FX168财经网_全球视野外汇黄金加密货币NFT资讯网

波音零部件网站宕机此前公司确认遭网络攻击

因网络事件而关闭的通知。目前尚不清楚是黑客导致该网站关闭，还是波音公司为阻止入侵者获取更多数据而采取的防御策略。波音周三确认网络攻击影响了其零部件和分销业务，但补充说该事件并未影响飞行安全。据美国航空公司两位知情人士透露，波音周四与航空公司客户召开电话会议，向他们介绍了零部件部门遭受的网络攻击。其中一位知情人士说，在网站宕机情况下该部门以人工方式开展业务。

金融界2023-11-03

Unibot被攻击暴露了Bot类产品的哪些安全问题？

有预谋的内鬼行为：因为该合约并未开源，黑客却轻松找到漏洞，以及在Unibot上线一周后，黑客就进行了攻击部署，为此次攻击蛰伏了半年。而从此次事件，我们能够窥见的是，Telegram Bot本身也存在着较大的安全问题，尤其是涉及金钱、交易相关的Bot，其实是对于安全要求很高的，但是却普遍存在着代码未开源、私钥不是本地化存储等问题。 Unibot所暴露的普遍问题 Unibot被攻击，似乎是意料中的事情。行业内人其实有一个共识：不敢把过多的钱放在其中，因为类似的Telegram Bot似乎并不安全。目前加密行业在安全方面基本上形成了两套发展逻辑和路径。首先是类似中心化的交易所，那就是采用资产担保、接受政府监管的方式。大众的信任还是源于大公司的声誉和监管它的政府机构。另一套路径则是Defi、自托管钱包等去中心化的产品。用被层层审计过的合约和代码来尽可能保障用户的资产安全。当然这一路径中更重要的是，用户要自己对自己负责，掌握区块链行业的安全知识。但是对于Unibot这样的产品，它其实充当的是一个在Web2和Web3世界中搭桥的工具，而对于一个Web2.5的产品，其安全又该如何保障？我们首先来看Unibot本身在哪些方面做的有缺陷，首先是Unibot的合约本身存在问题。同样在进行Telegram 交易方面的Bot创业的Jerry告诉金色财经，这次的被攻击事件简单来说，就是黑客操纵了Unibot的合约，而这个合约本身有用户的Token授权，于是黑客操纵合约把用户的Token转到了他自己的账户。 Jerry分析，这个漏洞其实在之前的安全审核上就应该被避免掉的。而该项目应该没有做过严格的审核，在公开的资料上也未看到有合约审计的消息。而且未开源。在Jerry看来，除了目前暴露出来的问题，Unibot这个产品本身，也存在着不少问题，比如用户的私钥安全问题。在用户使用Unibot时，其私钥会直接发送到Telegram的对话框中。稍微有点常识的行业内人都明白，私钥绝对不能公开。用户可以理解这个发送到对话框这个行为发生后，Unibot其实能够掌握用户的私钥。如果项目方有意愿，项目方就能作恶。在Jerry看来，为了避免这样的情况，这些交易机器人应该做到私钥的本地化存储。当然也可以理解类Unibot这类的交易机器人这样的私钥托管的方式。因为这样的方式可以进行对话式的交互，用户交易时体验会顺滑，这就不需要像小狐狸钱包一样每次交易都需要签名授权。如何改进而面对如上的问题，其实解决的方法并不困难，但是对于现有的Bot来说，成本却较高。比如在用户的私钥安全这个方向，应该去实现的就是私钥的本地化储存，但是如果现有的Bot项目要这样做的话，那就需要把所有的用户进行迁移。据金色财经记者了解，目前，在这一方向，已经有一些团队在做相关的创业，而因为近日Unibot的被攻击风波，相关的风投机构也对BOT的安全方面的创业项目表现出了更高的热情。而我们把视线放的更宽广，这种在Web2和Web3之间搭建桥梁的产品，又应该如何做来保障用户的资金、以及个人数据的安全呢？又或者是Telegram本身又应该如何做？梳理Telegram的发展，我们能看到，其实在其过往的实践中，已经有了一些相应在保障用户资产安全方面的实践，比如推出了TON Space的新型自托管钱包。以及在信息安全上，用户可以自行选择对话的端到端的加密。 Telegram上的Bot良莠不齐，甚至还存在黑客利用假的Bot来盗取用户资产的情况。而此次的事件，其实也值得行业内人士警醒，在Web2与Web3愈发融合的当下，在资金安全方面，尤其是这种搭建桥梁的工具，我们更需要的是Web2和Web3交融的方法来保障。比如Telegram本身其实应该起到一定的监管和用户举报后的惩罚作用，而作为一个和区块链行业结合的项目，本身就应该尽可能做到合约审计，代码开源等等。随着行业的发展，这种"搭桥"产品的各种问题该如何解决肯定也会发展出行业的共识。来源：金色财经

