FX168财经网_全球视野外汇黄金加密货币NFT资讯网_关键字搜索-FX168

全球数字财富领导者

财富汇｜美股投研｜客户端｜旧版｜｜

FX168 全球视野中文财经

登录 / 注册

万字详解LayerZero Labs：普及全链资产抢占多链生态核心
 go
合约权限漏洞导致用户资产流失跨链桥是黑客攻击的高发地带，历史上最大的几次资产流失都来自跨链桥而跨链桥随着支持的功能越来越丰富，在升级过程中可能将会出现各种漏洞，将有可能造成用户资产流失。多链格局无法持续对于当下多链格局，有一种比较流行的批评是：同一些协议（AMM、借贷、GameFi 等）被不断地复制到新公链上重新开设赌局。当圈内逐渐厌倦这样的玩法后，将会使得用户对跨链的需求降低。但是当前以太坊的费用性能问题还是无法解决，加上这轮新公链的火爆已经大量培养了新用户去多链参与的习惯后，我们认为多链格局的熄火在可预见的未来发生的可能性还是比较小的。结论我们认为， Layerzero Labs 团队在跨链通讯方案上以较低的成本换取了可观的安全性，并在资产兑现环节解决了资产兑现的不可能三角。这都离不开团队对区块链安全和数学层面的理解和创新能力，为用户提供了更高性价比的安全方案和更高资本效率的跨链资产兑现。这两项优势已帮助 Stargate 在跨链桥市场获得了可观的份额和收入，相信 Stargate 将能成为多链格局中的重要选手。 Stargate 作为当前 Layerzero Labs 的主要商业化产品，其估值在当前熊市环境下已逐渐进入了较合理的估值区间了。所以相较于高昂的一级市场估值，投资者应更密切关注 Stargate 的业绩表现和功能更新，在能接受的估值倍数下直接投资其代币。来源：金色财经
金色财经2022-10-18
成都链安：PLTD安全事件简析
 go
警与监控平台检测显示，PLTD项目遭受黑客攻击，其交易池中的所有BUSD被全部兑空。攻击交易：0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0，攻击者地址：0x6ded5927f2408a8d115da389b3fe538990e93c5b 攻击者共获利24,497BUSD。经过Beosin安全团队分析，本次攻击主要是利用了PLTD合约中的代码漏洞，通过闪电贷攻击将Cake-LP(0x4397c7)中的PLTD代币余额降为1，然后用手中的PLTD将所有的BUSD全部兑换到攻击合约中。具体细节如下：第一步：攻击者通过DODO协议的闪电贷发起了2次闪电贷借贷，同借贷66.6万 BUSD，作为攻击准备金；第二步：攻击者将66.6万的BUSD全部兑换为157万的PLTD代币，此时，攻击者手中已经持有的大量的PLTD代币，后续将利用这些代币达到操控Cake-LP中的PLTD代币余额的目的；第三步：攻击者查询当前的bron值与Cake-LP的PLTD余额，这是在做攻击前的检查，注意这两个值很关键，关系到攻击的成败；第四步：攻击者直接向Cake-LP(0x4397c7)发送了11.6万的PLTD代币，注意，这个数量刚刚是上一步中Cake-LP中的PLTD代币余额的两倍减去1 为什么是这个数字，我们结合代码就很明显的能够看出来： (1) 直接转账，调用transfer函数 (2) 由于目标地址是uniswapV2Pair，进入344行的else if分支，并且由于from地址是攻击合约，takeFee为true，并调用内部函数_tokenTransferSell (3) _tokenTransferSell函数内部代码如下，注意第423-426行，这部分代码将_bron设置为本次转账数量的一半，即Cake-LP的余额减去1，让我们记住这个_bron的值；第五步：让我们继续回到攻击过程，这里攻击者使用skim将第四步多转入的PLTD取回，由于PLTD合约的transfer函数中，如果from地址是uniswapV2Pair，那么将会调用_tokenTransferBuy这个函数细节不重要，我们知道他不会影响_bron的值就行了。第六步：图穷匕见，前面所有的操作都是为了这一步做准备。