FX168财经网_全球视野外汇黄金加密货币NFT资讯网

新闻周刊 | 何一：币安不会冻结没收任何民众的资产国际商业机构需要遵循国际执法原则

密货币交易所披露了他们的储备金，以应对黑客攻击、电脑故障等情况。根据金融监督院代表Kim Hee-gon办公室提交的数据，韩国最大的加密货币交易所Upbit与K-Bank合作，准备了总计200亿韩元的储备金。与NH银行合作的行业第二大交易所Bithumb储备金为100亿韩元，而与Kakao银行合作的Coinone储备金为73亿韩元。此外，与新韩银行（Shinhan Bank）合作的Korbit和与Jeonbuk Bank合作的Gopax也各准备了30亿韩元，以满足最低要求。今年7月，韩国银行联合会发布了《虚拟资产实名账户操作指南》，要求加密货币交易所在其合作银行预留日均存款的30%或30亿韩元（以金额较大者为准）作为准备金。最高限额为200亿韩元，如果日均存款的30% 超过200亿韩元，最多只能预留200亿韩元作为准备金。 ▌预警：诈骗者通过引导用户授权恶意签名来耗尽用户资产，提醒用户提高警惕金色财经报道，加密钱包imToken发文表示，近期收到多位用户反馈，用户通过谷歌搜索后被引导至钓鱼网站，并在这些网站上进行未知恶意签名，造成资产损失。一名用户丢失了约2500个ARB代币，并发现该用户的ARB代币被无限授权给恶意合约地址0x00005c......5A0000。经查该恶意合约地址属于Inferno Drainer诈骗团伙。据Scam Sniffer监测数据显示，该诈骗团伙迄今已诈骗金额4188万美元，受害人数达89484人，他们创建了超过689个钓鱼网站，针对超过220个区块链项目的用户，包括zkSync、Arbitrum、Optimism、Blur等热门项目。分析表明，这是由于用户在钓鱼网站上执行链下签名（Permit授权签名）造成的，钓鱼者一旦获得用户的许可，就可以在用户不知情的情况下转移用户的授权资产。注意：如果不了解签名的目的，请避免签署任何内容，因为它很可能是一个骗局，提醒用户提高警惕。 ▌莫斯科交易所计划于2024年发行房地产数字资产金色财经报，俄罗斯最大的交易所莫斯科交易所宣布，计划在2024年发行基于住房和房地产区块链的数字资产。该平台数字资产总监Sergei Kharinov表示，该交易所曾提议在2022年8月完成类似的发行，目前正在与住房和开发公司进行谈判，计划明年开始此类业务。 Kharinov成，这将降低合格和不合格投资者的准入门槛，将部分资产投入他们的投资组合变成了房地产资产。法拉利在美国接受加密货币支付汽车费用金色财经报道，法拉利首席营销和商务官Enrico Galliera表示，法拉利已开始在美国接受用加密货币支付其豪华跑车的费用，并将应其富裕客户的要求将这一计划推广到欧洲。法拉利在美国的初始阶段将通过加密货币支付处理商BitPay进行付款，目前支持BTC、ETH和USDC进行交易。此外，法拉利可能会在不同地区使用其他支付处理器。 Galliera称，通过加密货币支付，价格不会改变，不收取任何费用，也不收取附加费。重要经济动态 ▌美联储会议纪要：大多数美联储官员认为再加息一次是适当的金色财经报道，美联储会议纪要显示，大多数美联储官员认为再加息一次是适当的。绝大多数与会者继续认为经济未来走势“高度不确定”。与会者表示通胀“不可接受的高”，需要更多证据来确信价格压力正在减弱。一些人希望辩论从“利率多高”转向“维持多长时间”。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经2023-10-15