金色财经2023-11-03

Solana “灾后” 重建这一年：杀不死我的让我更强大

Solana Hyperdrive 黑客松，还通过赞助方式参与了OPOS 黑客马拉松、Hacker Houses、PlayGG等多个黑客松活动。近日，Solana还启动一个旨在吸引创业公司创始人选择 Solana 的孵化器。而今年Solana生态中，以Marinade Finance、Lido 、Solend老DeFi协议不仅有亮眼增长，还有一些Jito、marginfi 、Ocra、Tensor、Backpack等黑马出现，且大部分是出现在流动性质押板块。从DeFilama的数据来看，SolanaTVL靠前的协议近一个月普遍上涨，有三个协议实现超100%的增长，最高超255%。其中于FTX崩盘后不久上线主网的流动性质押协议Jito，TVL一年时间从400万美元攀升近2亿美金，成为Solana生态仅次于 Marinade Finance 的排名第二的协议。Jito 的特点在于提供给质押者的奖励除了质押收益外还有格外的 MEV 奖励。据Solana最新发布的显示，已有超过 31% 的 Solana 验证器通过 Jito Labs 客户端运行。此外，DeFi保证金协议MarginFi 整个第三季，其 TVL 环比增长超 700%，其引领了 Solana DeFi 上的积分奖励机制的发展，永续合约交易平台 Cypher ，Solana 生态借贷协议 Solend 都随后推出了积分奖励机制。而近日，Solana 生态 Web3 一体化应用 Backpack 也动作频繁，值得关注。Backpack最早创新了Web3.0 钱包的构建方式。与其他钱包不同的是，它通过革命性的新标准xNFT ，允许开发者在单一界面上构建无需许可的资产管理工具，通过请求接口来实现新的核心功能，以推动更多移动端客户获得更加友好的用户体验。近期， Backpack还推出了NFT 项目Mad Lads，目前是 Solana 上市值最高的 NFT 项目，并且 24 小时销量突破 NFT 系列前 5 位。Backpack还宣布将推出受监管的加密货币交易所 Backpack Exchange。当前 Backpack Exchange 已获得迪拜虚拟资产监管局（VARA）颁发的交易服务虚拟资产服务提供商（VASP）许可证，将于今年 11 月向现有 Backpack 和 Mad Lads 社区成员推出内测版。 Solana的“好人缘”背后细数一下，困难时刻，Solana并不缺力挺他们的大佬粉丝。从FTX 暴雷后，以Vitalik、MakeDao创始人Rune、Bankless创始人、Placeholder VC合伙人Chris Burniske为代表的行业OKL，包括Web2的资管巨头VanEck 、支付巨头Visa都在力挺Solana。而仔细去看每位支持者给出的理由，大多直指Solana的技术实力以及社区活力，且他们在FTX倒闭后更为看好Solana。FTX 暴雷不久后，Vitalik Buterin 便发推文称，希望Solana社区有公平的机会茁壮成长。因为有一个聪明人告诉他：Solana是一个认真且聪明的开发社区，现在那些可怕、投机取巧的人已经被洗掉了。” 而这个“聪明人”Placeholder VC合伙人Chris Burniske也顺势发文阐述了支持的具体理由，比如有Solana社区因有铁杆且硬核的开发者，相比于以太坊和Cosmos，Solana的链上创新更具独立性。而“在生态系统方面，Solana上的Dapp建设者们更像是Web2和Web3的混合体，后段端非常加密运作模式，前端则有能力与主流对话。”MakeDao创始人Rune 青睐的Solana的理由在提到“ Solana 的代码质量高、生态系统经过 FTX 的倒闭后仍然维持韧性。” VanEck更直接的发长文报告表示看好Solana，其从生态应用以及成本收入等多方面对比Solana和以太坊。VanEck认为，“Solana 的社区拥有强大的认同感，这使得它在面临巨大挫折时保持了韧性，尽管这些挫折可能会摧毁许多其他区块链生态系统。” 经历沉浮后的Solana或许在告诉我们，在Web3的残酷淘汰赛里，不断创新、重大挫折下保持“韧性”不下场，杀不死的让你更强大。来源：金色财经

