FX168财经网_全球视野外汇黄金加密货币NFT资讯网

黑客攻击频频 Web3的安全在哪里？

。最近发生的几起加密攻击最终是Web2安全漏洞的结果，例如私钥管理和网络钓鱼攻击以获取登录信息，而不是设计不良的区块链技术；在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。 Beosin安全团队子玉表示，一定要对运维等内部人员做好安全培训，因为人其实是安全环节里最充满可变性和不稳定性的一个环节；前阵子有一个跨链桥遭受了攻击，当时大家都以为是私钥被盗/泄露了，结果后来发现是社工钓鱼。团队中的一个工程师想找工作，随后收到了一个高薪 offer，当他打开 offer 文档时，电脑就被入侵了，导致了数据泄露。 BAI Capital合伙人Will表示：这个行业强调 code is law，立法和执法都是没有的。之前的 Web3 用户以程序员为主，大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白，这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到 Web3 的。所以我觉得安全问题更应该是面向C端解决的，在开发者端、网站端和项目端也需要有安全对策。安全公司 Trail of Bits 前顾问、数字支付公司安全工程师Bobby Tonic认为，对于Web3公司来说，最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于 Web3 组织而言，不能保证代码的复杂性和正确性会产生灾难性的后果，因为攻击者可以随时查看其系统和应用程序的源代码。因此，Web3 将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识：即向用户承诺该应用已经通过了安全测试，可以放心使用。给用户的一些小建议在Web3世界，权力下放到用户手中，要想在Web3世界中畅游，安全意识是必不可少的。笔者在此给出一些安全指南，希望可以给刚进入行业的小白一些帮助。在钱包的使用方面：1、邮箱密码要至少12位以上，并且开启二步验证；2、不要告诉任何人你的任何数字货币信息；3、使用硬件钱包管理账户；4、注意使用chrome插件；5、使用VPN保护你的连接免受窥探者的侵害；6、使用2FA（谷歌验证器）；7、把日常用钱包和主要钱包分开；8、经常换钱包；9、结合使用冷热钱包。另外，用户也要持续保持防范意识，谨防假网站钓鱼、电信诈骗、跑路风险等诈骗类型。对所参与项目的最新进展可以多加关注，日常刷刷官方通告渠道（官网、Twitter 等）或社区（Discord、TG 等），一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露，也能第一时间获悉，并行动起来保护资产。作者：比推Asher Zhang 来源：金色财经

金色财经2022-10-29

金色Web3.0日报 | 苹果AppStore更新审核指南以禁止绕过Apple应用内购买NFT

发展。诺基亚预测，所有这些连接都会造成安全漏洞，该公司还在努力保护虚拟世界中的用户。 5.法国研究人员：现在应开始规范元宇宙金色财经报道，法国政府委托的研究人员表示，欧盟对其关键的加密货币立法包的处理凸显了 "不充分和缺乏专业知识"，在制定元宇宙的规则时不应该重复这种情况。研究人员在周一发表的一份报告中说，虽然法国不应该迅速否定元宇宙，即虚拟、增强和物理现实的超级组合，但它应该尽快尝试并规范它。游戏热点 1.链游SPACE KILL完成种子轮融资 10月25日消息，BSC链上游戏SPACE KILL宣布完成种子轮融资，UpHonest Capital、Welight Capital、ARPA Capital、TKX Capital、Matrix World 等 10多家机构参投，但具体融资金额尚未透露。 SPACE KILL是一款多人实时配对派对游戏，由Invictus Lab团队运营，新资金将用于为游戏开发新内容并扩大全球合作伙伴关系。 2.Axie Infinity代币AXS已解锁2154.3万枚金色财经报道，P2E游戏 Axie Infinity代币AXS已于今日9:10迎来一次大额解锁，解锁量为2154.3 万枚 AXS，占总供应量（2.7 亿）的 7.979%，约合2.18亿美元。解锁部分归属包括：团队成员 573.75 万枚、质押奖励 489 万枚，P2E 分配 472.5 万枚，顾问 250 万枚，私售轮 199.75 万枚，生态系统基金 168.75 万枚。截止发稿：AXS 现报价9.07美元，日内涨幅超7%。 3.游戏区块链项目Oasys将在11月22日前分三阶段启动主网 10月25日消息，由日本游戏企业万代南梦宫娱乐与世嘉联合推出的专注于游戏的区块链项目Oasys将从今天开始直到11月22日，分三个阶段全面启动其主网。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经2022-10-25