SharkTeam：起底朝鲜APT组织Lazarus Group 攻击手法及洗钱模式

鱼叉攻击：鱼叉攻击是计算机病毒术语，是黑客攻击方式之一。将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。Lazarus通常以邮件夹带恶意文档作为诱饵，常见文件格式为DOCX，后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。（2）水坑攻击：顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”，最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击，这样就可以在短时间内大范围盗取资金。2017年，Lazarus对波兰金融监管机构发动水坑攻击，在网站官方网站植入恶意的JavaScript漏洞，导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织，大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。（3）社工攻击：社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus擅长将社工技术运用到攻击周期中，无论是投递的诱饵还是身份伪装，都令受害者无法甄别，从而掉入它的陷阱中。2020年期间，Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档，旨在获取凭证从而盗取目标加密货币。2021年，Lazarus以网络安全人员身份潜伏在Twitter中，伺机发送嵌有恶意代码的工程文件攻击同行人员。武器库： Lazarus使用的网络武器中包含大量定制工具，并且使用代码有很多相似之处。肯定地说，这些软件来自相同的开发人员，可以说明Lazarus背后有具有一定规模的开发团队。Lazarus拥有的攻击能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware，使用的恶意代码包括Destover、Duuzer和 Hangman等。 2.2典型攻击事件分析下面以一起典型的Lazarus针对加密行业的鱼叉攻击为例进行分析。Lazarus通过邮件附件或链接的方式，诱导目标工作人员下载恶意压缩包，并执行压缩包中的恶意文件。邮件末尾的“CoinbaseJobDescription”即为恶意链接并诱导用户点击，一旦点击用户就会下载恶意压缩包，并执行压缩包中的恶意文件。压缩包分为三种情况：（1）释放加密的诱饵文件和一个带有恶意命令的LNK文件，由LNK文件下载后续载荷，后续载荷释放文件密钥和恶意脚本；（2）释放LNK文件，LNK文件下载后续载荷，后续载荷释放诱饵文件和恶意脚本；（3）释放带宏的OFFICE文件，由恶意宏下载后续载荷并执行。以样本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440为例进行分析。该样本文件名为Ledger_Nano_S&X_Security_Patch_Manual.zip，是一个zip压缩包，文件名中的LedgerNano是一款硬件钱包，用于保护加密资产，S和X是其型号。该样本伪装成LedgerNano的安全补丁手册，解压后会释放一个伪装成pdf文件的快捷方式文件：用户双击该快捷方式后，会执行命令：该命令中，使用cmd静默执行expand程序，将msiexec.exe复制到%appdata%\pat.exe路径下，然后使用pcalua.exe打开pat.exe，从远程服务器上下载msi文件并执行。这个过程中使用了多种逃避木马检测的技术：（1）expand.exe是系统用于解压压缩包的程序，但可以被用来进行文件复制，代替敏感的copy命令；（2）复制并重命名msiexec.exe，以逃避对msiexec.exe的执行检测；（3）pcalua.exe是windows程序兼容性助手，是系统的白名单程序，攻击者使用该程序调用重命名为pat.exe的msiexec.exe，访问远程服务器上的恶意msi文件，从而逃避检测。获取到的MSI文件运行后，会执行内嵌的脚本：该脚本为Lazarus典型的一阶段脚本，其功能包括：（1）下载并打开正常的PDF文件从而迷惑受害者；（2）向启动目录释放Edge.lnk文件，完成自启动；lnk文件执行的命令与样本解压后的lnk文件基本相同，也是使用pcalua.exe调用重命名后的msiexec.exe加载远程服务器上的msi文件；该文件的名称和图标都伪装为Edge浏览器，使受害者降低警惕；（3）调用WMI命令获取进程名称列表并进行拼接，然后检查如下进程名称： “kwsprot”：金山毒霸相关进程 “npprot”：Net ProtectorAntiVirus相关进程 “fshoster”：F-Secure相关进程（4）如果拼接后的进程名称中存在上述字符串之一，则会使用cscript.exe执行后续脚本，否则使npprot用wscript.exe；（5）将选定的脚本执行程序复制到%public%目录下；并且如果进程名称中存在kwsprot或npprot，会将用于执行脚本的程序重命名为icb.exe，以逃避检测；（6）解码base64编码的后续脚本，释放到临时文件夹下，命名为RgdASRgrsF.js （7）使用复制到%public%目录下的脚本执行程序，执行RgdASRgrsF.js RgdASRgrsF.js是Lazarus典型的二阶段脚本，其功能非常简单，生成随机的UID后与服务器通讯，然后循环接受服务器的命令并执行；所执行的命令通常一些收集系统信息的命令：至此攻击已经完成，黑客可以在用户电脑上获得他所需的文件或密码等敏感信息。通过对Lazarus可以发现，目前其攻击的目标行业包括政府、军队、金融、核工业、化工、医疗、航空航天、娱乐媒体和加密货币，从2017年开始加密货币行业的比重明显增大。三、洗钱模式分析目前已明确统计到的Lazarus攻击加密领域的安全事件和损失如下：超过30亿美元的资金在网络攻击中被Lazarus盗取，据悉，Lazarus 黑客组织背后有着朝鲜战略利益的支撑，为朝鲜的核弹、弹道导弹计划提供资金。为此，美国宣布悬赏500万美元，对Lazarus黑客组织进行制裁。美国财政部也已将相关地址添加到OFAC特别指定国民（SDN）名单中，禁止美国个人、实体和相关地址进行交易，以确保国家资助的集团无法兑现这些资金，以此进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,今年 OFAC 也制裁了三名与 Lazarus Group 相关人员，其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员，而第三人 Sim Hyon Sop 提供了其他财务支持。尽管如此，Lazarus已完成了超10亿美元的资产转移和清洗，他们的洗钱模式分析如下。以Atomic Wallet事件为例，去除黑客设置的技术干扰因素后（大量的假代币转账交易+多地址分账），可以得到黑客的资金转移模式：图：Atomic Wallet 受害者1资金转移视图受害者1地址0xb02d...c6072向黑客地址0x3916...6340转移304.36 ETH，通过中间地址0x0159...7b70进行8次分账后，归集至地址0x69ca...5324。此后将归集资金转移至地址0x514c...58f67，目前资金仍在该地址中，地址ETH余额为692.74 ETH（价值127万美元）。图：Atomic Wallet 受害者2资金转移视图受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3转移126.6万USDT，黑客将其分成三笔，其中两笔转移至Uniswap，转账总额为126.6万USDT；另一笔向地址0x49ce...80fb进行转移，转移金额为672.71ETH。受害者2向黑客地址0x0d5a...08c2转移2.2万USDT，该黑客通过中间地址0xec13...02d6等进行多次分账，直接或间接将资金归集至地址0x3c2e...94a8。这种洗钱模式与之前的Ronin Network、Harmony攻击事件中的洗钱模式高度一致，均包含三个步骤：（1）被盗资金整理兑换：发起攻击后整理原始被盗代币，通过dex等方式将多种代币swap成ETH。这是规避资金冻结的常用方式。（2）被盗资金归集：将整理好的ETH归集到数个一次性钱包地址中。Ronin事件中黑客一共用了9个这样的地址，Harmony使用了14个，Atomic Wallet事件使用了近30个地址。（3）被盗资金转出：使用归集地址通过Tornado.Cash将钱洗出。这便完成了全部的资金转移过程。除了具备相同的洗钱步骤，在洗钱的细节上也有高度的一致性：（1）攻击者非常有耐心，均使用了长达一周的时间进行洗钱操作，均在事件发生几天后开始后续洗钱动作。（2）洗钱流程中均采用了自动化交易，大部分资金归集的动作交易笔数多，时间间隔小，模式统一。通过分析，我们认为Lazarus的洗钱模式通常如下：（1）多账号分账、小额多笔转移资产，提高追踪难度。（2）开始制造大量假币交易，提高追踪难度。以Atomic Wallet事件为例，27个中间地址中有23个账户均为假币转移地址，近期在对Stake.com的事件分析中也发现采用类似技术，但之前的Ronin Network、Harmony事件并没有这种干扰技术，说明Lazarus的洗钱技术也在升级。（3）更多的采用链上方式（如Tonado Cash）进行混币，早期的事件中Lazarus经常使用中心化交易所获得启动资金或进行后续的OTC，但近期越来越少的使用中心化交易所，甚至可以认为是可以的避免使用中心化交易所，这与近期的几起制裁事件应该有关。 About Us SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务，并打造了链上大数据分析和风险预警平台ChainAegis，平台支持无限层级的深度图分析，能有效对抗Web3世界的新型高级持续性盗窃(Advanced Persistent Theft，APT)风险。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE等建立长期合作关系。官网：https://www.sharkteam.org Twitter：https://twitter.com/sharkteamorg Telegram：https://t.me/sharkteamorg Discord：https://discord.gg/jGH9xXCjDZ 来源：金色财经

