FX168财经网_全球视野外汇黄金加密货币NFT资讯网

再一家交易所“爆雷”倒闭！Hotbit官宣结束运营 6月须完成提款高层传遭“中国”刑事调查

私逃。 Hotbit也在2021年遭遇黑客攻击事件，当时有超过200万名用户遭受影响，停机维修超过一周时间。 2021年继中国人民银行发布监管公告后，Hotbit写道：“为配合相关地区政策法规，Hotbit于2021年07月01日起对中国地区+86手机注册用户做出功能限制，相关帐户交易功能和充值功能将不可用。” 也正是从那时候起，Hotbit的交易量持续暴跌，最终走向停止运营的道路。但现在看来，一切都只能成为回忆，Hotbit即将走入历史，成为新一轮“爆雷”浪潮当中的新受害者。#NFT与加密货币#

颜辞2023-05-22

喜讯币安链大姨夫LP底池突破100万美刀

丢弃（无法篡改） 2.CK审计通过（防黑客攻击） 3.无任何DApp没有任何链接 4.资产在自己钱包或薄饼里。 5.AVE官方完成审核。二、稳定性 1.官方初心责任与使命，筹码不多，间断性添加LP加厚底池。 2.Dao组织有足够筹码，领袖们引领180位节点布道市场，并强制共识Lp合约自动执行300天内撤池子，销毁大姨夫。 3.自带生态内循环（持币复利，LP红利、Dao红利） 4.教育中心人才济济，夜聊文化全方位服务于市场。 5.官方底池永久丢弃。三、长久性 1.粘性强，链上网体16代 2.LP挖BNB＋本币，挖完本币再挖BNB。 3.极致通缩稀缺增值。 4.完全链上去中心化。 5.强大外循环后期上币安，火币，香港等主流交易所。币安链大姨夫符合安全、稳定、可持续性发展条件，具备做大做强基因，带来的是一场不可错过机遇，再续币圈神话！来源：金色财经

金色财经2023-05-22

金色观察 | 当区块链遇上债券：加密货币如何解决资本市场桎梏

出不穷，人们认为智能债券同样很容易受到黑客攻击以及面临其他安全漏洞的风险。在这必须要说明的是，与加密货币不同，智能债券并不是无记名资产，相反，其所有权会自动在区块链上进行注册，因此智能债券将无法被欺诈性转移。此外根据监管要求，智能债券的所有权也可以通过代理进行记录，这可以避免发生在恶意攻击中冻结、取消或是更换代币的情况，以此帮助客户保护资产。总结不可否认，金融工具数字化正在引领着资本市场运作的重大创新。尽管如此，由于加密货币在一种新的主权领域中运作，在一个不属于任何政府的货币上运作，因此仍将受到不小的监管挑战，而这一挑战很可能会在短期内阻碍智能债券的采用。不过市场参与者也大可不必过于焦虑，因为伴随着基础设施的不断升级发展，越来越多的组织和市政当局已经开始采用新型技术，相信在不远的将来区块链技术一定会迎来更重大的创新、获得更可观的增长。本文部分内容编译自MSN 来源：金色财经