这一步，攻击者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae这个地址转入1 PLTD，由于这个地址不是Cake-LP的地址，这次转账调用的内部函数是_tokenTransfer这个内部函数，其代码如下：这里我们直接看问题代码，也就是第451行到456行，由于第四步中，我们将_bron设置为了Cake-LP的余额减去1，并且在第五步恢复了Cake-LP的余额，这一步直接将Cake-LP的余额减至1(这里略去了通缩分红型代币的tAmount与rAmount转换，这个转换在本次攻击中并不重要)，然后再调用Cake-LP的sync函数，将余额同步为reserve，此时reserve如下：第七步：攻击者将手中的所有PLTD代币，全部兑换为BUSD，几乎掏空了Cake-LP的全部BUSD余额，攻击者获得了69万的BUSD。并将其中的66.6万 BUSD归还闪电贷，剩余为本次攻击获利24,497 BUSD，并全部转入了0x083c057221e95D45655489Fb01b05C4806387C19地址，截止发文时，该资金未进行转移，Beosin Trace对被盗资金进行持续监控与追踪。针对本次攻击事件，Beosin安全团队提出以下建议： (1) 在合约上线之前，项目方应寻找第三方安全公司进行完整的安全审计； (2) 在代币合约中，直接操作Pair的代币余额是非常危险的行为，建议项目方如非必要，千万不要进行此操作；来源：金色财经
金色财经2022-10-18
比特币目前已经失败了它完全背离了中本聪的设计理念
 go
平台现在比传统银行更容易受到隐私泄露和黑客攻击。在他最初的比特币宣言中，创造者中本聪特别谈到了 “传统银行模式 ”是如何通过 “限制有关各方和受信任的第三方对信息的访问 ”来维护隐私。在这里，薄弱环节是受信任的第三方，这通常是控制我们使用的银行账户和电子系统的金融机构。这些机构可能会受到法律的压力，被要求交出信息，或者干脆被恶意的行为者入侵。相比之下，中本聪使用一种叫做区块链的分布式账本技术，设计了比特币系统，使用整个互联网的志愿计算机网络（称为节点）来保存记录和处理交易。交易方只能通过加密的密钥对来识别，这些密钥对在每次交易发生时都会重新生成。这防止了交易被持续追踪和 “链接到一个共同所有者”。不幸的是，今天大多数加密货币的工作方式，与使用传统银行渠道或现金相比，你作为交易方的身份更容易被确认。这是区块链专家Gurvais Grigg最近在接受CNBC采访时所说的。 “与其他形式的法币欺诈不同，有了区块链中的加密货币……就有了记录……这种透明度和在全球范围内访问该记录的速度使得对这些类型的欺诈的调查比传统金融加快。”—— Gurvais Grigg，Chainalysis首席技术官和前联邦调查局助理局长对中本聪和他的宣言的彻底背叛现在是区块链爱好者们问这个问题的时候了。比特币设计的主要原则——隐私、防欺诈、非通货膨胀——是否已被今天的区块链运营商完全破坏？最近加密货币交易所和数字钱包因黑客攻击而遭受的一连串损失，确实让人怀疑他们的系统是否比传统银行模式更糟糕。 2022年10月8日，世界上最大的加密货币交易所——Binance遭到了5.7亿美元的黑客攻击。这只是2022年期间一连发生的13起不同的区块链黑客攻击事件中的最新一起，导致约20亿美元被盗。在这次Binance事件中，黑客铸造了200万个Binance币（BNB）——这是世界上第五大加密货币，并将其中的大部分转移到他自己的数字钱包。这样的情况正是中本聪在创建比特币时想要防止的。在题为 “计算”的一长节中，他特别描述了数学证明，说明为什么他的设计不会 “让系统向任意的变化敞开，比如凭空创造价值或拿走从不属于攻击者的钱”。不幸的是，他出色设计的这一方面是最先被后来的区块链运营商破坏的东西之一。此后创建的许多加密货币都是无限供应的，包括一些投机性最强的货币，如Solana、Dogecoin和Shiba Inu。这比中央银行的做法更糟糕。至少，一个国家的货币是以其经济价值为支撑的。另一方面，加密货币的价值往往只基于其创造者和追随者认为的价值——其中有一大批是由其创造者在一开始就凭空创造的。这也正是中本聪不希望看到的。比特币被设定为只有在志愿者节点为维护网络做出贡献时才会被创造出来，从而为其用户社区产生实际价值。回归到对某人的信任当你看到加密货币的世界，以及它如何催生了整个去中心化金融（DeFi）的运动，人们不禁要问，我们是否又绕回了我们开始时的问题。 DeFi是一个新的术语，描述了数字交易所、钱包和贷款平台的整个运动，基本上使用加密货币和区块链来做传统银行几个世纪以来做的事情。除了使用区块链技术来做会计和簿记，而不是传统的数据库之外，唯一的区别是，“受信任的第三方”现在是创建和运行这些DeFi平台的人。在任何信任系统中，不可避免地会有不良行为者或薄弱环节。为了克服这个问题，中本聪把比特币设计成不依赖任何人，甚至不依赖他自己和他早期的比特币支持者们。