墨菲发起首届 OSCS 软件供应链技术论坛

ease 等 500+ 开源项目提交了安全漏洞修复的建议，社区成员超过 1w 开发者，为超过 5w 个开源项目，执行超过 30w 次开源安全检测，发现安全漏洞超 70w 。各大开源项目的安全性得到很大提升，正有更多开源项目因 OSCS 社区的存在而变得更安全。 OSCS 技术能力由墨菲安全技术支持，墨菲安全免费为开发者、开源项目等提供三方组件的安全检测、许可证合规评估等能力，提供客户端、GitHub、IDEA 插件等多种检测方式。目前客户端工具（murphysec）已在 GitHub 上开源，同时支持快速便捷的与 Gitlab、Jenkins CICD 流程进行集成，目前已支持 Java、JavaScript、Golang、Python、PHP、C#、Ruby、Objective-C、.NET 等语言项目的检测。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，能力包括代码安全检测、开源组件许可证合规管理、云原生容器安全检测、软件成分分析（SCA）等，丰富的安全工具助您打造完备的软件开发安全能力（DevSecOps）。旗下的安全研究团队墨菲安全实验室，专注于软件供应链安全相关领域的技术研究，关注的方向包括：开源软件安全、程序分析、威胁情报分析、企业安全治理等。公司核心团队来自百度、华为等企业，拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。 OSCS社区致力于联合社区安全白帽子帮助每一个开源项目变的更安全，也让每一个开发者更安心的使用开源项目。如果你也对软件供应链安全感兴趣，欢迎加入 OSCS，一起为开源安全贡献一份力量！来源：金色财经

金色财经2022-10-25

加密货币的下一件大事？

务器上存储任何敏感数据，因此您不必担心安全漏洞。您的信息是您自己的——这意味着它只能由您访问。单击此处免费启动并运行您的 Globiance 帐户！为什么会很大？现在预测 Globiance 将在 2023 年成为全球加密货币市场的主要参与者还为时过早吗？虽然许多加密货币专家仍然认为比特币、以太币和莱特币与目前市场上的其他加密货币相比被低估了，但 Globiance 正在朝着成为明天的顶级加密货币交易所之一迈进。事实上，一些分析师认为 Globiance 可能比 Coinbase 或 Binance 更大。是什么让Globiance如此特别？它加倍努力遵守世界各地金融监管实体制定的法规。他们这样做是根据每个国家/地区可获得的金融监管实体提供定制的交换平台。最好的部分是，超过三分之一的供应已被投资者购买和质押（质押），他们基于对 GBEX 代币用例的信心采取长期投资方式。我们都知道这意味着什么，没有 PUMP AND DUMP。结束思考那么，全球性是下一件大事吗？虽然很多人迟到了，但我很高兴看到如此惊人的技术如何随着时间的推移改变我们的生活。虽然加密货币仍处于起步阶段，采用数量仍然相当小（尽管它们从几年前开始呈指数增长），但我不禁为我们面前的所有美妙可能性感到兴奋。从我在这里的文章中你可以看出，我是加密货币的忠实粉丝——并且相信随着越来越多的人意识到它的潜力，它只会越来越受欢迎。话虽如此，在我们能够实现大规模采用之前，需要克服一些重大挑战——其中一个挑战是易用性/可访问性。这就是Globiance发挥作用的地方…… 来源：金色财经