金色财经2023-11-03

意图桥梁：跨链价值转移和互操作性的未来

ETH 锁定在一个链桥中，而该链桥被黑客攻击，那么他们所包装的 ETH 代币可能会变得一文不值。流动性网络桥梁试图解决这个问题，使用规范资产来支持具有隔离安全标准的代表性资产。虽然铸造和销毁机制为用户提供了新资产并要求他们信任它，但流动性网络桥的目标是确保 1 ETH = 1 ETH。虽然跨链桥的范围各不相同，但用户通常依赖它们来实现一种用例：转移价值。无论跨链桥在幕后如何工作，用户都会访问它，因为他们希望将资金从 A 转移到 B。理想情况下，他们希望快速且廉价地完成此过程，而顶级解决方案可以满足这一要求。用户有一个共同的目标：在不影响安全性的情况下，尽可能快速、廉价地转移价值。流动性网络如何桥接执行订单如果用户在单链上操作，除了持有代币之外，他们还需要流动性来进行任何活动。如果他们想在 Uniswap 上进行交易，然后通过 Aave 获得贷款，他们需要链上的流动性才能实现这一目标。同样，跨链桥也需要流动性来服务用户。但他们可以从链上或链下提取它。当桥接使用链上流动性时，它从目标链上的池中获取流动性。另一种选择是要求中继者用自己的资金预付订单。我们可以将其称为“链下”流动性。 Cross 采用了这种方法，使用中继器用链下流动性来填充订单。他们投入资金，然后通过主网上的统一流动性池获得偿还。链上流动性和交付与支付 (DvP) 使用链上流动性的桥接通常在每条链上都有流动性池，并且需要源链和目标链之间的验证。当消息到达确认用户存款时，资金将被解锁，用户的订单将被填写。这是一种 TradFi（传统金融）人们通常称为货款付款 (DvP) 的结算方式。桥接可以通过多种方法验证源链的状态，包括多重签名、中继器和预言机以及零知识证明。这些方法具有不同的信任假设，并且通常需要昂贵的链上验证。 DvP 桥接还有另一个缺点。当用户在源链上存入资金时，只有在源链最终确定后，他们的存款才能得到验证，只有在目标链最终确定后，他们才能提取资金。换句话说，最短传输时间=始发地最终性+目的地最终性。这可能会导致传输时间变慢。 Stargate 或许是使用链上流动性进行 DvP 的桥接最明显的例子。 Stargate 将自己定位为“流动性传输协议”，利用 LayerZero 的中继器和预言机消息传递机制。总之，当桥接使用链上流动性时，只有在源链上的存款在目标链上得到验证后，订单才能被填写。这导致更高的Gas成本和填充时间。链下流动性和意图链桥可以使用链下流动性，而不是在收到付款时采购链上流动性来交付资金。通过这种方法，做市商或中继者用自己的资金来满足用户的订单，以满足目的地的请求。这些第三方参与者代表用户承担最终风险，作为回报，他们从借出的资产中赚取利率。中继者必须等待偿还，也称为结算，这是在验证他们进行了有效填充后发生的。