金色财经2023-05-21

Ledger新推出的Ledger Recover为什么被骂了

托管给其他机构，这些机构一旦出现问题（黑客攻击、信息被盗），托管的信息大概率不会完好无损； -订阅该服务需要国家的护照和 ID 验证，任何受「身份验证」保护的东西本质上都是不安全的，身份太容易造假了，且需要通过身份验证才可以确认用户密钥重建的请求，现今身份验证造假、被盗这些太稀疏平常，所以这不是一种安全的途径； -该服务会将密钥分成三部分，这没什么问题，但问题是该服务将用户加密密钥的三部分发送到三个实体公司，他们完全可以重建用户密钥。在数学概率上讲，托管的第三方机构越多，出问题的概率就会指数般增长； -大多数 Ledger 用户使用 Ledger Live，该应用会使用 Ledger 节点进行所有钱包同步，揭示用户加密活动的每个细节，你的资产和交易细节暴露在第三方，加上订阅服务后你的密钥和身份也在第三方托管，如此下去你的加密货币还是自己的吗？ -我们不能确定 Ledger 是否内置了安全措施来防止有人将密钥三部分全部发送给一个实体，也不能确定他们以何种途径分发给三个实体，所以更不清楚的是恢复过程中的解密过程实际上是如何进行的； -理论上，我知道你使用了 Ledger Recover 并获得了身份信息，以现在的技术手段通过身份验证并不难，你的加密资产也可以属于别人； -宏观上看，需要考虑监管条件，EscrowTech 和 Ledger 是美国公司，Coincover 是英国公司，这些机构处于英美管辖范围之内，而美英对加密的监管一直是个问题，政府很容易上门索取所有持有人的身份信息，然后随意扣押资金。 Ledger Recover 后更深层的思考有趣的是，在 Ledger 刚发该服务的信息后，删除了一条内容。该内容意思是「Ledger 和我们信任的第三方无法访问用户密钥」。虽然后来 Ledger 解释了该条内容措辞不准，但这个解释多少有点牵强。图源推特结合用户反馈，一个引人深思的问题浮现，该服务背后是追求用户订阅后的盈利，还是有某些监管机构强行要求 Ledger 这么做，如果是监管机构要求之下推出的功能，那么他们可以很容易获得用户 KYC 和数据并收回用户资产，这是非常可怕的一点。还有一点是，该密钥三部分的使用和恢复都要在 Ledger 官网做验证（Email、身份信息、Onfido KYC），这家名为 Onfido 的公司处理 KYC 流程需要用户上传/验证身份时，他们还会保留用户 ID、自拍视频中的图片/视频/声音，以及设备和当前活动的整体图片。Onfido 全面了解用户身份以及你是 Ledger 用户的事实，因此当你持有相当大量的加密货币，他们还全面了解你用于身份验证的设备，上文也提到，声音/图片/视频这些并不是不可仿制的。这真的安全吗？市面上其他硬件钱包所以 Ledger 该服务彻底打破了传统的硬件钱包机制，且间接出现了很多漏洞，其实硬件钱包的难题并不是突出起来的，此前硬件钱包巨头 Trezor 就出现过几分钟通过物理方法破解密钥的消息。所以市面上还有哪些硬件钱包可用呢？BlockBeats 整理了一些现今评价较好的硬件钱包如下： OneKey OneKey 完全是一个完全开源的硬件钱包，它的内部系统的源代码大家都可以在 GitHub 上面找到，不存在后门的问题。且 OneKey 硬件钱包的使用体验是非常不错，外形一张银行卡一样大小，价格不是特别贵，可以轻松地放到钱包里。 Keystone Keystone 是一款基于二维码进行数据传输，可以实现助记词和私钥永不触网的硬件钱包，对于硬件钱包来说，很容易会受到攻击，但 Keystone 设计了多层自毁机制，来防止设备受到攻击，也就是说设备检测到有人在拆卸它时，自毁机制会将你的私钥信息和其他敏感信息立即清理掉，因此攻击者就无法获取用户的敏感信息，Keystone 与 MetaMask（扩展和移动版）以及其他顶级软件钱包如 Solflare、Sender、Fewcha 等集成。结语当然，也有一些积极观点，该服务并不是强制更新的，用户具自主选择性，所以你可以继续使用你的 Ledger，还有观点表示，加密资产被盗太常见了，丢失密钥的概率远远超过密钥被盗窃的概率，而且每个月只需要 9.99 美元，何乐而不为。选择继续使用还是转战其他硬件钱包，这取决于你自己。来源：金色财经

金色财经2023-05-20

UKISS生态周刊第27期｜Hugware在web3.0时代的的核心竞争力

rthurCheong的一个热钱包遭到黑客攻击，导致70多个蓝筹级别的NFT被盗，损失超过170万美元。 l据网名Arthur0x的Cheong事后透露，“这是一次有针对性的社会工程攻击，”他说，“收到了一封鱼叉式网络钓鱼电子邮件，该电子邮件似乎真的是由我们投资的一家公司发送的，其内容是与行业相关的内容。” l加密研究员兼基金合伙人AdamCochran认为，Cheong的计算机在打开邮件后可能感染了病毒。他进一步指出，PDF、.docxs、.xlsx和.jpeg等文件扩展名是最常见的风险，甚至有可能杀毒软件扫描都无法检测到。 l英国技术人员意外丢了储存秘钥的硬盘，痛失价值3亿英镑的BTC英国小子在10年前忘记钱包密码，只剩下2次机会，否则将丢失价值2亿英镑的BTC 总体而言，随着黑客越来越复杂刁蛮，这些不幸的故事可能会越来越普遍。就算有助记词，真的就能够安全吗？ 2022年11月，分布式基金合伙人，因为泄露助记词，痛失价值4200万美元的虚拟资产黑客在半年内从很多老钱包里盗走1000万美元的ETH；主要原因是钱包助记词被泄露。 UKISS Hugware,全球第一个不需要助记词的硬件加密钱包！初始化Hugware3分钟之内完成！简单，方便！ Hugware包含两个密码设备，分别为“认证密钥设备A-Key”（深灰色）和“拯救密钥设备R-key”（浅灰色），是兼具备份和自认证恢复双重功能的设备。认证密钥设备(A-Key) •A-key初始化时将生成并离线保存您的主密钥。 •在需要授权交易时候，将A-key插入手机或电脑就可以。 •用户设置一个A-key的密码来保护A-key。 •用户可以自己用A-key来创建多个R-key来备份主密钥。拯救密钥设备(R-Key) •用户可以自己用R-key来重置A-key的密码，或者恢复丢失的A-key；只需要将R-key和A-key插入手机或电脑。 •受PIN保护，因此只有您才能使用。 •用户设置一个R-key的密码来保护R-key。 •整个过程只需要简单的步骤，不需要学习复杂的硬件操作教程–任何人都会使用。全球最简单，最容易使用的秘钥保护和灾备(DR)加密硬件钱包使用背景电磁噪音来获取真正的随机码，来创建您的主密钥。 •您的主密钥永不离开您的硬件钱包，保持离线和安全。 •简单就是安全，完全没有可活动部件没有电池，没有显示屏，没有按钮，没有鼠标等。 •因此没有操作系统（防止病毒入侵）。 •固件是锁定无法更改（防止用户意外的删除秘钥）。 •5年保修。 •用户不需学习一套新的复杂的硬件操作流程。 •3分钟内就完成整个硬件钱包的初始化。在Web3时代，用户可以真正拥有和控制自己的数据，数字身份，虚拟资产，全靠用户掌控自己的秘钥。而Hugware就是为web3.0时代而准备的！来源：金色财经