金色财经2023-10-13

官方跨链桥交给TxFusion ZKSync的权宜之计还是未解之谜？

的映射资产，大凡在L2流通的资产，受到黑客攻击也好，Rugpull也好只要能在“黑客”把资产withdraw回主链之前都是受限的流通资产。 Rollup主网合约完全可以通过Update形式阻断L2嫌疑资产流回主网，进而实现对突发异常状况的控制。现在主流layer2都预设了Security Council，背后的多签委员会的主要职责就是在危机时刻决策是否要升级合约来控制嫌疑资产。但Rollup合约预留的可升级特性，被诟病中心化，一直无法上台面说。Alex在采访时说过即使多签委员会有权限，也只能暂停资产，至于资产的决策交给DAO社区。但这个解释只能听听，因为一旦layer2遭受巨额资产攻击，比如某个合约被凭空增发几个Trillion的资产，要买断Layer2的资产并做DAO治理投票似乎也可行。还有一方面，Alex发表了文章探讨用最高法院层层治理的机制来管理layer2，但那一提议最终会触动主网的硬分叉可能。impossible，现在的layer2不可能有决定主网分叉与否的权限，这只能停留在设想阶段。可见Alex对于安全性和去中心化的矛盾焦虑许久。倘若撤销掉“官方跨链桥”的说法，就会让更多的资产分布于各类第三方跨链桥，就会相应弱化Rollup治理合约管理权限中心化的问题。这样布局听起来很合理，但也只是权宜之计，毕竟即使是第三方跨链桥，只要流动性控制达到一定规模就会存在中心化隐患。TxFusion到底如何做跨链桥，希望官方有技术细节有关的披露。比如，未来TxFusion的Portal和Bridge出现类似的安全危机，zkSync会如何应对？这个问题现在得不到答案，静观其变。来源：金色财经

