.com数据统计，2022年全球有超过3亿人在使用加密资产。DATA WORLD多链跨链钱包通过用户体验、可交互性、多链跨链、NFT、加密社交、一站式数据服务、DAO治理等细分板块的创新为WEB3用户提供包含Web3钱包、NFT市场、DAO PLUS加密社交、Defi等多功能的去中心化数字钱包应用，支持多条公链的互联互通，用户可以轻松管理和交换不同区块链资产，实现资产的流动性和互操作性。同时，DATA WORLD多链跨链钱包采用MPC技术实现了私钥分片多方存储，一键生成多链地址,使得用户无需管理复杂的私钥或者助记词，让用户使用WEB3.0产品就像可以用WEB2.0账户或邮箱关联登陆一样方便，大大降低了用户进入WEB3.0的门槛，提高了安全性和易用性，成为用户进入WEB3世界的首选。聚合DAO PLUS加密社交，打造WEB3生态应用的枢纽 DAO PLUS是WEB3加密社交应用的先行者，采用全链节点方案，区块链链上加密，超级节点数据传输，私钥加密，IPFS分布式数据存储，为用户提供消息、Gif、视频通话、群聊等去中心化加密社交方式，将传统社交网络的中心化模式转化为去中心化模式，通过去中心化技术实现数据安全和价值共享。同时，可以为应用方打造专属加密社区，提供安全稳定的社交环境。 DATA WORLD多链跨链钱包通过聚合DAO PLUS加密社交应用，在钱包内为用户和应用方提供一个安全隐私的社交环境，用户可以与其他加密社交用户交流、共享经验和参与社区决策，在享受到隐私保护和数据安全保障的同时获得参与社区共同治理和发展的机会，进一步加强了WEB3生态的联系和互动。提供一站式数据服务，搭建WEB2到WEB3的桥梁作为一站式数据服务平台，DATA WORLD多链跨链钱包不仅仅是资产管理工具，还提供丰富的数据服务，搭建起WEB2到WEB3的桥梁。通过分布式数据存储和DAO数据治理，DATA WORLD为NFT、DeFi和其他WEB3应用提供可扩展、简单、自动化的数据服务支持。无论是存储、交易还是管理数据，DATA WORLD都为用户提供了全面的解决方案，使他们能够轻松地参与到WEB3数据经济中，实现数据的价值共享。 DAO治理，共治共享WEB3万亿市场 DATA WORLD坚持DAO治理，致力于实现共治共享的WEB3万亿市场。用户可以通过FILW投票参与社区治理和决策，共享WEB3数据经济的红利。DATA WORLD多链跨链钱包与用户共同打造WEB3生态，促进社区的繁荣和发展，为用户提供了更加公正和透明的参与机会，共享WEB3万亿市场的成果。未来，Web3需要的所有关键交易服务，都将在Wallet内访问和完成。作为领先的WEB3钱包，DATA WORLD多链跨链钱包打造了万亿WEB3市场的超级入口。通过聚合DAO PLUS加密社交、提供一站式数据服务和坚持DAO治理，DATA WORLD成为用户进入WEB3世界的关键平台，为用户带来全面的功能和无限的机遇，让我们一起期待DATA WORLD为我们带来更为精彩的未来。来源：金色财经
金色财经2023-06-09
SharkTeam：Atomic Wallet攻击原理和洗钱模式分析
 go
6月3日，加密钱包Atomic Wallet遭攻击，大量用户资产被盗，部分用户损失超过百万美元，影响范围极大。SharkTeam对本次攻击的攻击原理和黑客的洗钱模式进行分析。一、攻击原理分析 SharkTeam对Atomic Wallet进行了App和服务器API的封闭黑盒测试。测试过程概述如下：（1）本次测试版本为Android的Atomic Wallet 1.13.20和1.15.1。我们对Android应用打包发布证书信息进行了匹配，证书信息和官方证书相一致，排除“二次打包+钓鱼网站”攻击窃取私钥。（2）对APP本地缓存文件做了分析，经检测，涉及到账号信息的敏感数据也都做了混淆加密处理。（3）对APP运行过程进行了抓包，但并未发现密钥上传泄露的攻击行为，同时数据已经经过了合理的加密处理。（4）Android客户端未做动态防护和加固处理，执行过程可以被注入攻击，用户可能会因为安装了被黑客控制的恶意App而被攻击，造成私钥泄漏。恶意App可以通过社工方式被诱导安装或部分恶意Android系统的内置应用。（5）使用流量监控工具查看网络连接情况，经过一段时间运行后观察 http、dns、icmp、ssh 等流量情况，未发现 app 存在明显向其他第三方发送敏感数据的情况。