金色财经2023-05-19

Web3钱包的未来：创新、挑战以及重要问题

化服务器。这使得它们更加安全，能够抵御黑客攻击及其他安全风险。互操作性：Web3钱包旨在兼容各区块链协议和加密货币，允许用户仅在一处就可以管理和存储多个资产。安全性：Web3钱包使用先进的加密技术来保护私钥和其他敏感信息安全，保护用户免于盗窃和欺诈风险。用户友好：Web3钱包的设计是用户友好的，具有简单直观的界面，任何人都可以轻松访问。 4、钱包1.0现状目前，数字钱包大致可以分为托管钱包和非托管钱包两类。托管钱包是由第三方公司（如中心化交易所）持有并管理用户私钥的服务，本质上就是在保管用户的加密货币资产。另一方面，非托管钱包用户可以完全控制自己的私钥，确保他们是自己加密资产的唯一保管人。非托管钱包可以进一步分为三类：外部账户（EOA）钱包、智能合约钱包和多方计算（MPC）钱包。（1）EOA钱包是存储和管理加密货币最常见的数字钱包。EOA钱包通常由中心化交易所或钱包提供商提供，需要用户持有自己的私钥。EOA钱包有Metamask、Backpack、Phantom、Rabby和Rainbow等。（2）智能合约钱包是去中心化钱包，使用智能合约来管理资产。智能合约钱包比EOA钱包更安全、更灵活，支持社交恢复和多重签名等高级功能。智能合约钱包有Argent、Safe和Sequence等。（3）MPC钱包使用一种称为阈值加密的技术来增强安全性。授权交易所需的私钥被分成多个部分，并分发给多方，确保没有任何一方可以独立访问密钥。这种方法大大降低了单点故障或攻击的风险，使黑客更难窃取资金。MPC钱包有Fireblocks、ZenGo、Coinbase MPC和Particle Network等。最后，还有必要提一下新兴基础设施，各团队正在开发各种解决方案和原语，支持其他开发人员利用这些方案和原语为终端用户创建、定制钱包，从而简化钱包创建过程。 5、钱包1.0面临的当前挑战虽然加密钱包近年来取得了重大进展，但仍有几个难题需要攻破，以使它们更加用户友好、易于访问。目前加密钱包面临的关键挑战包括：普通用户无法访问：加密钱包对于普通用户来说很难理解，使他们很难享受到区块链技术的优势。登录复杂：加密钱包的设置可以说是一个复杂的过程，涉及到许多步骤。这对新用户来说可能是一个障碍，尤其是那些不懂技术的用户。助记词丢失或被盗：加密钱包依赖于助记词，即一串用于在设备丢失或被盗时恢复钱包的单词。但是，如果助记词丢失或被盗，则可能导致钱包中存储的所有资金丢失。链的碎片化：不同链的不同钱包增加了另一层复杂性，使用户更难跨不同区块链网络无缝管理自己的资产。前段时间我们看到MetaMask的钱包开发人员Tay揭露了自己经历的钱包被盗事件，从中可见，即使是加密OG也会受漏洞攻击而损失资金。为了应对这些挑战，钱包制造商正在探索新的方法和技术，以创建更容易被主流大众采用的用户友好且安全的数字钱包。 6、账户抽象的创新以太坊网络账户抽象（AA）的出现为Web3钱包的发展带来了重大进展。AA通过智能合约引入链上可编程性，为Web3钱包增加了灵活性。 7、EOA和智能合约账户间的关键区别传统上，只有EOA才能控制以太坊网络上的资金。这意味着智能合约必须依赖EOA来执行交易，这限制了智能合约的功能。有了AA，智能合约现在可以直接控制资金，变得更强大、更通用。 8、为什么ERC 4337很重要当今一个具有重要意义的特别研发就是ERC 4337。该以太坊标准在不改变共识层的情况下实现了协议上的AA。ERC 4337引入了几个关键特性，增强了钱包2.0的用户友好性和可访问性。社交恢复：钱包2.0现在支持多个所有者，支持社交恢复丢失私钥。原子多操作：智能合约可以将多个交易作为单个原子操作执行，简化了复杂交易并确保了交易的完整性。使用ERC20代币支付交易费用：智能合约如今可以使用ERC20代币支付交易费用，从而在支付选择上更具灵活性。 Paymaster：钱包2.0可以让第三方Paymaster代表用户支付交易费用，优化gas的使用，提高效率。这些功能使钱包2.0更易于访问、更加用户友好，这对Web3钱包的采用来说至关重要。 9、钱包2.0的发展之路 Web3钱包的开发仍处于早期阶段，在成为主流钱包之前要做的还有很多。钱包2.0是Web3钱包的下一个发展阶段，需要开发者、创业家和投资者共同努力实现。 ERC-4337的开发催生了一种新型钱包，这种钱包有可能彻底改变我们存储和管理数字资产的方式。虽然钱包1.0开局良好，但它在很多方面仍然受限，特别是在用户可访问性和登录复杂性方面。