金色财经2023-10-13

金色观察 | 庄家盘踞、山寨乱舞 Upbit繁华场或因现金流萎缩造就

，吃单收取的手续费率是0.1%。 2、黑客攻击 10 月 9 日，Upbit 运营商 Dunamu 公开的数据显示，Upbit 今年上半年已遭遇159661 次黑客攻击，是去年的 2.17 倍。Upbit 2019 年因黑客攻击损失约 580 亿韩元（约为3700万美元），Dunamu 表示此后已将冷钱包比例控制在 70% 以上。而就在9月25日，有诈骗者创造的假APT代币被识别为真实 APT 代币流进Upbit，事件造成平台10万个账户受到影响，导致平台不得不将AP暂停提币。 3、准备金对于一家从事金融交易的商业机构来说，准备金的配比自然不会占据企业资金比。但是基于上述情形来看，韩国银行对于加密企业预留准备金的需求，也让Upbit在现金流上更加少了一些流动性。今年 7 月，韩国银行联合会发布了《虚拟资产实名账户操作指南》，要求加密货币交易所在其合作银行预留日均存款的 30% 或 30 亿韩元（以金额较大者为准）作为准备金。最高限额为 200 亿韩元，如果日均存款的 30% 超过 200 亿韩元，最多只能预留 200 亿韩元作为准备金。根据金融监督院代表Kim Hee-gon办公室提交的数据，Upbit与K-Bank合作，准备了总计200亿韩元的储备金，约为1500万美元，这无疑也是一笔不小的支出。由于Upbit上的操盘行为实在有些明显，一些投资者在感知到这一情况后选择跟单交易，甚至有人列出了如何“与庄共舞”变现的方法。首先是在消息面上，随时盯紧Upbit相关币种的动态新闻，如加仓、上币等。其次是参照CoinMarketCap一类的链上数据平台，及时刷新查看upbit交易所交易量排名。尾声作为一家类似传统券商的证券交易服务商，理应保持公平公正、维护投资者的利益的职业道德原则。但由于当地政府监管层面的宽松、法律法规上的滞后，再加上加密市场本身的抗审查性，身为CEX更容易在遇到财务压力困境时将触手伸向市场投资者从中取利。不过无论如何，漫长的熊市之下如果再有一家头部交易所因流动性不足而暴雷，那么对于加密市场的打击无疑更是雪上加霜，但交易所也应洁身自好、适合而止。来源：金色财经

金色财经2023-10-13

zkSync为何将跨链桥交给名不见经传的TxFusion？

的映射资产，大凡在L2流通的资产，受到黑客攻击也好，Rugpull也好只要能在“黑客”把资产withdraw回主链之前都是受限的流通资产。 Rollup主网合约完全可以通过Update形式阻断L2嫌疑资产流回主网，进而实现对突发异常状况的控制。现在主流layer2都预设了Security Council，背后的多签委员会的主要职责就是在危机时刻决策是否要升级合约来控制嫌疑资产。但Rollup合约预留的可升级特性，被诟病中心化，一直无法上台面说。Alex在采访时说过即使多签委员会有权限，也只能暂停资产，至于资产的决策交给DAO社区。但这个解释只能听听，因为一旦layer2遭受巨额资产攻击，比如某个合约被凭空增发几个Trillion的资产，要买断Layer2的资产并做DAO治理投票似乎也可行。还有一方面，Alex发表了文章探讨用最高法院层层治理的机制来管理layer2，但那一提议最终会触动主网的硬分叉可能。impossible，现在的layer2不可能有决定主网分叉与否的权限，这只能停留在设想阶段。可见Alex对于安全性和去中心化的矛盾焦虑许久。倘若撤销掉“官方跨链桥”的说法，就会让更多的资产分布于各类第三方跨链桥，就会相应弱化Rollup治理合约管理权限中心化的问题。这样布局听起来很合理，但也只是权宜之计，毕竟即使是第三方跨链桥，只要流动性控制达到一定规模就会存在中心化隐患。TxFusion到底如何做跨链桥，希望官方有技术细节有关的披露。比如，未来TxFusion的Portal和Bridge出现类似的安全危机，zkSync会如何应对？这个问题现在得不到答案，静观其变。来源：金色财经