金色财经2022-10-21

「Aptos」创纪录登顶「Sui」紧随其后

旧，上周提到涉及所有 IBC 链的严重安全漏洞，本周 Dragonberry 补丁已经作为支持 IBC 的 Cosmos 链的安全升级而实施。「LayerZero」本周的上榜大概率得益于 Aptos——早在一周前 Aptos 就已宣布集成 LayerZero，而在 Aptos 主网上线次日，LayerZero 便推出跨链桥 Aptos Bridge，支持用户将 USDC、USDT 和 ETH 从以太坊、Arbitrum、Optimism、Avalanche、Polygon 和 BNB Chain 转移到 Aptos，作为关键时刻 Aptos 生态用户为数不多的跨链选择，可谓是占尽先机。另一方面，除了跨链桥之外，LayerZero 协议最近也已应用到了 DeFi、NFT、游戏等多个领域，想象空间不断延伸（推荐阅读《一文速览 LayerZero 生态重点项目》），热度开始逐步回暖。「Uniswap」本周则和币安有一段关于「UNI」的争论，先是币安将持有的约 1320 万枚 UNI 委托给自己控制的钱包，使得其在 Uniswap DAO 中的投票权达到了 5.9%，仅次于 a16z 的 6.7%；随后 Uniswap 创始人 Hayden Adams 公开表示担心币安会出于自身需求使用用户的代币参与治理，引发老生常谈的 CEX 涉足用户代币投票权的去中心化治理议题讨论，而币安创始人赵长鹏也发推回应，「（1320 万枚）UNI 在币安内部钱包之间转移，导致被自动委托，这是 Uniswap 协议的设计问题，而不是币安的本意，币安不使用用户的代币投票，Uniswap 误解了这种情况」。紧随其后的「香港」，则是该栏目设置以来首次登上热搜榜的地理名词，背后也映射出深深的焦虑——此前 Foresight News 编译的《CoinDesk：2022 年区块链领域最具影响力的 50 所高校》，香港理工大学高居第一，其它如香港大学、香港中文大学、香港科技大学也赫然在列，可谓是上榜高校密度最高的地区之一。然而今年以来，在甚嚣尘上的 Web3 卷向新加坡的论调中，香港逐步跌落前排，似乎在错失互联网浪潮之后要进一步落后于 Web3 的时代脉搏，直到本届港府上台之后，香港下定决心与新加坡、伦敦、纽约等城市争夺全球加密金融中心和虚拟资产中心地位。 10 月 16 日，香港财政司司长陈茂波发表文章《香港的创科发展》，并指出要推动香港发展成国际虚拟资产中心。陈茂波表示：「政策宣言将清晰表达政府立场，向全球业界展示我们推动香港发展成国际虚拟资产中心的愿景，以及与全球资产业界一同探索金融创新的承担和决心」（延伸阅读《香港下定决心，竞争全球虚拟资产中心》）除此之外，「zKsync」虽然热度相比上周有所下降，但 10 月 28 日的主网上线（主要是做压力测试和安全工作）日益临近，关于其代币的相关消息也开始逐步在坊间流传（推荐阅读《zkSync 2.0 大冒险：哪些项目值得体验？》、《zkSync 生态项目一览：基础设施占据半壁江山》）。此外从上上期开始，「本周热搜」除了站内热词排行榜之外，也多了基于 Foresight Go 进行搜索的前十名热词和 Mirror 作者排行榜。本周相比上周，Mirror 热词的排行榜看起来依旧变化不大，老面孔基本上少有挪窝——「空投」、「Aptos」、「测试」、「教程」依旧是雷打不动的前排熟客，新增只有「Sui」这个被 Aptos 带起来热度的潜在当红炸子鸡，和「Web3」这个老生长谈的大类话题。 Mirror 作者排行榜本周则有两个值得关注的趋势，一方面本周全部为加密相关作者，另一方面也开始有老面孔出现：「greymate.eth」（项目进展）。 1.snapfingersdao.eth（日报汇总） 2.greymate.eth（项目进展） 3.fangxia.eth（融资回顾） 4.比特币橙子 Trader（日报汇总） 5.poliglotek（技术科普） 6.metanorm.eth（项目进展） 7.lydia.webxcapital.eth（技术科普） 8.bible666.eth（空投教程） 9.havecoin.eth（空投教程） 10.kycohen.eth（空投教程）来源：金色财经