钱包2.0的未来发展关键在于突破这些限制，引入新的特性来改进钱包的功能和安全性。建设者正在建设什么？一些建设者已经开始着手构建钱包2.0格局。这些钱包的开发重点在于用户可访问性、安全性和互操作性。他们利用智能合约的力量来提供社交恢复、原子多操作和支付gas费等功能。一些即将到来的钱包2.0将专注于ERC-4337，比如Castle、Soul Wallet、Candide、Unipass、Biconomy、Banana Wallet SDK、Stackup和Etherspot。 10、评估钱包2.0要问的5个关键问题与任何新兴技术一样，评估与钱包2.0相关的潜在风险和回报非常重要。以下是评估钱包2.0解决方案时需要考虑的5个关键问题：（1）这是一个很不错的业务吗？一个成功的钱包2.0解决方案需要的不仅仅是一个对用户有用的工具。它本身也必须是一种可持续的商业模式。建设者必须考虑收入流、获客成本和盈利能力等因素。此外，他们必须评估潜在的市场规模和竞争，以确定业务能够长期发展并繁荣。钱包2.0领域竞争激烈，新的解决方案要想成功必须提供令人信服的价值主张。商业模式必须是可持续的，并且有一条明确的盈利之路。（2）钱包2.0会带来比以前好10倍的新解决方案吗？第二个要问的问题是，钱包2.0是否会带来比以前好10倍的新解决方案。钱包2.0有可能解决与传统钱包相关的很多问题。例如，社交恢复和原子多操作功能可以提供对现有解决方案的重大改进。社交恢复提供了一种更安全且用户友好的方法来恢复丢失的私钥，而原子多操作允许将多个交易作为单个交易执行，可以为用户省钱省时。这些功能可以提供优于传统钱包的优势，传统钱包并不提供这些功能。然而，一定要考虑到彼得原理——产品要成功必须至少比竞争对手好10倍。在评估使用ERC-4337的潜力时，各公司应该评估该技术是否在生产力、创造力或质量方面可以带来实质性的改进。此外，还应该评估实施智能合约功能的经济可行性，以确保收益大过相关成本。（3）企业如何建立可持续的竞争优势，特别是在严重依赖先发优势的情况下？第三个问题是，企业如何建立可持续的竞争优势，特别是在严重依赖先发优势的情况下。社交恢复和原子多操作功能可能是钱包 2.0的关键区分，提供了先发优势。然而，钱包2.0领域竞争激烈，建设者必须建立一个可持续的竞争优势，才能获得长期成功。这种优势可以建立在技术、网络效应或品牌的基础上。钱包建设者必须确定一个独特的价值主张，将自己与竞争对手区分开来。我的确相信在某些特定领域会出现防御性。我将简单说两点。独特且专有的传播渠道：拥有独特且专有的传播渠道可以让初创公司从竞争对手中脱颖而出。通过独特的方式来接触不容易复制的客户，显然具有明显优势。这种独特性可以吸引客户，并将初创公司与市场上的同业区分开来。我将在下一个问题中进行详细说明。为产品精心植入病毒式传播：将病毒式传播植入产品并非靠运气；病毒式传播是精心设计的。很多最优秀的公司都具有增长循环——飞轮随着时间的推移转得越来越快。下面是Amazon著名的增长循环。你的增长循环是什么？（4）企业能否找到适合的传播角度，为现有产品添加智能合约功能？另一个要问的重要问题是，企业是否可以利用现有的合作伙伴关系，将钱包2.0传播给更广泛的受众。考虑到吸引用户进入当前的钱包2.0生态面临着诸多挑战，这一点尤为重要。钱包2.0的一个潜在传播角度是通过与中心化交易所合作，这些交易所目前持有加密货币生态系统中的绝大多数用户资产。通过将钱包2.0功能整合到他们的平台中，交易所可以为用户提供更高的安全性和自我托管选择，同时让用户仍然保持对自己资金的控制权。这也有助于交易所在拥挤喧闹的市场中脱颖而出，吸引那些看重自我监管和安全性的用户。这里的关键问题是，你如何说服交易所与你合作？学习过去的成功经验可能会有用。另一个潜在的传播角度是与DeFi协议合作，可以将钱包2.0整合到DeFi平台中，为用户提供对自己资金更大程度的控制和更高透明度。这也有助于推动那些已经习惯了DeFi生态系统并正在寻找更先进的自我托管方案的用户采用钱包2.0。（5）我们必须信任什么样的假设，才能使其胜过现有的钱包解决方案？最后，建设者必须批判性地评估支撑其钱包2.0解决方案的假设和信念。他们必须考虑技术可行性、用户采用率和市场趋势，这些因素将决定他们的解决方案能否成功。此外，随着形势的发展和新挑战的出现，他们必须随时准备好调整改进自己的方案。 A、用户看重钱包2.0提供的安全性和透明度，足以证明钱包复杂操作的合理性。由于使用了去中心化协议和智能合约代码，钱包2.0可提供比中心化钱包更高程度的安全性和透明度。