金色财经2023-10-13

Fairyproof：2023年第三季度区块链生态安全报告

的成因，我们将事故分为三类： i. 由黑客攻击所致 ii. 跑路 iii. 其它我们的研究结果如下图所示：由上图所示，黑客攻击和跑路导致的安全事故分别占比为 91.92%（182 起）和 8.08%（16 起）。我们研究了这些成因所造成的损失，如下图所示：由上图所示，黑客攻击和跑路导致的损失金额分别占比 94.69%和 5.31%，前者导致了 5.41 亿美元的损失，后者导致了 3035 万美元的损失。这表明 2023 年第三季度，黑客攻击仍然是行业安全面临的主要威胁。黑客攻击事件我们研究了黑客攻击事件，如下图所示：由上图所示，黑客攻击 dApp、区块链、CCBS 和跨链桥的事件占比分别为 87.64%（156 起）、7.87%（14）、2.25%（4 起）和 2.25%（4）。我们研究了各类事件所导致的损失金额，如下图所示：黑客对区块链、dApp、跨链桥和 CCBS 攻击所导致的资产损失占比分别为 36.97%、46.25%、0.79%和 15.99%，具体的损失金额分别为 2 亿美元、2.5 亿美元、8650 万美元和 430 万美元。其它安全事件没有导致明显的损失金额。跑路事件 2023 年第三季度发生的典型跑路事件都是 dApp 项目。总共 16 起跑路事件造成的损失金额达 3035 万美元。这个损失金额相比黑客攻击造成的损失金额规模要小得多。研究发现从我们的统计数据来看，2023 年第三季度，黑客最偏爱攻击的目标仍然是 dApp 项目，对 dApp 的攻击事件远超其它任何对象，攻击数占总数的 87.64%，损失金额占总损失金额的 46.25%。在所有的攻击事件中，最严重的是对 Multichain[12]的攻击。对整个区块链生态来说，黑客仍然是最大的安全威胁，无论从其造成的安全事件数量还是从其造成的资产损失来看都是如此，由黑客攻击造成的安全事件数量占整个安全事件数量的比例超过 91.92%，远超跑路事件对生态造成的威胁。一个典型的 dApp 包括三部分：前端、后台和智能合约。当黑客攻击一个 dApp 时，会攻击其中一部分或同时攻击多个部分。根据我们的统计数据，对 dApp 前端的攻击在数量上远超对合约的攻击，但对智能合约的攻击所造成的损失金额则远超对前端的攻击。这表明智能合约隐患仍然是 dApp 安全最大的隐患。 2023 年第三季度典型的跑路事件都发生在 dApp 项目上。在智能合约受到黑客攻击的事件中，下列三个类别的原因所引发的攻击事件数量排名前三：第一位：逻辑缺陷第二位：闪电贷但是按照损失金额来看，私钥泄露所引发的攻击造成的资产损失金额高居榜首，远超其它类别。防范安全事故的实践方案和措施本节，我们将根据 2023 年第三季度所发生的安全事故的特点总结一些帮助区块链开发者和用户管理及防范区块链风险的方案和措施。我们建议无论是区块链开发者还是用户都积极地在平时的操作和工作中尽可能落实和实践这些方案及措施，最大限度保护项目安全和加密资产安全。注：“区块链开发者”既指区块链项目本身的开发工程师，也指和区块链系统相关或其延申系统（如加密资产等）的开发者。“区块链用户”是指所有参与到区块链系统活动（比如管理、运作、维护等）或加密资产交易等的用户。对区块链开发者尽管在第三季度中，没有典型涉及第二层扩展系统的安全事件，但第二层扩展系统的安全依旧值得重视。因为接下来第二层扩展方案的发展和落地将会持续是整个生态的热点和重点，对其方案安全性的研究将是业界面临的重大挑战。在区块链应用中，当项目部署并稳定运行一段时间后，将项目中掌控关键操作的权限转移到多签钱包或者 DAO 组织来进行管理是非常有必要的步骤。当黑客发现智能合约的漏洞时，往往会借助闪电贷对合约进行攻击。这些可能被利用的漏洞通常包括重入漏洞、逻辑缺陷（比如缺乏权限验证、错误的价格算法）等。严谨防范和处理这些漏洞对智能合约开发者而言时刻需要引起高度重视，甚至需要排在重要性的首位。我们的统计数据还显示越来越多的黑客会通过社交媒体软件（如 Discord、Twitter 等）发起钓鱼攻击。这个现象贯穿了整个 2022 年并持续到 2023 年第三季度。不少用户在其中遭受了损失。项目方需要对其运作的社交媒体实施严格、周全的管理，部署相应的安全方案保证其社交媒体运作的安全和稳定，防范被黑客利用。区块链用户越来越多用户开始参与各类区块链生态的活动，并持有各类区块链生态的资产。在这个过程中，跨链交易活动也再迅猛增长。当用户参与跨链交易时，用户需要和跨链桥进行交互，而跨链桥却是黑客经常关注的攻击目标。因此当用户在发起跨链交易前，需要详细调查和了解其所使用的跨链桥的安全状况和运营状况，确保跨链桥的安全、稳定、可靠。当用户和 dApp 进行交互时，必须高度关注其智能合约的质量和安全，同时也需要关注 dApp 前端的安全。对前端显现的一些不明来历、高度存疑的信息、提示、对话等要小心处理，不要随意点击或跟随其指引进行操作。我们强烈建议用户在和任何区块链项目交互前或投资区块链项目前，要仔细检查并阅读该项目的审计报告。对没有审计报告或报告可疑的项目，要谨慎参与。我们建议用户尽量使用冷钱包或多签钱包管理大额资产或不用于频繁交易的资产。时刻小心热钱包的运作安全，并确保安装热钱包的硬件平台本身是安全、可靠和稳定的。用户需要对区块链项目的团队背景进行一定程度的调查和了解。对团队背景模糊、信用缺失的团队要小心。对这类项目要小心其可能发生的跑路风险。对使用较为频繁的中心化交易所，用户更要关注其背景和信用，尽可能从多个第三方数据源查证这些交易所的背景、信息、数据，确保交易所能够长久持续的安全运作。参考资料 [1] Aave. https://aave.com/ [2] Flash-loans.. https://aave.com/flash-loans/ [3] ERC-20 TOKEN STANDARD. https://ethereum.org/en/developers/docs/standards/tokens/erc-20/ [4] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/ [5] Layer-2. https://academy.binance.com/en/glossary/layer-2 [6] Metis. https://www.metis.io/ [7] Mixin. https://mixin.one/ [8] Quai Network. https://qu.ai/ [9] Swisstronik. https://www.swisstronik.com/ [10] SwapDex Blockchain. https://swapdex.network/ [11] Aptos. https://aptoslabs.com/ [12] Multichain. https://multichain.xyz/ 来源：金色财经