金色财经2022-10-21

SBF推出的《数字资产行业标准草案》包含哪些行业共识？

应该将这一点正式化，让主要受信任方将与安全漏洞相关的地址添加到他们的可疑地址公共列表内。因此，中心化和去中心化协议都能够迅速冻结相关的地址。 2，每当出现安全漏洞时，通常在黑客和协议之间进行协商；通常黑客会提出归还部分 (但不是全部) 资金，以换取某种豁免权。 a. 理论上讲，这样的交易是可行的：它可以保护客户，挽救公司和协议，仍然可以给发现漏洞的一方丰厚的漏洞奖励。 b. 但实际上，每一次谈判都是充满压力和争议的。（我们知道，通常情况下，这里的受害者是被黑的协议，而黑客不是「好角色」）在很多情况下，漏洞、黑客入侵、市场操纵和交易之间的界限可能会变得模糊，因为双方对此的看法大相径庭。此外，对于应该返还多少，各方也没有达成共识。 c. 所以，我提议一个新的社区标准：5-5 标准。假设有一个缺口，A 从 abc 协议中拿走了 x 美元。假设 abc 手头有 y 美元的储备: -第一，保护客户。在客户得到赔偿之前，A 不应该得到任何东西，这意味着如果 x > y，那么至少 x-y 美元必须返还给 abc。例如，如果 A 拿走了 100 万美元，而 abc 只有 80 万美元的储备金，那么 A 必须归还至少 20 万美元，以确保 abc 的储备金和 abc 的客户是相对匹配的。这是最重要的部分。客户必须得到至高的保护。 -第二，唯一的建设性解决方案是 A 具诚意地工作，并打算合作，从一开始就归还大部分资产。没有谈判或坚持，且试图使用这个标准作为备用计划。 -第三，假设满足此前两条（第一和第二），A 至少要返还 95% 的资产。特别是，允许 A 保留 x 美元的 5 % 和 500 万美元中较少的一个。其余的返还给 abc。例如，如果 A 拿了 150 万美元，他将保留 75000 美元，并返回 142.5 万美元；如果她拿了 1.5 亿美元，她会保留 500 万美元，并返还 1.45 亿美元。 -第四，如果 A 遵循 5-5 的标准，维持 abc 协议客户完整，他保留最少金额 (她拿走的金额的 5 %, 500 万美元)，其余全部返还，那么她保留的金额被视为 (可能非常慷慨的) 漏洞赏金：实际上他没有伤害到协议客户，他返还了拿走的大部分，并帮助提醒 abc（公开地）一个漏洞。 -第五，默认情况下，A 有一天的时间来归还（根据 5-5 标准）他不应得到的部分。所以，要明确的是，A 不能坚持，然后把 5-5 作为后路；A 从一开始就打算归还资产。 -第六，如果 A 没有遵循 5-5 标准，也就是说，如果她保持超过他应有的「公平份额」，她就会被社区视为「坏角色」。 -第七，请注意，要清楚这里没有任何法律或监管声明；这只是一个关于加密社区规范的提议。 3，关键是: 创建并遵循一个清晰的共识标准，以明确漏洞利用者的职能；确保客户受到保护；激励那些在协议中发现安全漏洞的人去遵循共识标准，确保他们会这样做。 4，为什么是 5-5 标准？ -我不知道正确的数字是什么，也开放地支持其他选择！ -但如果遵循 5-5 标准，从历史上看，黑客攻击的影响会降低 98% 以上。 -这是一个巨大的进步——我的直觉是，为了解决绝大多数问题，接受 2% 的成本是非常值得的。我认为，创建一个可以大幅降低安全漏洞影响的标准对行业来说是非常重要的。我也并不确定什么是正确的标准，并且非常愿意接受这方面的建议！资产清单；还有，什么是证券? 迄今为止，业内人士有时必须回答的一个核心问题是：特定资产是否是证券。一般来说，BTC 和 ETH 不被视为证券；许多作为投资契约的长尾代币是证券。然而，有一些尚不清楚。最终，这个问题可能会有立法、监管或司法上的明确。在那之前，FTX 至少是这样计划的: -首先，我们的法律团队将根据豪威测试和其他相关判例法和指南对资产进行分析。如果分析发现它是一种证券，我们就将其视为证券。 -如果分析后发现其不是证券，我们通常将其视为非证券商品，除非该资产被 SEC 和/或有管辖权的适当法院认定为证券。 -如果我们确实发现一项资产可能成为证券，除非/直到有适当的注册该资产的流程，否则我们将不会在美国上市。对于在我们的联邦监管平台上列出的所有资产，我们打算发布一份类似于（非正式）注册声明的资产概述。点击详情理想情况下，最终数字资产成为一个证券并不是一件坏事：在保护客户且允许创新的同时，有明确的数字资产证券注册流程。