结算系统（即桥）可以单独验证中继者的填充，然后进行一系列偿还，也可以批量验证和偿还多个填充。在 Across 中，独立中继者填写订单，UMA 乐观地验证中继者捆绑还款。这会降低Gas成本并降低用户的费用。桥可以使用链上或链下流动性来完成订单，存款可以单独或批量验证。上图说明了桥接器如何验证和填写订单。 Cross 使用链下流动性以最好的价格和速度完成订单，并通过捆绑验证以高效的方式乐观地偿还中继者。 Across 的桥接架构比 DvP 系统具有明显的优势。我们可以将其用链下流动性填充订单的方法分类为一种新的心理模型：意图。 Across 是一座意图桥梁，链下流动性满足用户的意图。 Across 用户无需向桥接器下订单来履行消息。他们只需发出想要在哪里收集资产的信号，然后等待中继者填写订单。如果 Stargate 用户在主网上存入 1 ETH，并等待消息验证其请求，然后再在 Optimism 上收取，Across 用户会说：“我在主网上有 1 ETH，希望在 Optimism 上从任何可以快速完成我的订单的人那里收取 1 ETH ，而且以便宜的价格。” 为什么意图将塑造桥接的未来意图是加密货币中一个相对新兴的概念，最初作为解决 MEV 的一种方式而流行。 Across 和 UniswapX 等其他解决方案也采用了基于意图的设计，但我们可以看到意图模型在未来出现在整个领域。跨链生态系统变得越来越复杂。意图有助于消除普通用户的复杂性，提供有意义的节省和更好的用户体验。意图设计还可以使加密货币更容易访问。不难想象，未来经验丰富的做市商会越来越多地满足普通用户的请求，无论是跨链转移资产、竞价高价值 NFT，还是代表他们进行其他活动。跨链生态系统也在不断扩大，因为该领域欢迎新进入者，并且像 Base 这样的新链继续吸引交易量。这意味着跨链桥将继续存在。如果我们假设转移价值仍将是桥接的主要用例，我们还可以推断基于意图的系统将在未来得到广泛采用。当网络桥接使用基于意图的框架时，用户要求在目的地发生某些事情，中继者会竞争以确保“某事”以最好的价格、尽可能快地进行。这提供了更好的用户体验。 Across 日益增长的市场主导地位证实了基于意图的系统将引领未来市场的论点。目前，Across约占链桥容量的 30%，仅次于Stargate。其市场份额在 2023 年不断增长，很大程度上是因为其基于意图的设计使其能够在价格和速度上获胜。综上所述，跨链桥可以通过不同的方式帮助用户转移价值。虽然一些解决方案已成功使用链上流动性和 DvP 机制，但意图设计和链下流动性提供了显著的好处。随着基础知识变得越来越重要，我们很可能会看到意图设计蓬勃发展。我们相信未来将有数万亿美元的价值通过提供最佳用户体验的跨链桥和解决方案流动。如果我们是对的，像 Across 这样基于意图的系统看起来将在未来许多年主导跨链生态系统。来源：金色财经