金色财经2023-10-13

“黑手币安”、黑客内鬼、VC血亏是谁杀死了FTX？

产洗钱活动的迹象。FTX在崩溃几天后被黑客攻击，损失了4.75亿美元。数据泄露事件发生后不久，7400万美元通过RenBridge流入，该平台与FTX的姊妹公司Alameda Research相关。11月份，在RenBridge从以太坊转换而来的4536枚比特币（7400万美元）中，有2849枚比特币是通过混币器（主要是ChipMixer服务）进行处理的。Elliptic表示，这些资金随后与与俄罗斯犯罪网络有关的资产混合在一起，其中包括勒索软件罪犯和暗网市场。 FTX黑客攻击中被盗的大部分资金一直处于休眠状态，直到最近犯罪者使用THORSwap将约72500枚ETH（1.2亿美元）转换为比特币跨链交换。尽管如此，Elliptic表示，黑客的身份仍然难以捉摸，可能是一次内部行动，可能牵涉到FTX工作人员。 7.关于本案的其他声音 Alameda软件工程师Christian Drappi：他证词的中心点是 2022 年 11 月 FTX 流动性危机曝光几天后，由埃里森主持召开的一次至关重要的Alameda全体会议。 Drappi透露，之前曾报道过的这次会议是由一名Alameda员工秘密录制的，该员工在公司倒闭前三天刚刚加入该公司。埃里森在与陪审团分享的录音摘录时说，Alameda“在 FTX 上借了一大笔资金，导致 FTX 用户资金短缺”。在录音中，Drappi询问埃里森是否有计划最终偿还 FTX 债权人。她回应称，“FTX 正试图筹集资金来实现这一目标”，但她补充说，筹款努力最终失败了。 FTX 试图筹集资金偿还贷方的消息让 Drappi 更加担心。 Kraken创始人Jesse Powell：对投资FTX的风险投资公司表示愤怒，称他们的无能导致了"明显的欺诈行为"。 Powell认为，风险投资公司没有尽职调查，没有发现FTX可能存在的差异。相反，他们任由自己被SBF吹捧的个性所欺骗。这些投资者没有考虑到SBF的FTX与Alameda之间的关系会如何影响企业的整体运营。 8.大笑、摇头、嘲笑，失态的庭审动作： SBF在前女友埃里森作证期间出现“大笑，明显摇头，并嘲笑”的发应。埃里森基本上避免与SBF进行目光接触，就像她在过去两天作证时那样，在提问之间低头盯着自己的双手，并经常将头发从左肩上甩开。当律师们在法官席上讨论法律事务时，她确实看着SBF。然而SBF却把目光移开，双手紧握。看了一眼之后，她就没有做任何眼神交流。在律师科恩的盘问过程中，SBF要么面朝前方，双手紧握，要么在笔记本电脑上打字。他常常显得目瞪口呆。美国检察官Danielle Sassoon指出：还没有与证人沟通，但这可能对她产生了明显的影响，尤其是考虑到他们的历史关系、之前恐吓她的企图、权力动态、他们的恋爱关系。“我想请辩护律师告诉他，控制自己对她证词的明显反应。” 金色财经将对此案持续跟踪报道。来源：金色财经