我们仍然很高兴与监管机构进行建设性地合作，在监管框架内队证券型 token 开发和采取行动。股票 token 化我认为，最终，区块链技术在改善传统的市场基础设施方面具很大潜力。 2021 年 1 月 28 日，散户在包括 Robinhood 在内的多家交易平台上购买了大量特定股票，如 AMC 和 GME。随着这些股价的上涨，按照市价计算，投资者赚了很多钱，但这也给市场带来了一个问题，股票结算需要两天时间 (美元可能需要数月时间，尤其是 ACH 和信用卡)，其间存在一定的不确定性和另一方无法兑现的风险。这意味着在 1 月 28 日，散户投资者有数十亿美元的未结算收益。例如，典型的散户股票交易要经过大量的实体： - A 的移动代理 - A 的证券结算公司 - A 的银行 - PFOF（订单流支付）公司 B - B 的清算公司 - B 的银行 - DTCC（美证券托管结算公司） - Darkpool（暗池）C - C 的清算公司 - C 的银行 - DTCC（再次） - PFOF 公司 D - D 的清算公司 - D 的银行 - DTCC（再次） - 证券交易所 - DTCC（再次） - 然后给另一边更多单笔投资超过 15 个实体！每种实体都有一定的结算风险。因此，如果散户一天赚了数十亿美元，那么你就有了数以百计的实体，每一个实体都可能需要数十亿美元的备用资本，以防该流程中的任何一个实体后来不能交付。一旦投资者的利润超过了资本状况较差的经纪商的监管资本，这些交易商就会被关闭，在某些情况下还会被清算，以确保他们赚不到更多的钱——这些钱是经纪商无法担保的。在目前的股票市场结构下，散户能赚多少钱是有限制的! 但在 1 月 28 日，数字资产保持了交易流动性。为什么? 因为如果 A 想从 B 那里购买 SOL 以换取 USDC，A 将链上的 USDC 发送给 B，B 返回 SOL，几秒钟后——只需 0.0005 美元的费用——交易就完全解决了，不存在未解决的结算不确定性或风险，因此基本上不需要监管资本。如果两个平台之间有转账或交易，它们只需将区块链上的适当资产发送到另一个平台，再次在几秒钟内消除结算风险。综上所述：我认为股票 token 化有助于简化证券结算，为零售提供更强大、更公平的市场结构。是什么阻碍了这一切？我认为最重要的是监管透明度：例如，token 化 AMZN 股票的清算、保管、注册、发行、披露等是什么样子？客户保护、披露和适用性帮助保护投资者的最明确的方法是提供透明度和防止欺诈。投资者应该得到有关它们关注资产的清晰易懂的信息，监管机构应该打击任何虚假陈述或做出重大误导性营销声明的行为。我还认为，通常情况下，系统不应该有意地依靠信贷运行——尤其是对散户而言。一般来说，散户投资者的损失不应超过他们存入一个平台的金额，如果平台的任何贷款失败可能导致该平台上其他无辜投资者的损失社会化，就应该对其进行严格审查。这是我们在 DCO 修正案中提出的清算模型（https://www.ftxpolicy.com/posts/risk-management）的核心内容之一。如果你有足够的信息披露和透明度，不让投资者承担比他们存款更多的风险，并监管欺诈行为，那么客户保护的剩余核心部分就是适用性。换句话说，谁是特定产品的合适用户？人们可以通过多种方式来确定适用性，这通常是在经济自由与风险之间进行协调。没有单一的完美程序来确定适用性，但总的来说，我认为对客户来说基于知识的测试是合适的方法，且比基于财富的标准好得多。以下是确定谁可以访问特定产品的各种方法: a. 只有净资产至少 x 美元的投资者才能投资该产品 b. 只有收益至少为 y 美元的投资者才能投资该产品 c. 有一个基于平台和产品机制的测试：只有通过测试的投资者才能投资该产品 d. 只要不是骗局，任何人都可以访问任何产品 e. 平台应自行选择谁可以访问其产品 (a) 和 (b) 的问题是双重的。首先，它们可能会强化阶级壁垒：只有富人才能真正进入金融生态系统，因此只有那些已经拥有大量金钱的人才被允许赚钱，加剧了经济、种族和农村的差距。其次，目前还不清楚它在保护投资者方面是否做得很好。我发现，那些在生活中为了获得经济稳定而不得不付出最大努力的用户往往都是最见多识广、经验最丰富、知识最渊博的用户，我并不相信那些声称把穷人排除在财务自由之外是有效的客户保护的说法。 (d) 的问题在于，你会发现人们利用了那些不了解自己所使用的平台的人，他们承担了自己不知道也不愿意承担的风险。 (e) 可能意味着许多事情，但「平台选择」通常是充满了偏见和排斥，创造了金融准入的象牙塔。在我看来，(c) 是最合适的。它没有对经济上处于劣势的人群做出假设，或屈尊与任何特定群体，而是直接针对用户最大的担忧：人们将使用他们不了解的产品，承担他们不愿意承担的风险。总的来说，美国是建立在自由和个人选择的基础上的，这在经济、金融和口头上都是如此。但这并不允许平台利用误导、欺骗性或草率的产品来利用消费者。因此，我支持实施基于知识的测试，而不是基于资产的测试来确定产品的适用性。如果我们的修正案获得批准，为了展示我们计划推出 FTX US Derivatives，我们已经建立了一个包含一整套客户保护的网站——从披露到解释器再到基于知识的测验。 DeFi 在当前监管框架的背景下，DeFi 对于数字资产最终可能带来的创新至关重要。这也是需要考虑的较为棘手的问题之一。但永远不会有一个完美的答案；我们所能做的就是一步一步向前走。这里有一个关于使用 DeFi 的不成熟的监管启发式建议。一方面，你的行为感觉更像是言论自由、表达自由和数学构造：那些纯粹是编写代码，将其部署到去中心化区块链，或根据链的规则验证区块。去中心化代码如言论。另一方面，你的结构看起来更像是中心化的金融服务：托管一个网站，授权和推动美国散户投资者能够访问 DeFi 协议或产品。中心化的 GUI 和营销就如受监管的金融活动。这意味着: -上传代码到区块链不需要金融许可证 (只要它不是非法的/邪恶的) -类似地，验证程序的主要职责是正确验证区块，而不是判断或监督它们 -然而，以下活动可能需要一些许可证/注册等：在 AWS 上托管一个网站，为去中心化协议提供美国零售前端；向美国散户投资者推销 DeFi 产品。例如: -你可以在没有许可证的情况下为 DEX 编写代码并上传到区块链。 -没有许可证你也可以在 DEX 上交易，只要你纯粹是用自己的钱，而不是管理基金。 -你可以在没有许可证的情况下进行点对点传输，不过你还是要避免把它发送到受制裁的地址。 -验证器本身的目标仅仅是确认提议的块是否符合区块链的规则，而不是单独解析和治理监管内容。 -如果你有一个网站，让美国零售业可以很容易地连接到 DEX 并在 DEX 上进行交易，你可能需要将其注册为经纪商/FCM 等，还需进行 KYC 验证。 -如果你积极地向美国散户推销产品，可能需要一些注册——来自于你或来自你所推销的产品。 -纯链上活动的 DAO 不需要许可证——与个人类似，然而控制集中 GUI 的 DAO或向美国零售市场可能会。 -链上代码和 DeFi 保持自由、开放和不受审查是极其重要的。这是一种妥协，在任何坚定的立场上都不是完美的。但我认为这是合理的。它允许核心技术继续创新，允许人们表达自由，同时要求零售营销或类似于传统金融经纪的活动获得许可证，为监管机构创造了一个加强消费者保护和市场诚信的层次。我非常愿意接受这方面的建议！一个事物可能有很多变体。但最重要的是：如何以及在哪才是适合（或不适合） DeFi 和与之相关的东西监管环境是一个困难的问题，也是尚未有定论的问题。在没有为此建立一个合理和负责任标准的情况下，我们应该谨慎做出决策。 Stablecoin 点击查看关于 Stablecoin 的社区标准的提议（在有一个明确的监管框架之前）。 Stablecoin 为现代化和民主化支付提供了巨大的机会，无论是在国内还是国外。我们应该采取支持它们的监管政策，同时防范任何系统性风险。简而言之，任何对标美元保持稳定的 Stablecoin 都应该至少由流通中的 Stablecoin 数量的美元 (或联邦政府发行的国库券/票据) 支持，并且应该保持最新的公共信息和审计证明。此外，应该有参与入/出流程的交易者的 KYC(即创建和赎回 Stablecoin 的个人和实体的 KYC)。这是非常容易做到的，我们认为有许多合适的监管框架，在这些框架下，Stablecoin 项目可以进行（前提是运营实体保持有关资产的信息，并有和执行适当的 KYC 要求）。需要明确的是，这并不意味着护照和 SSN 是从 7-11 购买百吉饼的必要条件，但 Stablecoin 的发行和赎回应该是 BSA 级别的 KYC 活动。来源：金色财经