然而，这是以增加复杂性为代价的，可能会使普通用户无法访问钱包2.0。为了让钱包2.0获得成功，用户必须愿意付出努力学习如何使用它们，并且必须看重增强的安全性和透明度，以证明额外的复杂性是合理的。 B、钱包2.0可以提供至少和现有钱包解决方案一样好的用户体验，尽管它们的架构更复杂。与现有的钱包解决方案相比，2.0版钱包的架构更复杂，这可能会使它们更难以使用，用户友好性也更差。然而，钱包2.0的开发人员正在努力通过构建更直观的界面和利用最新的用户体验设计原理来改善用户体验。如果钱包2.0能够提供至少与现有钱包解决方案一样好的用户体验，尽管它们的架构更复杂，它们将很容易获得广泛采用。 C、钱包2.0可以有效解决助记词备份和恢复方面的问题，降低用户丢失资金的风险。现有钱包用户面临的最大问题之一是因助记词丢失或被盗而带来的资金损失风险。钱包2.0为这个问题提供了潜在的解决方案，例如社交恢复机制和其他先进的密钥管理技术。如果钱包2.0能够有效地解决助记词备份和恢复的问题，那么它们将能够成为比现有钱包更安全，更用户友好的替代方案。 D、钱包2.0可以通过与加密货币生态系统中现有参与者的合作和整合获得广泛采用。最后，为了让钱包2.0得到广泛采用，它们需要与加密货币生态系统中的现有参与者（如交易所、dApp及其他钱包提供商）建立合作伙伴关系。这将要求钱包2.0开发人员构建开放可互操作的系统，这些系统可以与现有基础设施进行无缝整合。如果它们成功做到了这一点，将能够利用现有的用户基础，扩大它们的解决方案覆盖范围。 11、潜在风险和制约虽然钱包2.0为DeFi的未来带来了巨大的希望，但也存在潜在的风险和制约，建设者和用户必须意识到这些。其中包括：（1）ERC-4337并不能解决昂贵的gas费问题使用ERC-4337进行简单转账可能比使用EOA更昂贵，因为需要使用ERC-4337进行合约调用。然而，在rollup上，ERC4337可能比EOA更具成本效益，因为它可以聚合签名以最小化主网上的数据量。（2）ERC-4337相关的安全风险与传统钱包相比，钱包2.0引入了新的安全风险。恶意行为者可能会试图利用智能合约代码中的漏洞，导致资金损失。在考虑使用ERC-4337时，由于引入了新的操作码，可能会出现潜在的安全风险，包括可能出现意外bug或攻击向量。建设者必须在其设计和开发过程中优先考虑安全性，将这些风险最小化。这些潜在的安全风险就是为什么Safe要等到完成测试和审计后才添加对ERC-4337支持的原因。（3）ERC-4337并不兼容所有区块链当谈到钱包2.0实现时，链的兼容性也可能是一个制约条件。这些钱包旨在与特定的区块链网络及其相应的智能合约语言进行交互。然而，它们通常缺乏与多个链的兼容性，从而限制了它们的功能和通用性。这意味着，如果用户想要切换不同的区块链网络，或者在不同的平台上使用智能合约，他们需要为每条链创建单独的钱包。这一限制阻碍了跨多个区块链生态系统的数字资产和交易的无缝高效管理。为了应对这一挑战，开发人员正在积极研究跨链互操作性协议等解决方案，旨在使钱包2.0能够连接不同的区块链网络、增强兼容性。（4）法律和监管方面的挑战围绕钱包2.0的法律和监管形势仍在发展，很多司法管辖区存在很大的不确定性。建设者必须意识到这些风险，并确保自己遵守了相关法律法规。 12、结论总之，钱包2.0将彻底改变我们存储和管理数字资产的方式。随着web3生态系统的不断发展，对安全且用户友好的钱包解决方案的需求只会越来越迫切。钱包2.0代表了下一代钱包技术，提供了一系列前所未有的新功能和好处。我们在本文探讨了Web3钱包的关键属性、钱包1.0的现状、AA的创新以及钱包2.0的未来之路。我们还概述了钱包建设者在进行业务评估时应该问自己的5个关键问题。钱包2.0前景展望随着生态系统的不断发展，我们有望看到更先进且用户友好的钱包设计、更好的密钥管理解决方案，以及更多钱包2.0的新用例。新技术的整合（如第二层扩展解决方案和跨链互操作性）将进一步增强钱包2.0的功能。随着区块链行业逐渐成熟，钱包2.0将成为管理数字资产及与dApp交互的重要工具。给钱包建设者的几点建议首先，要专注于建立可持续的竞争优势，能够经受住对先发优势的严重依赖。其次，一定要优先考虑用户体验和可访问性，使钱包2.0更容易被普通用户使用。第三，要确保钱包设计和密钥管理解决方案优先考虑安全性和易用性。第四，明确潜在的传播角度，可为现有产品添加智能合约功能。最后，必须跟上区块链生态系统中的最新趋势和技术，保持领先地位，并提供满足用户需求的创新解决方案。来源：金色财经