金色财经2023-10-13

香港Web3安全联盟专家潘少华：黑客事件加速Web3发展步伐

件，公开披露的安全事件就有超16起，因黑客攻击、钓鱼诈骗等造成的总损失金额达3.6亿美元，超过26亿港币。目前，全球加密货币总市值约1.1万亿美元，而近两年因安全事件损失及被盗的金额约286亿美元，占总市值的2.6%。这在传统金融领域是无法想象的数字，比如香港银行业管理的资产约3.3万亿美元，如果按照2.6%的损失计算就是858亿美元或者6700亿港元。而这些安全事件的产生又是由多方面安全风险共同造成的，尤其是在传统互联网安全问题之外，Web3技术又涉及去中心化、智能合约、数字身份等复杂的技术组件，它们也带来了新的安全挑战。这里面既有用户也有平台遭受损失；风险因素涉及到交易所、钱包、OTC、公链、社交网络、电信网络运营商等各种平台和机构，也涉及到为犯罪分子提供各种信息系统和技术支持的互联网黑色产业链。这些安全问题的解决肯定不是一朝一夕能够解决的，也不是哪个平台、哪个用户可以靠自身力量能够对抗的。要想让香港成为Web3的创新高地，这方面的网络安全能力提升就需要监管部门更为全面的理解安全风险并开展有效指导和监督。 3.监管政策的推出需要有更扎实的调研、更贴合行业发展节奏。这次事件很有可能给予香港政府更大的信心和动力，来进一步开展治理工作。当今高速发展的新兴领域也对创新发展促进部门和监管部门都提出了更高的要求，根据行业发展速度既能踩油门又能踩刹车——在充分调研的基础上，既能够有效促进行业健康高速发展、又能够有效管控风险、避免失控。政府监管部门需要与更多的行业自治组织、技术专家开展深入的对话交流，以便更深入地了解行业发展和风险状况，更全面的调研并收集相关信息，从而制定及时、有效、符合当前发展状态的政策决策。 4.当前形势迫切需要行业参与者加强多方沟通交流、建立信任和合作机制，把力量凝聚到一起，共同抵御虚拟空间的黑恶势力。在Web3的创新发展中，社群力量是非常重要的因素。Web3生态安全的提升也不能依赖监管部门的指导，也不能仅仅依靠单个平台、个人用户的努力。需要有一个社群，能够把Web3生态平台、网络安全企业、跨行业技术专家、网络志愿者们团结起来，共同对抗互联网上的黑暗势力。香港Web3安全联盟就是在这个背景下成立的，是一個致力于推动和发展香港Web3安全的非盈利性联盟组织。安全联盟的定位是与广大区块链生态合作伙伴共同建立广泛、开放的安全能力社区并系统性的组织其力量，为区块链数字资产行业保驾护航。联盟的任务一是通过公益性活动，为联盟和行业提供开放的、可信的安全生态交流平台，来提高联盟成员和社会公众对Web3安全的的认识和理解，包括组织开展Web3安全技术的学术交流、技术培训和研究咨询等。二是致力于为会员建立跨界生态，联盟的成员来自不同领域，包括学术界、政界、传统企业界、新兴Web3企业届和技术界等，推动会员之间的合作与交流，促进香港Web3安全技术的产业化发展。三是协助会员与政府和监管、科技创新服务部门开展监管沟通，积极推动产业届、技术界与香港相关监管机构的交流，帮助行业从业人员了解监管政策和监管意图，也让监管部门更深入的了解行业需求和动态，为监管机构建言献策。记者：香港、新加坡不仅在争夺金融中心，也在争夺Web3行业中心，您怎么看香港的优劣势？谁能胜出？潘少华：相比新加坡，香港实际上在人才方面很有优势。一方面因为香港本身就是国际金融中心之一，已经拥有很多国际化的人才，涵盖了金融、合规等领域。另一方面，与新加坡相比，香港在与中国大陆的人才和技术交流储备方面更胜一筹。技术领域的创新需要大量的互联网科技人才储备，而目前中国有着全球领先、数量众多、覆盖各种行业和生活场景的互联网应用， Web2.0各类基础设施和能力储备都是非常充沛的、很多都可以快速应用到Web3领域。互联网领域的人才是非常全面的在技术方面具备了相当的实力，之前由于各方面原因，许多互联网技术人才去了新加坡或迪拜寻找发展机遇，这中间也有很多人遭遇了水土不服。如果香港能够提供更为宽松便利的环境、做好，人才肯定会愿意来这里。记者：实际上，现在香港已经成为了一个沙盒，对吗？如果在香港能够取得良好的技术创新成绩，我认为对中国大陆也会更加宽松，市场环境也会更开放。潘少华：事实上，这是一种适应性的做法。只要香港政府始终以高度热情和专业能力指导、监督行业发展，并成功把香港塑造成国际技术创新高地、为香港带来新的发展动力，全世界包括中央政府都会看到香港政府Web3技术创新方面所取得的成绩，也自然会关注香港政府是如何掌控行业发展速度，自如的踩刹车、踩油门。记者：香港要在未来成为虚拟资产中心，你觉得最应该在哪方面发力？需要注意什么？潘少华：我觉得这里面最重要的一个是需要重点吸引科技企业并与之开展交流，包括优秀的网络安全企业、监管科技创新企业等能为行业、为监管提供赋能的细分领域。这可以帮助香港政府更有针对性地制定政策。在这方面，美国的网络安全企业、监管科技企业及其商业化化是全球领先的，美国的监管机构与科技创新企业一直保持着非常紧密的关系，其监管能力极大程度是因为这些企业在服务行业的同时也在为政府的政策制定、监督执法提供了非常丰富的数据、态势和技术手段。这些企业一方面为相关领域企业提供服务，另一方面协助司法执法机构在全球开展工作。当前这些是香港所不具备的，香港政府目前也非常缺少本地可以深入合作的科技公司。记者：明白了，香港目前在Web3除交易所外的项目和技术方面还没有太多发展，是吗？潘少华：除了虚拟资产交易所和OTC服务商，在此之外还有大量的像钱包、区块链数据、算力平台、资产管理平台和监管科技等Web领域相关的各类企业，他们都是Web3发展所不可或缺的。香港政府也应该多多关注这些领域，推动Web3上下游生态的成长和完善。记者：您作为合规和反洗钱专家，您对香港的Web3行业从业者有什么建议？潘少华：香港的Web3从业者，首要是要对行业、法律和道德有敬畏之心。互联网和Web3新兴技术是会永久留下痕迹，所以更要谨慎行事。做正经事是最重要的，短期、偶尔擦边球的行为可能会带来很高的代价。此外，现在是抓住机会做正确事情的时候，不要沉迷于短期的投机行为。从业者应该加强社区的交流和分享，抱团取暖，特别是在目前的市场环境下。来源：金色财经