他还让它不依赖于单一的计算机系统或网络。但现在所有这些都被撕掉了。 DeFi本质上只是传统银行模式的翻版，用不同的方式保存记录，由新的公司和个人管理。但是，如果以某种方式使金融系统更加有效和可靠，那么为什么不呢？这里的问题是，只要需要信任第三方，那么就需要有一层监督和监管，以防止欺诈和确保问责。因此，政府的规则和政策将会出现，以管理许多为公众服务的DeFi公司，这些公司已经兴起。当尘埃落定，他们将成为一个制度化和受监管的行业，就像传统金融一样。这没有错，但这肯定不是中本聪的意图。区块链社区需要重新思考比特币和区块链技术背后的最初目的。他们需要问自己，他们是否真的创造了更好的东西，还是在贪婪和炒作中忽略了创始人的愿景。区块链和加密货币是否真的让世界变得更加公平，摆脱了中央权威？还是我们又回到了原点？ P.S.：目前涉及加密货币平台的麻烦浪潮可能只是冰山一角。四年前，我曾写过企业和初创公司如何不顾区块链的固有缺陷而跳上区块链的浪潮。还有许多基于区块链的企业很快就会亏损，不管是由于黑客还是仅仅是在他们自己有缺陷的可行性意识下摇摇欲坠。来源：金色财经
金色财经2022-10-18
为什么 BNB 的复兴尝试应该成为投资者的重要关注点
 go
日，该比率也是 4.449%，这表明该黑客攻击不足以破坏 BNB 生态系统。因此，目前的汇率意味着 BNB 的已实现价值超过了市场价值。因此，BNB 持有者可能面临资产损失更多价值的风险。此外，MVRV 是唯一受影响的链上指标。根据 Santiment 的说法，大假发投资者最近对代币的兴趣趋于负面。鲸鱼供应百分比显示为 41.94%——自 10 月初以来有所下降。你应该少信任 BNB 吗？根据期货市场的最新消息，BNB 投资者可能需要降低对长期上涨的信心。据 Coinglass 称，最近渴望该代币的 BNB 交易者感受到了市场的愤怒。截至发稿时，BNB 多头清算在 10 月 16 日凌晨为 106,230 美元。与最低 15,590 美元的空头清算相比，这已经很多了。然而，发稿时数据显示，BNB 可能不会上涨，尤其是前两天显示有更多的多头清算。由于 BNB 在过去 24 小时内损失了 22% 的交易量，因此投资者可能有必要停止购买可能进一步下跌的底部。尽管如此，毫无疑问，市场动能随时可能发生变化。来源：金色财经
金色财经2022-10-18
重磅！万事达宣布进入加密货币行业，成为加密货币平台与银行之间的“桥梁”
go
月以来，加墨货币行业遭受了数十亿美元的黑客攻击，再加上多个高知名度公司的破产。万事达的首席数字官说，民意调查仍然显示出对加密货币资产的需求，但大约60%的受访者表示，他们宁愿通过现有银行试水。万事达首席数字官Jorn Lambert在接受CNBC采访时表示：“有很多消费者对此非常感兴趣，对加密货币感到好奇，但如果这些服务是由他们的金融机构提供的，他们会感到更自信，这对一些人来说还是有点吓人的。” 大型投资银行如高盛、摩根士丹利和摩根大通都有专门的加密货币团队，但在很大程度上避免了向消费者提供加密货币。就在上周，摩根大通首席执行官Jamie Dimon在国际金融研究所的一次活动中称加密货币为“去中心化的Ponzis”。如果银行真的接受这种万事达合作模式，可能意味着与Coinbase等其他在美国运营的交易所展开竞争。万事达表示，他们的作用是通过遵循加密货币合规规则、验证交易并提供反洗钱和身份监控服务，使银行站在监管的正确一边。万事达卡将在明年第一季度试行加密货币产品，然后“摇动手柄”，在更多的地区进行推广。Lambert拒绝透露到目前为止有哪些银行已经签约。虽然行业正在经历熊市或“加密货币的冬天”，但Lambert说，更多的活动可能会导致更多的交易，并推动万事达的核心业务。 Lambert说：“如果认为一点点的冬天就预示着加密货币的结束，那是短视的，我们不这样认为。随着监管的到来，加密货币平台将有更高程度的安全性，目前的很多问题都将在未来几年中得到解决。” 万事达和Visa都在加密货币领域开展了合作。万事达已经与Coinbase就NFTs和Bakkt进行了合作，让万事达网络中的银行和商户提供加密货币相关服务。上周，Visa与FTX开始合作，在40个国家提供加密货币借记卡，有超过70个加密货币合作伙伴。美国运通则表示，正在探索将运通卡和网络稳定币挂钩，稳定币是与美元或其他法定货币的价格挂钩的加密货币。具有讽刺意味的是，加密货币旨在颠覆银行和万事达和Visa等中间商。它们的基础技术区块链允许交易在没有中间人的情况下进行。不过Lambert说，他们还没有看到加密货币行业对他们的参与有任何抵触情绪。他说，加密货币正处于“真正走向主流的边缘”，仍然需要与现有的参与者合作，才能达到目的。 Lambert说：“很难相信，如果不拥抱我们所知的金融业，加密货币行业还能真正成为主流。”