金色财经2023-05-18

一文了解Web3.0数据泄露事件分类及保护措施

据安全，我们应该采取何种措施。背景黑客攻击、漏洞利用、勒索软件以及所有网络安全威胁的规模和严重程度都在不断增加。Web3.0 生态系统的独特之处在于它为恶意行为者提供了其他技术所没有的各种攻击媒介，包括智能合约中的漏洞和新型的网络钓鱼技术。然而，Web3.0 安全事件的故事与其他行业的情况密切相关。非 Web3.0 领域会遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对 Web3.0 目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了 2011 年以来针对 Web3.0 公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽 gas 或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持「长期蹲守」的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数 Web3.0 组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了 74 个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件：理论上可检索的数据丢失事件，包括 PII 和内部数据库等。资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020 年 6 月日本中心化交易所Coincheck被攻击，200 多名客户的 PII 落入攻击者手中。攻击者破坏了 Coincheck 的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供 PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在 2020 年 6 月的另一起事件中，加拿大中心化交易所 Coinsquare 也经历了一次漏洞攻击，泄露和丢失的数据涉及 5000 个电子邮件地址、电话号码和家庭地址。攻击者在 Coinsquare 之间来回「横跳」后表示他们将在 SIM 卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的 74 起事件中，其中 23 起可被归类为数据可检索事件，大约占 31%。剩下的 51 起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011 年至 2023 年间发生的事件中，可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019 年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了 Web3.0 生态系统，再加上 2021 年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及 Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或 clear net 上。如果数据被推测具有一定的经济价值（PII 和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是 Telegram 频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在 paste sites 或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会「助力」受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的 Web3.0 数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到 2019 年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括 Raid 论坛、Breach 论坛和 Dread 论坛。多个违规事件选择将 Raid 论坛作为倾销和出售违规数据的首选论坛之一。Raid 论坛始于 2015 年，多年来一直在 clear net 上运行。然而在 2022 年，Raid 论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在 Raid 论坛网站上撤下通知 Dread 论坛成立于 2015 年，似乎一直活跃到 2022 年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和 IP2 版本，但这些似乎也已关停。在 Raid 论坛关闭后，Breach 论坛立即上线了。对于那些因 Raid 论坛关闭而「流离失所」的用户来说，Breach 论坛为他们提供了一个合理的落脚处。它和 Raid 论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到 Raid 论坛原始用户群的 60%（约 55 万名用户）。仅仅一年后的 2023 年 3 月，FBI 逮捕了经营 Breach 论坛的 Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach 论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的 Pirata（@_pirate18）运营。但它只有 161 名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3 月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach 论坛关闭后的 VX-Underground 论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些 Web3.0 数据。据报道，ARES 论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开 Telegram 频道，该频道在其锁定的 VIP 销售频道中宣传过数据的销售。该频道于 3 月 6 日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES 论坛的 Telegram 中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括 Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的 74 起泄露事件中，有 23 起是有一定可能性检索到的数据。在这 23 个中，我们能够找到 10 个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取 2021 年之后发生的任何违规行为的数据来源。基于 2022 年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代 Raid 和 Breached 的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的 2019 年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或 Web3.0 货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字 / 姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在 2014 年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014 年的黑客攻击了现已倒闭的加密交易所 BTC-E，该交易所于 2017 年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与 Web3.0 的个人长期风险。从这个领域的整体来看，2019 年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从 2022 年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能 100% 消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用 PII 来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在 Web3.0 数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据：减少与你分享个人数据的中心化 Web3 投资机构或交易所的数量；跨平台不要使用重复密码；在所有的账户上启用双因素身份验证；监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露；使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈。来源：金色财经

金色财经2023-05-18

比特币上的DeFi：BTCFi是突破还是泡沫？

多数DeFi投资者和用户所看重的。有时黑客攻击事件会让用户资金丢失，导致信任的丧失。比特币上的DeFi解决了这些问题，同时提高了各种解决方案的可信度，对潜在的开发者和投资者更具吸引力。 DeFi在比特币上面临的挑战比特币上的DeFi面临三大挑战，分别是：可扩展性兼容性安全比特币目前是市场上最慢的区块链之一，处理速度约为7 TPS。以太坊可以处理大约12-15 TPS，而Cardano和Polkadot可以处理高达1000 TPS。对于为其DeFi平台寻找区块链网络的开发人员来说，可扩展性是一个重要的考虑因素。由于脚本语言有限，比特币目前可能更具可扩展性。相比之下，比特币的竞争对手，如以太坊，是从头开始构建的，可组合性更强。因此，DeFi开发者倾向于将以太坊作为他们启动应用程序的首选协议。这些协议使开发更加容易，因为可以访问广泛的易于兼容的资产，可以免费使用并遵守各种内部编码标准。尽管这些L2区块链依赖于经过比特币验证的安全基础设施，但它们带来的安全风险，类似于比特币竞争对手网络上的其他dApp和dApp平台所面临的安全风险。智能合约的脆弱性是每个投资者和开发人员在与之交互之前必须考虑的重大风险。比特币网络上的大多数DeFi平台和应用程序都是新兴的，这意味着它们还没有经过彻底的测试、迭代和改进，在确保所管理资产的安全性上有所欠缺。比特币L2 这一切都始于Ordinals。Ordinals是在比特币上铸造NFT的一种方式。许多风投基金正在这一领域布局，预计这一热度将持续下去。Yuga Labs也发布一个Ordinal系列。由于Stacks在比特币L2部署，BTC层叙事诞生了。Badger宣布推出LSD支持的比特币。LSD支持的比特币将被称为eBTC。由流动性抵押的ETH支持并以BTC计价，类似于DAI由许多资产支持但以美元计价。潜力项目除了 Ordinals 和 LSD 支持的比特币，还有几个项目值得关注，例如： Ren Ren Protocol（前身为Republic Protocol）创建于 2017 年，专注于无需信任的场外交易。Ren Protocol目标是专注于开发互操作性，是一个允许用户在不同区块链之间安全地交易代币的平台。该项目于2020年5月启动主网，允许BTC、Bitcoin Cash和Zcash通过包装和Ren虚拟机转换到ERC 20网络。 ZeroDAO ZeroDAO是一种连接比特币/Zcash和以太坊等资产的消息传递协议。要将以太坊生态系统与比特币层集成，需要一种可靠的方式将资产从比特币转移到以太坊。ZeroDAO之前基于Ren技术，但现在Ren已经停止服务，ZeroDAO正从头开始开发，并将很快上线。结论需要不断创新来克服被广泛采用的障碍或挑战，其中一项创新是封装加密货币。比特币是最安全的开放网络，也是最知名和最受信任的网络之一。因此对DeFi开发者和投资者越来越有吸引力。然而随着比特币DeFi的发展，是否会流行到足以取代以太坊成为首选的dApp部署平台还有待观察。总的来说，不断构建的BTCFi项目可能会带来新的机会。来源：金色财经