分析 app 和服务器后端 api 接口交互情况，api 接口均需要进行权限校验，未发现未授权或隐藏的 api 接口。通过测试和分析，我们认为造成本次事件最可能的攻击点：（1）AtomicWallet开发过程中可能误引入了恶意SDK，被黑客通过“软件供应链攻击”的方式留下了后门。（2）数据加密算法相关资料泄密，导致加密方式和加密弱点被发现，并造成私钥被爆破。（3）Android App客户端未做动态防护，用户Android设备中被植入了恶意软件，实施注入攻击，窃取用户密码或私钥。二、洗钱模式分析 Atomic Wallet用户因黑客攻击损失了至少3500万美元，前五名损失达1700万美元，其中一名用户被盗795万美元。此外，据SharkTeam的链上安全分析平台ChainAegis数据显示，受害者的损失总额已超过5000万美元。我们对损失前5中的2位受害者地址进行资金流向分析，去除黑客设置的技术干扰因素后（大量的假代币转账交易+多地址分账），可以得到黑客的资金转移模式：图：Atomic Wallet 受害者1资金转移视图受害者1地址0xb02d...c6072向黑客地址0x3916...6340转移304.36 ETH，通过中间地址0x0159...7b70进行8次分账后，归集至地址0x69ca...5324。此后将归集资金转移至地址0x514c...58f67，目前资金仍在该地址中，地址ETH余额为692.74 ETH（价值127万美元）。图：Atomic Wallet 受害者2资金转移视图受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3转移126.6万USDT，黑客将其分成三笔，其中两笔转移至Uniswap，转账总额为126.6万USDT；另一笔向地址0x49ce...80fb进行转移，转移金额为672.71ETH。受害者2向黑客地址0x0d5a...08c2转移2.2万USDT，该黑客通过中间地址0xec13...02d6等进行多次分账，直接或间接将资金归集至地址0x3c2e...94a8。这种洗钱模式和朝鲜黑客在之前的Ronin Network、Harmony攻击事件中的洗钱模式高度一致，均包含三个步骤：（1）被盗资金整理兑换：发起攻击后整理原始被盗代币，通过dex等方式将多种代币swap成ETH。这是规避资金冻结的常用方式。（2）被盗资金归集：将整理好的ETH归集到数个一次性钱包地址中。Ronin事件中黑客一共用了9个这样的地址，而Harmony使用了14个，本次Atomic Wallet事件使用了近30个地址。（3）被盗资金转出：使用归集地址通过Tornado.Cash将钱洗出。这便完成了全部的资金转移过程。除了具备相同的洗钱模式，在洗钱的细节上也有高度的一致性：（1）攻击者非常有耐心，均使用了长达一周的时间进行洗钱操作，均在事件发生几天后开始后续洗钱动作，目前Atomic Wallet事件的部分被盗资金已进行了的分账处理，但还没开始通过Tornado.Cash混币，分析很可能会在几天后开始混币。（2）洗钱流程中均采用了自动化交易，大部分资金归集的动作交易笔数多，时间间隔小，模式统一。图：Ronin Network breathfirst洗钱模式视图图：Harmony breathfirst洗钱模式视图通过链上分析，我们认为： Atomic洗钱手法与Ronin Network、Harmony洗钱手法存在一致性，均为多账号分账、小额转移资产的洗钱方式。因此攻击者可能来源于朝鲜黑客组织。（2）但在Atomic事件资金转移过程中，出现了大量假币交易，黑客希望通过这种方式提高分析难度。在四级交易网络中，以27个地址进行分账转移，其中23个账户均为假币转移，之前的两次事件并没有这种干扰技术，说明黑客的洗钱技术也在升级。（3）目前Atomic被盗资金仍在分账地址中。若为朝鲜黑客攻击，洗钱操作尚未完成，后续可能出现像Harmony事件一样转移至Tonado Cash进行混币。（4）在资金流向分析中，地址0x3c2eebc、0x3b4e6e7e曾分别与带有Binance 18、Binance 14标签的热钱包地址进行交互，但由于转账金额较小，并不排除并没有在币安上进行KYC认证的可能。 