Sue2022-10-17
久跌不破怎么办
 go
lana生态DeFi平台Mango遭遇黑客攻击，损失超1亿美元。点评：之前是宕机，现在是攻击，要走的路还有很长，生态封闭性暂时还不会打开，熊市表现不会有亮眼的时候，可能宕机和攻击事件对价格影响较小算是亮眼时刻吧。目前Avalanche链上DeFi协议总锁仓量为14亿美元（同样在下降），锁仓资产排名前五分别为AAVE（6.1亿美元）、Benqi（2.37亿美元）、Trader Joe（1.35亿美元）、Platypus Finance（9445万美元）、Stargate（9130万美元）。点评：Solana和Avalanche一直以来都是难分伯仲，目前5亿美元的差距其实可以忽略，相较于Solana具有一定的开放性优势，但是技术上属于同一档。关于以太近期还是在跟随大饼，本月底或是下月初如果下跌，以太跌幅应该会更大一些，这一周ETH2.0合约新质押量虽然超过了7w枚，但是还是在减少，说明以太链上活跃度在下降。大饼的链上情况暂时看起来趋于中性，鲸鱼买卖差距没有拉开，也并不是很活跃，但是5-7年最后活跃供应量超过了100w枚，近两年的高点，不能说是利空，只能说不算利好，供应量大是利空，能换水是利好，熊市中偏利好一点，牛市利空。关于山寨，很多山寨项目其实主要是依靠DeFi在发展，随着很多人恐慌的金融危机要来，我的理解是债务危机要来，债权贬值会带来一系列连锁反应，连带的会波及到很多山寨项目，信任崩塌什么机制都没用了，这也是山寨在熊市中持续低迷的原因，流动性降低。很多都已经跌破六月低点了。说一个上一轮表现还不错的项目，gala，很多项目操作方式大同小异。它的总节点是5w个，截至目前卖出了不到4w个，按照现在9.6w美元一个的价格来计算，日产160枚gala，单价0.36美元，就是每天收益58美元，十万除以58等于1724天，回本需要4.7年，一定要说牛市不是这样的，可以一年回本，那我只能说你永远无法确定牛市何时会来，会持续多久。下一轮牛市拉盘的话，那么抛压就大了，项目初期拉盘是为了卖节点，但是山寨项目一旦成熟，就会出现天量抛压吓得利益相关方不敢拉。反弹博空，下跌不追。不破六月点位不找机会。来源：金色财经
金色财经2022-10-17
应用链理论无懈可击吗？可组合性与自主性的博弈
 go
想让加密货币行业被认真对待，就需要减少黑客攻击造成的价值损失。这并不意味着 IBC 是不安全的，然而，在 BNB 事件之后，我们进行了一些深入的调查。我们发现，一个会影响所有启用 IBC 的链的漏洞。这里我要向 Cosmos 团队致敬，因为他们在造成更多损失之前就发现了这个问题。 2021 年 1 月，Informal Systems 对 Cosmos Go 模块（用于实施 IBC）进行了审计，虽然我不怀疑他们的能力，他们比我聪明得多，但如果能看到其他独立方对该模块进行审计会更好一点。尽管 Informal Systems 没有参与这个模块的 build，但他们直接受益于这个模块，因为他们的业务是建立在这个模块之上的，这就成了一个利益冲突。生态系统内的自相残杀生态系统内的自相残杀主要会对 ATOM Token 产生不利影响。多个协议正试图获得生态系统中不同形式的价值积累，因为 Cosmos Hub 在实施方面进展缓慢。这不一定是坏事，因为它可以被视为为任何人提供价值，而不是成为将其保留在内部的看门人。作为新的 ATOM 2.0 路线图的直接竞争者，需要关注的主要是：Celestia。 Celestia 是一个模块化的区块链，允许其他链连接到他们现有的共识，而不要求他们创建自己的共识机制，为这些链之间提供了共享的安全。其价值主张是，与使用 IBC 和 ICC 相比，在 Celestia 上部署会更加容易。同时，Celestia 还能够通过仅从块而不是整个网络下载随机数据样本的可用性采样与加入其网络的用户数量一起扩展 -> 证明整个块是可用且可验证的。块的大小能够随着用户（轻节点）的数量而增长，因为基础层不需要下载整个块，因此不需要不断增加硬件要求。开发者的复杂性像 Celestia 这样的竞争对手会出现的主要原因之一是 Cosmos SDK 的笨重，与只在 Ethereum 上启动相比，开发者在 Cosmos 上运行和维护自己的链成为一个更大的任务。