金色财经2023-05-18

丢什么比丢钱更可怕？当然是数据 Web3领域数据泄露你的信息挂暗网已出售10天

据安全，我们应该采取何种措施。背景黑客攻击、漏洞利用、勒索软件以及所有网络安全威胁的规模和严重程度都在不断增加。Web3.0生态系统的独特之处在于它为恶意行为者提供了其他技术所没有的各种攻击媒介，包括智能合约中的漏洞和新型的网络钓鱼技术。然而，Web3.0安全事件的故事与其他行业的情况密切相关。非Web3.0领域会遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对Web3.0目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了2011年以来针对Web3.0公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽gas或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持“长期蹲守”的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数Web3.0组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了74个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件： ① 理论上可检索的数据丢失事件，包括PII和内部数据库等。 ② 资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020年6月日本中心化交易所Coincheck被攻击，200多名客户的PII落入攻击者手中。攻击者破坏了Coincheck的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在2020年6月的另一起事件中，加拿大中心化交易所Coinsquare也经历了一次漏洞攻击，泄露和丢失的数据涉及5000个电子邮件地址、电话号码和家庭地址。攻击者在Coinsquare之间来回「横跳」后表示他们将在SIM卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的74起事件中，其中23起可被归类为数据可检索事件，大约占31%。剩下的51起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011年至2023年间发生的事件中可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了Web3.0生态系统，再加上2021年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或clear net上。如果数据被推测具有一定的经济价值（PII和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是Telegram频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在paste sites或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会“助力”受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的Web3.0数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到2019年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括Raid论坛、Breach论坛和Dread论坛。多个违规事件选择将Raid论坛作为倾销和出售违规数据的首选论坛之一。Raid论坛始于2015年，多年来一直在clear net上运行。然而在2022年，Raid论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在Raid论坛网站上撤下通知 Dread论坛成立于2015年，似乎一直活跃到2022年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和IP2版本，但这些似乎也已关停。在Raid论坛关闭后，Breach论坛立即上线了。对于那些因Raid论坛关闭而「流离失所」的用户来说，Breach论坛为他们提供了一个合理的落脚处。它和Raid论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到Raid论坛原始用户群的60%（约55万名用户）。仅仅一年后的2023年3月，FBI逮捕了经营Breach论坛的Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的Pirata（@_pirate18）运营。但它只有161名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach论坛关闭后的VX-Underground论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些Web3.0数据。据报道，ARES论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开Telegram频道，该频道在其锁定的VIP销售频道中宣传过数据的销售。该频道于3月6日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES论坛的Telegram中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的74起泄露事件中，有23起是有一定可能性检索到的数据。在这23个中，我们能够找到10个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取2021年之后发生的任何违规行为的数据来源。基于2022年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代Raid和Breached的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的2019年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或Web3.0货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字/姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在2014年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014年的黑客攻击了现已倒闭的加密交易所BTC-E，该交易所于2017年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与Web3.0的个人长期风险。从这个领域的整体来看，2019年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从2022年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能100%消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用PII来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在Web3.0数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据： ① 减少与你分享个人数据的中心化Web3投资机构或交易所的数量 ② 跨平台不要使用重复密码 ③ 在所有的账户上启用双因素身份验证 ④ 监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露 ⑤ 使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈来源：金色财经