About us SharkTeam的愿景是全面保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约的底层理论，提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。官网：https://www.sharkteam.org Twitter：https://twitter.com/sharkteamorg Discord：https://discord.gg/jGH9xXCjDZ Telegram：https://t.me/sharkteamorg 来源：金色财经
金色财经2023-06-09
MetaMask Snaps：开创去中心化新生态系统巩固钱包龙头地位
 go
因为 Argent 要求监护人自行持有加密钱包，这使得任何拥有钱包的受信任方都可以充当用户的监护人。 Forta Snap：Web3 的去中心化摄像头和报警系统 Forta 于 2021 年 10 月推出，一些知名 DeFi 项目如 Lido、Compound、Aave、MakerDAO、Balancer、dYdX 和 UMA，正在使用它来监控其协议的关键方面。Forta 由 OpenZeppelin 孵化，并得到 a16z、Blockchain Capital、Coinbase Ventures 和其他公司的支持。它是一个实时检测网络，用于区块链活动的安全和运营监控。Forta 实时检测 DeFi、NFT、治理、跨链桥和其他 Web3 系统上的威胁和异常。通过及时且相关的警报，协议和投资者可以迅速做出反应，以消除威胁并防止或最大程度地减少资金损失。众所周知，Web3 充斥着用户被钓鱼和诈骗的案例。在 2022 年上半年，骗子和黑客通过网络钓鱼和其他漏洞窃取了超过 20 亿美元。然而，Web3 的安全性仍处于起步阶段，迄今为止，大部分关注点都是通过审计、形式验证和漏洞奖励来保护 DeFi 协议。然而，像 Forta 这样的安全堆栈并没有普及到大多数用户，但许多常见的攻击，如网络钓鱼、无限制的令牌批准和诈骗却也主要针对缺乏保护的日常用户。因此，Forta Snap 的目标是在 MetaMask 中构建终端用户保护安全功能，利用 Forta 机器人的检测功能，帮助更多用户预防诈骗和网络钓鱼攻击。一旦项目成功，MetaMask 用户将在他们的钱包体验中增强基于链的诈骗和网络钓鱼预防，从而增强现有基于 URL 的保护机制。 Safeheron Multi Party Compute (MPC) key sharding Snap：账户和密钥管理 Safeheron 是一家开源、透明的数字资产自托管服务平台，成立于 2019 年，总部位于新加坡。基于安全多方计算（MPC）和可信执行环境（TEE）技术，Safeheron 为机构客户提供一站式、全方位的数字资产自托管解决方案，使客户 100% 掌握私钥和资产控制权，并提升资产安全和管理效率。该 Snap 由 Safeheron 与 MetaMask 合作围绕改进 MetaMask 的密钥管理体验展开，特别侧重于帮助用户管理他们的秘密恢复短语 (SRP) 以减少网络钓鱼攻击，并降低这些密钥丢失的可能性。由于底层的多方计算机 (MPC) 算法，私钥永远不会完整地保存在一台设备上，这意味着攻击者获得这些私钥并窃取用户资金的可能性大大降低。此外，如果用户丢失了 3 台设备中的 1 台，他们可以使用剩余的 2 台设备向新设备发布新的密钥碎片以维护其安全。如果该项目成功，MetaMask 团队将能够验证 MetaMask snap 作为新密钥管理体验的创新加速器，大幅降低用户被黑客攻击/网络钓鱼/丢失的私钥相关的单点故障风险。 StarkNet Snap：将 StarkWare 集成到首创的 ZK-Rollup Snap 中迄今为止，由于使用与以太坊不同的地址和帐户格式，StarkNet 尚未与 MetaMask 直接兼容，换句话说即非 EVM 兼容。而 StarkNet Snap 允许用户通过基于他们原本的 MetaMask 秘密恢复短语 (SRP) 创建一个 StarkNet 帐户来管理 StarkNet 上的资产， StarkNet snap 还允许开发者部署 StarkNet 账户，在 StarkNet 上进行交易，并与 StarkNet 智能合约进行交互，它可以与任何 dapp 连接以访问 StarkNet，开发人员可以尝试将他们的 dapp 与此 snap 集成。