对于大多数需要受益于可组合性便利的应用程序来说，笨重和孤立可能不是一个好主意。另外，目前以太坊的路线图已经朝着向应用链和 Rollup 的方向发展了，并优先考虑这个方向的发展。IMX 就是一个例子，Arbitrum Nova 也是如此。尽管如此，竞争对行业的发展是健康的，因为用户会从高质量的产品获得更好的体验。那么，谁会从中受益？答案是 ATOM Token，因为他们打算推出链间安全，可以实现更好的价值捕获。当我为应用链争论时，我提到它有利于互操作性，一些人可能已经大概猜到 Synapse 可能值得关注。该团队面对跨链的未来正跃跃欲试，因为它比其他跨链桥协议更好地利用了资本。 Synapse 已经开始建立 Synapse 链，它正在准备一个跨链的信息传递系统，在链之间安全地发送任何任意数据。它将提供一个接口，促进开发者建立跨链用例的过程。 Synapse 还包含 IBC 以外的跨链桥基础设施，它使您能够在 18 个不同的 L1/L2 之间进行桥接。主要收获从区块链的角度来看，应用链理论与当前主流区块链是不同的。虽然你说有其他区块链，如 Solana 和 Avalanche，它们也是 PoS 区块链，但除了速度之外没有明显的差异化。 Cosmos 生态系统提供了一些不同的东西，尽管到目前为止已经发生了令人印象深刻的发展，但仍有很长的路要走。然而，毫无疑问，正在建设的基础设施为该空间提供了一个净收益，因为从用户的角度来看，应用建立在什么链上并不重要——只要它易于使用并能吸引需求，人们就会使用它。因此，Cosmos 和以太坊是一个道理。但是，当协议发布时，我会对不使用链间安全的协议采取一些预防措施，特别是如果他们没有大量使用 Cosmos SDK 的成熟经验。最后，这是跨链基础设施的第一次迭代，毫无疑问，随着时间的推移，人们在各个链上的体验会更加丝滑无缝。你对跨链的未来有什么看法？来源：金色财经
金色财经2022-10-17
听a16z讲安全：钱包的「非托管」谬论
 go
使用可靠的算法进行加密。今年夏天遭到黑客攻击的 Slope 钱包的密钥生成后，以明文形式登录到外部服务器。这种安全漏洞可能出现在代码的审计或开源实现中。缺乏透明度的钱包——以封闭的源代码为特征，对公众没有可用的第三方安全审计应该引起警觉。密钥存储密钥生成后，它们需要被隐藏在某个地方（不以明文形式，永远加密）。但是，仅仅拥有存储密钥的设备并不一定等同于密钥的所有权和控制权。必须考虑许多因素，如设备的供应链安全、设备的连接方式以及设备与哪些其他组件交互。此外，每种存储方法在安全性、可访问性、可维护性和可用性之间都有自己的权衡。下面，我们根据相关的所知的风险水平对最常见的钱包安全类别进行了分类。高风险：热钱包在其他条件相同的情况下，冷钱包比热钱包更安全，但它们也更难用。连接到任何网络的钱包都更容易被黑客攻击，因为它让攻击者有更多机会发现和利用漏洞。热钱包联网有两种形式： · 连接软件：在线数据库或 Web 服务器应用程序内存、浏览器扩展这些风险最高。因为钱包软件不管是否托管，都可以直接访问密钥——所有这些都与外部互联网相连。理想情况下，密钥应该是加密的，而用于加密它们的另一组密钥应该存储在专用的密钥管理系统（KMS）中，该系统具有高度限制的访问控制，如操作系统密钥链或云密钥管理系统。 · 连接硬件：专用设备、移动安全区域、在线硬件安全模块（HSM）连接硬件通常被认为比连接软件风险更低，但它仍然不如冷存储安全。在连接的硬件中，密钥只生成在专用硬件设备中。然后这些可以连接到内部或公共网络。这类设备通常承担与密钥管理相关的多重责任，包括密钥生成、签名和存储的安全性。还有硬件钱包，如 Trezor 和 Ledger。也有硬件安全模块，或称 HSM，通常用于更传统的业务设置，如处理敏感数据处理（如信用卡支付）的设置。设备的安全程度取决于生产和配置它们的供应链。当考虑连接硬件时，最好直接从可信的供应商那里购买设备。直接从源头运过来，确保包裹看起来没有损坏。也可以在使用之前验证固件版本和配置。当然，硬件钱包以后总是有可能被盗或被未经授权的一方访问。鉴于这些威胁，重要的是要确保硬件钱包也有安全的访问控制层——安全措施确保它们不会盲目地签署任何和所有的交易。控制可以包括密码要求、对交易的每一步要求明确许可的提示，以及描述交易实际操作的简单摘要。此外，大多数硬件钱包支持私钥加密，也称为「密钥包装」。风险较小：冷钱包在其他条件相同的情况下，冷钱包通常被认为比热钱包更安全，尽管它们通常也不太好用。冷钱包与任何内部或公共网络都没有连接。