金色财经2022-10-20

用零知识证明架起多链宇宙的跨链桥

历史上一些最大的黑客攻击都发生在桥上安全漏洞的主要原因是由于跨链桥作为中心化存储单元的方式。大多数现有的跨链桥（用于流动性）通过锁定 - 燃烧 - 释放机制运行。典型的用户通过将链C1上的资金发送到将这些资金“锁定”到合约的桥协议来与桥进行交互，即这些资金在C1中不可用。然后，该桥允许用户在另一个区块链C2中铸造等效资金。一旦用户花费了一些资金并希望将剩余资金返还给C1，他就会“烧掉”C2中的资金，桥接实体对其进行验证，并“释放”C1中的剩余资金。在这样的链间跨链桥中，大量资金可能位于跨链桥中，其安全性依赖于少数受信任的各方，使其成为攻击的活跃目标。总而言之，建造跨链桥的主要技术挑战是低计算开销（高效处理跨域数据，场外算术）。低存储开销。（简洁）安全性/不可信。（稳健性）来源：金色财经

金色财经2022-10-20

Oasis网络：告别无隐私的透明人

018年9月，Facebook爆出由于安全漏洞遭受黑客攻击，导致3000万用户的信息被泄露。在这其中，又有1400万人用户的敏感信息被黑客获取。这些敏感信息包括：姓名、联系方式、IP地址、搜索记录等。同年12月，Facebook又因软件漏洞再次导致6800万用户私人照片被泄露；同年，万豪酒店5亿用户开房信息被泄露。万豪国际集团当时发布公告称，旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约5亿名客人的信息可能被泄露。被泄露的信息包括大约3.27亿客户的姓名、性别、地址、电话、邮箱、护照号码、出生日期等信息；此外，华住酒店5亿条用户数据疑泄露，被泄露的用户数据被发布在“暗网”售卖。包括用户身份证号、手机号、地址、邮箱等，共涉及5亿条公民信息。此次泄露的数据总计达5亿条，打包价售价为8个比特币或520个门罗币（当时约合人民币38万元）。除了以上这些典型例子之外，还有的大量隐私泄露事件，可谓是不胜枚举。比如Exactis大数据公司泄露2TB用户隐私信息，共计3.4亿条，涉及2.3亿人，被泄露数据包含的信息包括一个人是否吸烟、宗教信仰、是否养宠物等；美国功能性运动品牌Under Armour泄露1.5亿用户信息泄露，被泄露的用户数据包括用户名、邮箱和密码；国泰航空泄露约940万乘客数据信息；中东打车巨头Careem遭遇网络攻击导致1400万乘客信息失窃；法国外交部称紧急联络人信息数据库遭黑客入侵；美国监狱电话监控供应商Securus被黑，大量数据遭窃取；泰国最大的4G移动运营商TrueMoveH遭遇数据泄露；俄罗斯电信公司意外暴露数千名富豪客户个人信息；美国电信巨头Comcast爆漏洞，暴露2650万用户个人信息。以上这些案例只是过去数十年Web2网络中隐私泄露安全事件中的沧海一栗，缺乏隐私保护机制俨然是Web2时代的一个持续巨大痛点。此外，Web2.0时代缺乏隐私保护的现状之二是数据信息被随意买卖。Web2.0时代除了数据信息被广泛攻击的问题之外，还存在普遍的用户数据信息被互联网公司随意售卖问题。当今的Web2.0互联网公司主要是“流量驱动”型公司，商业盈利模式的核心是收集客户数据和以直接或者间接的形式出售客户数据。正是在这种畸形的商业盈利模式下，导致客户数据信息被大规模重复买卖，导致了大数据杀熟、大数据广告推送、用户数据随意被授权给第三方平台等典型无隐私保护的行为。我们可以普遍地发现，大量Web2.0网络的APP存在违规强制获取或者过度获取用户信息的行为：比如相机、定位、相册、通讯录、录音权限成为频繁调用的权限。据有关部门统计数据显示，约有95%以上的APP默认调用用户的相机权限；约有50%以上的app默认调用用户的位置权限；约有30%以上的APP默认调用读取通讯录联系人的权限...... 当前在隐私保护领域的法律现状是什么？Web2缺乏隐私导致了一系列的安全问题，引起了政府广泛的重视，世界上多个主要国家都出台了个人隐私保护法。其中美国是世界上最早提出并通过法规对隐私权予以保护的国家，美国在1974年通过《隐私法案》、1986年颁布《电子通讯隐私法案》、1988年又制订了《电脑匹配与隐私权法》及《网上儿童隐私权保护法》；德国联邦议院在1997年通过了Internet法律《多媒体法》；加拿大在2001年1月1日起实施《个人信息保护和电子文件法案》，所有收集用户信息数据的网站必须向它们的客户明确是谁在收集信息、收集什么信息以及为何收集信息；2021年8月，中国通过《个人信息保护法》，该法案要求不断加强企业应当遵循保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的知情权、决定权。通过多个世界主要国家在隐私保护领域陆续出台法案可以看出隐私保护的发展是已然是大势所趋。 Web3.0时代的隐私保护机制是什么？隐私保护已成为必然趋势，Web3是Web2的演进升级，Web3非常重视用户隐私安全，数据隐私成为了Web3.0的一个核心标准要求。在Web3.0时代，旨在通过隐私计算技术实现在保证数据本身不需要对外泄露的前提下就可以对数据进行分析处理，达到数据可用而不可见的目的。隐私计算是针对隐私数据进行全生命周期保护的计算方法，可以隐私数据的所有权、控制权、收益权和使用权分离确权，然后分别进行隐私度量、隐私保护与隐私分析。隐私计算的加密保护机制可以加强对数据的保护和降低数据泄露风险。目前市面上常见的隐私保护技术有多方安全计算、联邦学习、可信执行环境、同态加密、零知识证明和非对称加密等。在Web3.0领域，目前采用最广泛的隐私技术为多方安全计算、可信执行环境和零知识证明。 Oasis网络如何满足Web3.0时代的隐私保护需求？作为全球隐私计算龙头，Oasis从成立之初就有精准的定位，把隐私保护放在了Oasis网络建设的核心位置。目前在Oasis 网络上有两个隐私ParaTime：分别是Cipher 和 Sapphire。首先，Cipher是Oasis网络推出的与WebAssembly兼容的隐私ParaTime。在Cipher这种隐私 ParaTime中，节点使用可信执行环境 (TEE) 的安全计算技术保护用户数据隐私。通过使用密钥管理，将加密过的数据与智能合约一起发送进入黑匣子（黑匣子属于安全隔离区），在进入黑匣子后，先进行数据解密，数据解密后再用智能合约对数据进行处理，处理完成后在发送出黑匣子之前将数据再进行加密。这一执行过程中，在黑匣子内部运行的智能合约和数据因为与外部相隔离，所以不会被任何外部程序非法调用，也不会泄露给节点运营商或应用程序开发人员；其次，Oasis网络还推出了第二个隐私paratime Sapphire，Sapphire是全球首个也是目前唯一一个与兼容EVM的隐私智能合约。Oasis核心团队在目睹了EVM开发者社区的深度和广度之后，发现Solidity开发者在EVM智能合约中缺乏支持开发隐私Dapp的功能，于是Oasis核心团队推出了Sapphire来解决了这一问题。Sapphire 是一种全球首创的隐私EVM计算环境，允许 Solidity语言开发人员基于熟悉的开发环境使用隐私保护技术开发隐私Dapp。当前，大量的layer1公链都将主要精力放在了解决可拓展性问题，因为缺乏隐私保护等功能使得当前大部分layer1网络并不适配Web3时代对公链的需求标准。而Oasis除了将共识和计算分离来提升扩展性外，几年前就已经审视到了Web3隐私保护的核心需求，并推出了Cipher和Sapphire这两类隐私智能合约，Oasis在隐私保护方面相对其他layer1是极具竞争优势，有望成为适配Web3标准公链的全球领跑者。在Web3.0时代，告别无隐私的透明人，通过隐私保护技术的采用，使得个人信息更加安全，数据也无法被随意买卖。以Oasis为代表的一众隐私公链基础设施平台正在为Web3.0这一更好隐私愿景持续努力，让我们期待一个隐私权利真正得到捍卫Web3.0时代。来源：金色财经