金色财经2023-05-18

主权信用风险飙升BTC、黄金等非主权存储手段价值凸显

过，DeFi 在安全领域表现不佳，许多黑客攻击导致数十亿美元被盗。套利「套利」是一个在大部分加密货币中被过度使用的术语，也是一个应用不当的术语。它既不是学术意义上的「无风险」，也不涉及类似证券那样的同时买入和卖出。投资者应该对它的使用保持警惕，因为正如我们所见，这类加密「套利」策略通常承担着巨大的风险。金融挂钩经济史上充满货币脱锚的例子。如果认为加密资产在某种程度是不同的，那就是忽略了大部分货币史。尽管算法稳定币在整个加密货币历史中一直存在特别大的问题，但抵押稳定币仅仅因为市场力量而脱锚的例子也是屡见不鲜。去中心化仅仅因为应用程序发生在链上，并不意味着它在控制、操作或所有权方面是去中心化的。控制的集中化可能会引入故障点，从而消除该技术的去信任特性。编者注：当人人都想做 Smart Money 的时候，WEEX 唯客作为一家中心化的合约交易所，选择抱朴守拙，恪守本分——保护用户资金安全，提供优质的交易服务。WEEX 交易所在成立早期便设立了 1000 BTC 投资者保护基金，并公开资金池热钱包地址。保护基金完全来源于 WEEX 自筹资金，因此能够在没有外援的情况下有效弥补用户资金出现的任何意外损失。如果将这 1000 BTC 拿去理财，保守估计一年的收益都有数百万美元，但 WEEX 交易所并没有将其「有效利用」，而是让其白白躺在钱包地址上供用户查询、监控。这看似不是聪明的做法，却能让 WEEX 面对去年 5 月、11 月发生的一系列黑天鹅事件，都安然无恙地置身事外，远离 FUD，让用户安心无忧，最终赢得用户和伙伴的信任。进入 2023 年，随着市场持续回暖，WEEX 交易所快速爆发，交易用户月增 100%，平台 DAU 纪录不断刷新。上周，WEEX 唯客在 CMC 衍生品交易所最高排名 19，现货交易所最高排名 29，在非小号全球交易所综合排名第 36。随着通胀降温，接下来宏观方面会发生什么？上周，美国劳工统计局公布了 4 月份消费者物价指数 (CPI)，显示通胀持续放缓。通货膨胀的持续放缓是在长达1年多的加息背景下出现的，加息行动也影响了金融资产价格，如股票、债券和比特币，并被视为导致区域性银行业危机的原因之一。显然，与通胀的战斗可能远没有结束，我们的研究表明，之前的几轮通货膨胀比人们想象的更顽固。我们想看看经济方面接下来会发生什么。利率通胀放缓可能会给美联储在利率方面带来一些喘息的空间，这是过去1年来影响资产价格的主要因素。远期利率预期似乎已经降温，期货市场暗示 12 个月后的联邦基金利率为 3.8%。鉴于目前 FOMC 的目标区间为 5.0%-5.25%，市场对 12个月后 3.8% 的预期意味着，美联储将开始降息行动。我们猜测，利率的方向很可能由下列其他经济因素决定。银行业危机区域性的银行业危机将是今年的焦点，这也凸显了对像比特币这类资产的需求——一个在银行系统之外的资产。我们一直认为比特币是银行业危机的受益者。不过，以美联储的流动性工具，如初级信贷（贴现窗口）和新设立的银行定期融资计划（BTFP）的提款来衡量的银行系统压力信号，已经显示出危机正在降温。历史经验告诉我们，银行业危机一般都不是短暂事件。虽然目前情况看起来有所好转，但在利率上升过程中积累的损失的根本原因尚未得到充分解决，因此我们认为，现在宣布胜利还为时过早。提高债务上限这可能是这个夏天人们谈论最多的宏观经济话题。随着可能的最后期限临近，立法者之间的紧张关系似乎正在加剧。财政部长耶伦继续发出警告，就像她在接受彭博社采访时所说的那样，但最终还是要由立法者来解决。在 2011 年债务上限谈判的争议期间，比特币还默默无闻。鉴于比特币今天的声量和地位，我们想知道它作为一个对冲主权债务违约风险的投资工具，将做何反应。我们认为，在这种情况下，比特币和黄金等非主权发行的价值存储手段将有良好表现。衰退的概率直线上升早在近一年前，美国经历了连续两个季度的GDP 下降时，我们就讨论了经济衰退的前景。虽然周期大师们拒绝称其为「经济衰退」，但未来12个月内发生经济衰退的概率已经飙升至68%，是自20世纪80年代初以来的最高水平。该概率模型基于收益率曲线，该模型的倒挂在过去一直是经济衰退的良好风向标。经济衰退是经济周期中不可避免的，虽然预测衰退并非易事，但市场和资产价格的反应，可能将由财政和货币对经济放缓的反应决定。当前风险资产已经远离高点，因此我们有理由相信，鉴于我们已经经历了一次重大调整，经济衰退可能不会对金融市场造成太大的破坏。市场更新上周比特币下跌 7.1%，随着银行业危机降温、监管悬而未决，以及缺乏直接的催化剂，投资者在年初以来的暴涨后一直在获利了结。上周股市反弹，标准普尔 500 指数上涨 1.9%，纳斯达克综合指数上涨 3.0%。黄金全周下跌 1.7%，油价反弹 4.3%。债券涨跌互现，投资级债券持平，高收益债券上涨 0.4%，长期美国国债下跌 0.1%。上周重要新闻随着 BRC20 的流行，Trustless Market 在比特币上部署了 Uniswap 合约 Binance面临美国对其可能违反俄罗斯制裁的调查美国众议院的加密货币听证会以不和谐开场首席执行官表示，Ripple 将花费 2 亿美元与 SEC 打官司合约交易所 WEEX 发起「母亲节，感恩回馈大放送」活动加密货币交易所 Bittrex 在特拉华州申请破产近期大事件 5 月 18 日- 比特币 2023 年迈阿密会议 5 月 26 日- CME 到期来源：金色财经

金色财经2023-05-18

24小时热点