让我们回顾一些冷钱包选项： · 离线软件：离线服务器应用因为攻击者可以在任何时候偷窃或使机器在线，冷钱包应该设计在线时的安全系统。与连接软件相比，强烈推荐特殊用途的硬件，如 HSM，因为它们通常提供更多的控制。 · 离线硬件：离线硬件钱包、离线硬件安全模块（HSM）这种解决方案被认为是最安全的。与前面的类别类似，我们应该假设硬件可以被窃取并在线获取。因此，正如前面所讨论的，这些系统必须包含正确实现的访问控制层。许多 HSM 供应商要求在解锁密钥访问之前，必须有一定数量的物理智能卡聚集在一起。即使设备没有显示屏幕，它也应该为用户提供一些方法来验证交易的细节。因为冷钱包或离线钱包是最安全的一类，所以大公司管理的大多数资金都以这种方式存储，如 Coinbase 、Gemini、Kraken 等，以及 Anchorage。这些玩家中的许多人还会选择另一道防线——备份和恢复，以防万一他们失去访问权限，或者机器损坏、被盗或被摧毁。备份和恢复签名密钥应该在加密后进行备份。加密签名密钥和密钥包装密钥的重复是至关重要的。备份签名密钥的方法各不相同，但应该始终选择硬件本机解决方案。对于硬件钱包，备份通常涉及一个纯文本种子，从该短语派生出私钥。标准加密密钥具有可以导出密钥的机制，这些密钥在默认情况下使用访问控制进行加密。如果满足访问控制，则可以将密钥导入其他 HSM。大量的 HSM 还可以提供一个通用的加密密钥，该密钥来自于智能卡的法定数量。以这种方式将硬件与关键材料分离有助于避免单点故障。最后，还要考虑人为因素。恢复机制应能够承受帐户管理业务中涉及的任何个人的临时或永久不可用的情况。个人应确保在发生停机或其他紧急情况时，提供收回密钥的方法。与此同时，群体运营应该确定一个人数，在突发事件发生时能继续运营。密钥使用在生成并存储密钥之后，可以使用它们创建授权交易的数字签名。软件和硬件的组合越多，风险就越大。为了降低风险，钱包应该遵守以下授权和身份验证指南。可信任，但也要验证钱包应该需要验证。换句话说，应该验证用户的身份，并且只有授权方才能访问钱包的内容。这里最常见的安全措施是 PIN 码或密码短语。更高级的身份验证形式可以包括生物识别或基于公钥加密的批准，例如来自多个其他安全设备的加密签名。不要使用没有经过足够长时间的检验的钱包钱包应该使用完善的密码学库。做一些调查，以确保它们被审计和安全，以避免密钥材料泄漏或完全丢失私钥。使问题更加复杂的是，即使是受信任的库也可能具有不安全的接口，正如最近这些 Ed25519 库的情况一样。 Nonce 重用一个经过充分研究的密钥使用陷阱是某些加密签名参数的无意重用。有些签名方案可能需要一个一次性的意思，「只使用一次的数字」（一个任意的数字），意味着在一个系统中使用一次。因此，要确保正在使用完善的加密库。但这种攻击载体在 Web3 之外的高调黑客攻击中也曾被利用过，比如 2010 年的索尼 PlayStation 3 黑客攻击。一密钥一用另一个最佳实践经验是避免为多个目的重用同一密钥。例如，应该为加密和签名保留单独的密钥。这遵循了在妥协情况下的「最小特权」原则，这意味着对任何资产、信息或操作的访问应该仅限于对系统工作绝对需要的各方或代码。根据不同的用途，不同的密钥对备份和访问管理有不同的要求。在 Web3 生态中，最好的做法是在资产和钱包之间分离密钥和种子短语，这样一个帐户的泄露不会影响其他帐户。总结从生成到存储到使用的许多相互作用的部分和阶段，密钥的保管是一个棘手的问题。密钥所有权的托管或非托管性质并不像传统观念所认为的那样非黑即白。由于涉及到密钥管理的许多移动部分（从密钥生成到存储再到使用），情况变得复杂起来。这条链上的每一个硬件或软件都会引入风险，甚至会使原本不属于托管型钱包的选项暴露在托管型风险之下。对于未来，我们希望做更多的开发工作来保护钱包免受攻击，并降低上面讨论的风险。有待改进的领域包括： · 跨移动和桌面操作系统共享安全的开源密钥管理和交易签名库； · 共享的开源交易审批框架。还有共享和开源的开发： · 在不同的存储后端（在磁盘上加密，安全硬件等）实现最佳的安全密钥生成库； · 用于移动和桌面操作系统的密钥管理和交易签名库； · 交易审批流程框架，实现专门验证，如生物识别、基于 PKI 的审批、授权恢复等。来源：金色财经
金色财经2022-10-17
怎么回事？以太坊恐面临美国政府审查重磅曝光：48%合并以太坊“由中心化实体所创建”
go