金色财经2022-10-19

猛砸57万美元高薪！中国重金招募约30名英退役飞行员英国防部发布警告

Tusa)认为，这是一个骇人听闻的国家安全漏洞，因为这些英国教官教导中国飞行员如何击败西方战机。不过，据称被中国招募的飞行员中，没有人驾驶过最先进的F-35战机。

夏洛特2022-10-19

JZL Capital 数字周报第42期 10/17/2022

mos生态 BNB Chain由跨链桥安全漏洞导致的黑客事件发生后，Cosmos核心团队即开始对IBC进行审计，由此发现了一个严重漏洞，影响所支持IBC的链。目前该漏洞的补丁已经发布，未产生重大影响。跨链桥的安全性历来备受质疑，被戏称为“黑客提款机”。此前Cosmos生态和IBC机制并未出现严重黑客事件，或许只是由于生态中除ATOM外，并无高价值资产，且在离开生态DEX后，缺少可以变现的交易渠道。然而，随着当前生态发展向好，市值逐渐扩大，并引入了以太坊资产后，黑客攻击将更加有利可图。本次漏洞的发现和升级补丁有利于防患于未然，但效果如何还需拭目以待。 4 ）重点投资 Copper在C轮融资中已获投1.96亿美元，包括从新老股东处获得的1.81亿美元，以及1500万美元的可转换贷款票据。 Copper 成立于 2018 年，使用多方计算（MPC）技术，这是一种用于保护私钥的新兴加密方法，帮助保护加密资产免受网络犯罪侵害。该公司还提供支付结算和大宗经纪服务。 Copper 的标志性产品 ClearLoop 是一个将加密货币交易所连接在一起的系统，以实现即时、离线的交易结算。该产品系 Copper 与加密货币衍生品交易所 Deribit 合作推出，有了该工具，用户无需将自己托管账户中的加密货币资产转移到交易所的热钱包中，即可直接进行交易。ClearLoop 将交易所的入金和结算时间从 30-60 分钟缩短至 100 毫秒。随后，Copper 扩展了其 ClearLoop 交易框架，增加对机构级加密货币衍生品交易的支持。Copper 表示，新功能的推出旨在降低机构参与衍生品场外交易的风险。 4. DAO 去中心化自治组织 DeepDAO 项目简介： DeepDAO是一个DAO 的综合数据分析平台，提供24小时更新的 DAO相关的数据洞察，目前共收录了4828个DAO组织的相关信息；同时DeepDAO 基于多个维度对市面上现存的 DAO 组织进行资金规模、治理的分析和排名，类似于 DAO 版本的 defilama。功能介绍： 1. DAO的基本面信息汇总资金情况：直接检索对应dao项目的最新的国库资金量情况，并可细分到liquid和vesting两个维度。社区治理情况：Deepdao可根据由合约地址数量反映的dao社区成员数量、由投票议案更新速度反映的社区活跃度，对dao项目进行相关的排序评级。 2. 成员评级通过dao社区投票次数及提案数量和相应的被采用通过率，汇总并排名了各个DAO项目建设过程中的重要贡献者。 3. Daofeed 可按照信息流的形式，推送所订阅dao的链上行为。 4. 工具提供针对开发者，汇总了一系列dao基础工具。 5. DAO沟通软件目前正在开发中。商业模式：按提供信息的完整度，每月收费分25USD、450USD、3000USD三个版本。 Deepdao本身为中心化组织，目前暂无代币发行计划。小结： DeepDAO起步较早，且随着DAO生态的繁荣，自身的数据收录、分析等功能逐渐完善，属于DAO聚合分析赛道里最成熟的一批产品；未来mass adoption过后，DeepDAO势必有着更大的需求，成为一个更大的流量入口。目前产品在资产核算上还需要更大的包容度，目前仅支持核算ETH、SOL、Polkadot、KSM。项目20年3月上线，到22年10月的时间里，推特关注量一般，粉丝在1.3万左右，但用户整体口碑较好。目前项目组正在打造专门为DAO设计的聊天工具，未来值得关注。五、关于我们： JZL Capital 是一家注册于海外，专注区块链生态研究与投资的专业机构。创始人从业经验丰富，曾经担任过多家海外上市公司CEO和执行董事，并主导参与过 eToro 的全球投资。团队成员分别来自芝加哥大学、哥伦比亚大学、华盛顿大学、卡耐基梅隆大学、伊利诺伊大学香槟分校和南洋理工大学等顶尖院校，并曾服务于摩根士丹利、巴克莱银行、安永、毕马威、海航集团、美国银行等国际知名企业。 Website www.jzlcapital.xyz Twitter @jzlcapital 与我们联系我们一直在寻找有创意的想法、业务与合作机会，我们同样也期待您的阅读反馈，欢迎联系 hello@jzlcapital.xyz。如果以上内容存在明显的事实、理解或数据错误，欢迎给我们反馈，我们将对报告进行修正。来源：金色财经

金色财经2022-10-18

24小时热点