金色财经2023-10-12

金色观察 | Upbit操盘疑云：囤币居奇填补现金流巨亏大坑

成打击，影响后续平台的业务拓展。 3、黑客攻击 10 月 9 日，Upbit 运营商 Dunamu 公开的数据显示，Upbit 今年上半年已遭遇159661 次黑客攻击，是去年的 2.17 倍。Upbit 2019 年因黑客攻击损失约 580 亿韩元，Dunamu 表示此后已将冷钱包比例控制在 70% 以上。而就在9月25日，有诈骗者创造的假APT代币被识别为真实 APT 代币流进Upbit，事件造成平台10万个账户受到影响，导致平台不得不将AP暂停提币。 4、准备金对于一家从事金融交易的商业机构来说，准备金的配比自然不会占据企业资金比。但是基于上述情形来看，韩国银行对于加密企业预留准备金的需求，也让Upbit在现金流上更加少了一些流动性。今年 7 月，韩国银行联合会发布了《虚拟资产实名账户操作指南》，要求加密货币交易所在其合作银行预留日均存款的 30% 或 30 亿韩元（以金额较大者为准）作为准备金。最高限额为 200 亿韩元，如果日均存款的 30% 超过 200 亿韩元，最多只能预留 200 亿韩元作为准备金。根据金融监督院代表Kim Hee-gon办公室提交的数据，Upbit与K-Bank合作，准备了总计200亿韩元的储备金，约为1500万美元，这无疑也是一笔不小的支出。由于Upbit的操盘行为实在有些明显，一些投资者在感知到这一情况后选择跟单交易，甚至有人列出了如何“与庄共舞”变现的方法。首先是在消息面上，随时盯紧Upbit相关币种的动态新闻，如加仓、上币等。其次是参照CoinMarketCap一类的链上数据平台，每天刷新看upbit交易所交易量排名。结语作为一家类似传统券商的证券交易服务商，理应保持公平公正、维护投资者的利益的职业道德原则。但是由于当地监管法律法规的滞后，再加上加密市场本身的抗审查性，身为CEX更容易在遇到财务压力困境时破坏市场公平。不过无论如何，漫长的熊市之下如果再有一家头部交易所因流动性不足而暴雷，那么对于加密市场的打击无疑更是雪上加霜。来源：金色财经

金色财经2023-10-12

白皮书商业计划书编写了解白皮书在区块链稳定币开发中的作用

✦安全措施：描述保护稳定币免受漏洞、黑客攻击或攻击的安全协议。 ✦使用案例和采用策略：强调稳定币的潜在应用、目标用户人口统计数据以及在更广泛的金融生态系统中获得采用的策略。 ✦团队和顾问：介绍核心团队成员、背景和相关经验，以及参与项目的顾问或合作伙伴。 ✦路线图和里程碑：提供稳定币项目的发展时间表，包括过去的成就、当前的进展和未来的里程碑。 ✦风险因素和免责声明：明确说明与稳定币相关的任何潜在风险，包括市场波动、监管变化或技术漏洞。 ✦代币经济学和经济学：提供有关稳定币代币的详细信息，包括其供应机制、分配以及任何质押、奖励或治理参与的机制。 ✦结论和行动号召：总结白皮书的要点并邀请读者参与、投资或参与稳定币项目。资产支持的稳定币开发白皮书在稳定币开发中的重要作用白皮书在稳定币的发展中发挥着至关重要的作用，作为阐明这些数字货币的核心原则和技术复杂性的基础文件。它们提供了全面的蓝图，概述了资产支持的稳定币的发展目的、抵押策略和确保稳定性的机制。白皮书还可以作为重要的沟通工具，使开发人员能够向潜在投资者、监管机构和更广泛的加密社区传达他们的愿景。它们提供透明度，让利益相关者对稳定币的可行性和完整性充满信心。此外，白皮书充当参考指南，为开发人员提供清晰的实施和维护路线图，确保遵守最初的愿景。在不断发展的去中心化金融格局中，白皮书对于建立信任、吸引投资和保证稳定币项目的长期成功不可或缺。它们充当清晰的灯塔，引导稳定币穿越复杂的加密市场，最终为更稳定、更可靠的数字货币生态系统铺平道路。白皮书开发中要避免的常见错误在白皮书开发过程中，应避免一些常见错误，以确保文档清晰且令人信服。这些包括： ➢缺乏清晰度和简洁性：未能以清晰、直接的方式表达想法可能会让读者感到困惑并降低白皮书的有效性。 ➢过于技术性的语言：在没有适当解释的情况下使用行话或复杂的技术术语可能会疏远非技术读者并妨碍理解。 ➢忽视受众：不考虑目标受众的背景和专业知识可能会导致白皮书对于读者来说过于简单或过于复杂。 ➢问题定义不充分：未能明确定义项目旨在解决的问题可能会导致潜在利益相关者缺乏兴趣或理解。 ➢解决方案解释不充分：未能彻底解释所提出的解决方案如何解决已识别的问题可能会让读者产生怀疑或不服气。 ➢缺乏市场分析：未能对市场格局和潜在竞争对手进行全面评估可能会削弱项目的可信度。 ➢不准确或不切实际的主张：对项目的能力或潜在成果提出未经证实或夸大的主张可能会削弱信任。 ➢缺乏路线图：忽视制定清晰的发展路线图和里程碑可能会给项目的未来带来不确定性。结论总之，白皮书是资产支持的稳定币开发的基石，为创建和维持这些关键数字资产提供了全面的路线图。通过对稳定币的目的、抵押策略和治理框架的详细描述，白皮书提供了透明度并为利益相关者灌输了信心。它们在吸引投资、获得监管机构的支持以及在更广泛的加密社区中培养信任方面发挥着关键作用。此外，白皮书为开发人员提供了重要的参考点，指导他们按照最初的愿景实施和维护稳定币。它们体现了项目的创新精神，并为开发商、投资者和监管机构之间提供了有效沟通的手段。随着区块链生态系统的不断发展，白皮书在稳定币开发中的作用变得越来越重要。它们不仅为稳定币的创建奠定了基础，而且使其能够适应快速变化的金融格局。因此，制定明确、透明且信息丰富的白皮书对于任何资产支持的稳定币项目的成功和长久发展至关重要。来源：金色财经

金色财经2023-10-12

24小时热点