5%。根据该报告，2022年第三季，黑客攻击仍是造成损失的主要原因，占损失总额比重高达93%，相较之下欺诈、诈骗、 Rug Pull仅占损失总额比重7%；而去中心化DeFi是攻击的主要目标，占总损失98.8%，中心化CeFi占总损失1.2%。值得注意的是，BNB Chain 、以太坊是今年第三季黑客攻击最多的区块链，加总起来占区块链攻击总损失达51.8%。BNB Chain遭受的攻击次数最多，共发生16起攻击事件，占区块链攻击总损失的28.6%，以太坊发生13起攻击事件，占区块链攻击总损失23.2%。#NFT与加密货币# (来源:Immunefi)
小萧2022-10-17
请重新认识欧易他不只是一家交易所
 go
k的数据，2020年共有15起DeFi黑客攻击事件，被盗资金达1.2亿美元，而这个数据在此后的两年变成冰山一角。链游巨头Axie的Ronin被盗6.1亿美元，成为史上最大的盗币案；最近的Transit Swap遭受攻击，导致用户钱包资金被盗，损失超过2000万美元。安全事故频发，跟玩家随意给项目提供签名授权有很大关系。安全是欧易Web3钱包另一个下功夫的地方，笔者发现了这三个比较有特色的点。一是创建、导入钱包的时候私钥不触网，避免泄露的风险；二是接入一个名叫天眼KYT的系统，上面拥有2亿个链上地址标签，当我们进行转账或者合约交互，如果涉及风险地址，就会弹出提示；三是自带类似Debank的授权管理。很多钱包并不会配备这项功能，用户必须另外寻找一个第三方授权检测平台，欧易钱包是支持一键管理合约授权的。抛开安全性不谈，钱包作为一款工具，理论上讲，在开发难度上没有特别高的技术壁垒，市面上的钱包应用也不在少数。那么，欧易钱包里面应该还有其他门道，来支撑欧易对Web3的布局。别有洞天，CEX里的DEX 链上交易 DeFi普及之前，我们进行加密交易绝大多数在中心化交易所完成，这个过程会涉及两个层面。一个是不可避免的注册流程，而且还得KYC身份认证。我们都知道中心化交易所有交易便捷、体验门槛低，用户不需要管理私钥诸多优点。但私钥和资金全部给到交易所托管，他们私自操控资金的权力过大，交易所跑路的事件这些年屡见不鲜。第二个是做市。传统交易所中的做市，都是通过订单薄。这里面有两个角色，一个是做市商负责挂单（Maker），一个是交易者负责吃单（Taker）。专业的做市商会同时负责买卖两个方向的挂单，给市场稳定提供报价和流动性，避免某个币价格产生很大的交易滑点。这些中心化交易所掌握着我们的交易资产和数据，也很有可能从中操控，损害我们的利益。直到Uniswap的横空出世才彻底改变这个局面，Dex最为核心的组件是AMM LP 流动资金池。我们的交易都是在链上进行，通过底层公链的智能合约去存放和撮合我们的资产，交易变得透明，也避免中心化交易所的暗箱操作，说Dex是加密史上最重大的一次创新都不为过。那么欧易做的Dex跟Uniswap相比，有什么特色？可以看到，它的界面整体较为简洁，目前Dex里面聚合了100+主流Dex，涵盖各个链的代币，支持滑点设置和Gas费预览。除了上面的特点，Dex还有一个优势，就是解决中心化交易所上币的难题。我们经常遇到一个问题，手机同时拥有多家交易所App，但是想要交易的币种，要么只有某家有，要么都没有，只能跑到链上去操作，使用起来很不方便。在Cex里有个Dex，应该更能满足我们日常的大部分操作需求。聚合交易笔者还发现，欧易的DEX为了保证交易对的广度和深度，加上了自家的智能路由拆单算法，可以降低滑点，节省Gas费。整个基础框架是以1inch为基础，再连接到这些主要的去中心化交易所，比如 Uniswap、Curve 和 0x 。随着越来越多的DeFi项目进入Web3，DeFi的流动性变得很分散，链上产品越复杂，用户对聚合工具的需求就越大。从数据上看，整个市场聚合交易的占比保持在总交易的20%左右。聚合器对巨鲸和散户来说，有不小的价值，不仅多了交易路径的可选项，也优化了交易费用。跨链交易 Web3发展到如今，形成了一个应用公链恒强的局面，剔除掉几个稳定币，市值前20名基本为公链项目。而且是以以太坊为公链头部，其他公链众星捧月的格局。过去有一类观点，以太坊是万链之王，其他公链会黯淡然后灭亡。但至少目前来看，很长一段时间都会是多链齐头并进。以太坊在完成POS升级到2.0完全体的这段空档期，性能不足、网络拥堵、Gas费高的缺陷，其实并没有很大的改进。 Layer2对性能的扩展，包括其他Layer1公链对以太坊缺陷的弥补，成就了目前的多链繁荣生态。（下图为公链TVL排名）这些公链上的资产达到一定规模，每个链进行资产跨链的需求会越来越强。包括最近以太坊升级引发的分叉产生的ETHW链，笔者身边很多玩家都有跨资产到上面体验的需求。过去这种跨链，我们要在CEX和DEX之间不停切换。