此外，如果不小心删除了 StarkNet Snap 也无需担心，删除快照不会删除用户的 StarkNet 帐户或交易历史记录。并且 StarkNet Snap 恢复直接利用 MetaMask 的秘密恢复短语，恢复 MetaMask 帐户并安装 StarkNet snap 后用户现有的帐户将自动恢复。 Snap Directory：用于添加、搜索、发现和安装 Snaps 的 Web 目录可以预见未来 MetaMask 将会有大量的 Snaps 可供选择，而每个 Snap 都有不同的功能、权限和安全性等信息，用户需要花费大量时间来查询这些信息，这严重影响了用户体验，并且在一定程度上阻碍了 MetaMask Snaps 的快速发展。而 Snap Directory 的目标就是创建一个网站，使用户能够在其中快速找到 Snaps，并验证它们的信息以及了解它们的安全风险。网站上的所有数据都将是透明的，可以由社区进行外部审计，开发人员也可以进行身份验证，并将他们的快照添加到 Snap 目录中。三、主要影响通过前文的阅读，我们可以了解到 MetaMask Snaps 所带来的影响是非常重大的。可以预见如果 MetaMask Snaps 的发展顺利，可能会产生以下影响： MetaMask Snaps 将进一步巩固 MetaMask 在钱包赛道的领先地位。MetaMask Snaps 对现有的 MetaMask 存量用户将会有很大的帮助，能够为他们提供更好的 web3 体验。 MetaMask Snaps 可以被看作是 web3 生态系统中的一个突破。它将一个简单的以太坊钱包转变为一个完整的 web3 管理工具，使我们能够自定义和增强用户的 web3 体验，这是目前其他钱包项目所没有实现的。 MetaMask Snaps 有可能吸引更多的 web2 开发人员进入 web3 领域。它使得复杂的Web3 技术对开发人员来说更加易于理解和应用，并将显著促进传统 Web2 应用程序与Web3 的集成。四、可能存在的问题和隐患 1、安全方面：从前文可以观察到，MetaMask Snaps 与谷歌浏览器的扩展程序有着相似之处。在安全性方面，谷歌浏览器会扫描每个提交到谷歌网上应用商城的扩展程序，但这个步骤并不足够严谨，难免会有一些漏网之鱼，因此，多年来谷歌浏览器的扩展程序发生了许多信息泄漏事件。而在 MetaMask Snap 中，前文提到的 Snap Directory 项目在一定程度上也可以帮助用户评估 Snaps 的安全性，然而这还远远不够，与谷歌浏览器不同，钱包存储着用户大量的资金，因此需要更高标准的安全性。可想而知，对于 MetaMask Snaps 而言，安全性是一个必须要保障的要点。这可能是 MetaMask Snaps 发展过程中的一个潜在隐患。因此，MetaMask Snaps 的发展还需要更多改进和安全保障，用户才能够放心使用。 2、门槛方面：在学习如何使用 MetaMask Snaps 之前，用户必须首先学习如何使用 MetaMask 钱包，这是一种 EOA 钱包，需要了解如何使用私钥、助记词等，对于那些从未接触过 web3 的用户来说这并不友好。MetaMask Snaps 的出现并没有降低使用门槛，更多地是为已经熟悉使用 MetaMask 的存量用户提供服务和帮助。但我们可以推测，新一轮的牛市需要大量新鲜血液注入 Web3 领域，但目前来看，进入 Web3 的门槛还是相对较高，因此，降低门槛是非常重要的。同样，低门槛的web3钱包也可能更加能够吸引新用户，我们知道目前已经出现了许多低门槛的 Web3 钱包，其中一些可以直接通过推特一键绑定登录钱包，一些可以使用邮箱、手机号登录，甚至还有一些只需要进行人脸识别即可登录钱包。而 MetaMask Snaps 在这方面并没有为 MetaMask 提供优势，因此，或许 MetaMask 想在新一轮牛市中继续保持领先地位，还需要多在降低门槛方面下功夫。本文仅供交流学习，不构成任何投资建议。来源：金色财经
金色财经2023-06-09

上一页
1
•••
89
90
91
92
93
•••
126
下一页

24小时热点

最新话题更多