比如先把自己以太坊上的资产转移到CEX，再通过CEX转移到对应链。这个过程不但繁琐，多次充提也需要消耗不少Gas费。而且像AVAX链设计比较复杂，我们在这条链充提可能都整不明白。还有一点，这些CEX充提机制都不太一样，充提的规则和到账时间有很大的区别，可能我们充值数个小时都不到账。这个时候需要一个跨链聚合工具，把各个链形成的孤岛串连起来，更顺滑流畅的在各个链往返。笔者看到欧易也提供了跨链交易的功能，目前支持ETH、BNB Chain、Polygon 在内的 8 条 EVM 主流公链。如上图，一键把Usdc从以太坊转到二层网络Optimism，交易深度不俗，一些偏门山寨币的深度会相对较差。有一点很方便，我们在跨链的时候，可以一键勾选自动兑换目标链的 Gas Token，下次交易就不必再转入 Gas Token，比较人性化。 NFT这块蛋糕，怎能落下 NFT跟同质化代币不一样，它不可分割，更注重单代币背后的衍生价值。最早以ERC-721标准出现，在17年通过加密猫进入大家的视野。当时也仅仅是加密猫的单点爆发，在牛市结束之后便随着市场一起沉溺消失。而现在的NFT更有多点开花的意味，跟DeFi并驾齐驱。从体育、艺术、头像到游戏扩散，又在以太坊到Solana多链发展。奥迪、腾讯、NBA、明星纷纷入场，彻底出圈。甚至说不少用户对Web3的认知，就是源于NFT的这波浪潮，而非比特币、以太坊这类同质代币。以数据作为可视化依据，NFT市场最高时有近400亿美元的市值。而在2年前，这个数字仅仅是1000万-4000万美元。 NFT用户数量也在节节攀升。从宏观层面看，毋庸置疑，NFT 赛道正在兴起。这块蛋糕想必欧易不会错过，笔者发现，欧易 Web3 钱包的第三个板块，正是其自家的NFT市场。目前欧易NFT市场主要包括「市场」、「发行/IGO」2个主要功能。「市场」是NFT的二级交易市场，买家和卖家进行自由交易。「发行/IGO」是NFT项目的首发场所，我们可以通过白名单或者抢购的方式，低价买到NFT。目前接入了NFT龙头OpenSea，且支持ETH、BSC、OKC、Solana、Polygon、Avax、Arbitrum等多链，这些链的NFT资产都可以在钱包里面查看和交易，在多链的支持上，做的比较到位。除此之外，欧易NFT市场有两个比较大胆的功能。一个是交易NFT免手续费，另一个是支持链下挂单、免费上架，看来为了争夺NFT的市场份额，欧易有所准备。 DApp探索，乐在其中据stateofthedapps.com的统计，截至当前，各个公链的Dapp数量（黑线）突破4000个，每日都在增加。随着多公链发展，Dapp更如雨后春笋。在DeFi最高光的前两年，钱包是否契合公链生态发展成了钱包生存的根本之一。而那些不跟随市场节奏的钱包，都死在那个DeFi最为绚烂的夏天。钱包的Dapp发现区，显得尤为重要。笔者点击到欧易钱包最后一个板块「发现」，欧易除了给玩家提供定制化的Dapp资讯和应用，用户也可以通过内置的搜索，探索更多的去中心化应用。笔者看到欧易近期公告称将在Aptos主网上线后及时接入钱包，可见欧易对市场动态和热点也较为敏感。到时候我们通过钱包发现区，发现Aptos生态的项目，或许会更加方便。欧易，不只是一家交易所在体验完欧易的Web3钱包之后，笔者感慨，欧易或许不只是一家中心化交易所。你可能记得在DeFi狂夏曾经市场兴起的一场提币运动，当时所有DeFi代币暴跌，用户把矛头指向中心化交易所，认为CEX拿着用户的代币挖矿，砸向市场。DEX用实力向市场证明，它从无人知晓，到有一定的能力去阻挡过往中心化交易所的垄断作恶。你可能也记得就在今年年初，Luna的暴雷引发了一场浩浩荡荡的金融连锁倒塌反应。多少中心化交易所由于不顾风险，长期存在挪用用户资产寻求更高收益的行为，在这次危机中因流动性枯竭而溃败。中心化和去中心化的孰优孰劣市场争论不休，也很少人能以中立的角度看待两者的各自补充。中心化黑暗操纵固然可恶，而去中心化“代码及法律”不可磨灭的烙印，也让用户的安全暴露在没有庇护的烈日下。说到底，还是用户之争，用户的诉求是亘古不变的核心，介于两者之间或许是市场未来相当长一段时间的最佳状态。欧易似乎就是采取了这种策略，CEX+DEX齐头并进，欧易原本的主体是CEX，而Web3钱包代表着新的DEX侧。如果还停留在以往对中心化交易所的认知，可以试着重新认识欧易，他可能不止是一家交易所。来源：金色财经
金色财经2022-10-17

上一页
1
•••
161
162
163
164
165
•••
177
下一页

24小时热点

最新话题更多