金色财经2023-11-03

Unibot遭遇黑客入侵：Telegram用户该如何保障资产安全？|veDAO研究院

ot发布了文章开头提到的公告，透露了被黑客攻击的第一批细节，并确认了是由于新路由器中出现了代币批准的漏洞导致遭受攻击。 Scopescan敦促用户取消对被利用合约（0x126c9FbaB3A2FCA24eDfd17322E71a5e36E91865）的批准，并将资金转移到新钱包，以配合 Unibot 和区块链调查人员的持续调查。 Unibot承诺将赔偿所有因合同漏洞造成财务损失的用户。此次攻击从北京时间31日12:39:23开始，持续到了31日的14:09:47。在此期间，攻击者执行了22次攻击交易，总共有42种代币通过路由器从364个受害者地址转移到了攻击者手中，漏洞利用者随后出售了这些代币，获得总计355.5 ETH。目前所有355.5ETH已被转入Tornado.Cash。根据每周交易统计数据，其中包括Joe（JOE）、UNIBOT和BeerusCat（BCAT）等加密货币。 UNIBOT 跌幅近40% 虽然 Unibot 官方已承诺赔偿损失，但受到黑客消息影响，UNIBOT 仍出现暴跌的情况。根据CoinMarketCap数据显示，UNIBOT事发后从58.34美元暴跌至最低35.94美元，最大跌幅高达38%，后续稍有回升，在42美元徘徊。值得注意的是，尽管恐慌性抛售量强劲，但巨鲸和聪明钱还是借机大量抄底吸纳了更多UNIBOT。后续 11月1日，Unibot在Telegram发布公告称，昨日的漏洞已得到完全解决，已恢复到旧路由器；Unibot目前已经安全且能正常运行。然而受损用户的资产退还需要一些时间：Unibot目前正进行最后几轮的模拟，意图通过额外的措施，来确保彻底退还用户的代币。该公告称，由于受到漏洞影响的代币种类超过100种，因此退款过程比预期的要长。由于这些代币在规模和流动性方面各不相同，所以退款最终将以不同代币+ETH的混合形式进行。什么是Unibot？ Unibot是一个内置在Telegram的交易工具机器人，用户在Telegram内与机器人以对话的形式发布交易指令就可完成链上代币在Uniswap上的交易活动，如代币兑换、跟单交易、限价订单、隐私交易等。Unibot在Telegram上因其易用的界面而备受欢迎。简而言之，Unibot允许用户无需离开聊天App的情况下在切换不同代币。然而，用户也可以利用MEV保护交易并复制其他交易者的交易方案。该App的原生代币在 8 月中旬曾飙升至惊人的 236 美元，其受欢迎的程度可见一斑。了解更多Unibot详情：https://app.vedao.com/projects/11af33a7c6ee5c9bae19219a682f7a0749779794c4a8ffdee61c16f7d2939b4b Telegram机器人除了Unibot，还有很多Telegram机器人，像Mizar、Banana Gun、Maestro和Wagie Bot等都拥有很多用户。Telegram机器人是通过Telegram聊天程序运行的自动化程序。它们可以进行交易、向用户提供市场数据、评估社交媒体上的情绪，并通过Telegram界面发起的执行命令与智能合约进行交互。这种类型的机器人已存在多年，但近年来它们随着Telegram机器人代币的出现而备受关注。 Telegram机器人代币是集成到Telegram机器人中的原生代币，主要用于多样化的交易功能，如执行DEX交易、跨钱包管理投资组合、流动性挖矿以及其他与DeFi相关的操作。这些代币本质上允许用户仅通过与Telegram界面的交互就能对接整个DeFi。今年7月末开始，这些代币的受欢迎程度急剧上升，一些代币的涨幅甚至超过了1000%。尤其是Unibot崭露头角之后，又涌现出了大量Telegram机器人代币。目前，CoinMarketCap上收录了73个Telegram机器人代币。 Unibot - 加密安全隐患的新问题 Unibot这次的漏洞，意味着其智能合约存在权限缺陷，可能导致用户的代币被移动到指定限制之外或进行未经授权的访问，从而引起了人们的担忧。在将被盗走的资产转移到Tornado.Cash之前，攻击者首先将它们转移到了去中心化交易所Uniswap。在加密世界中，Tornado.Cash经常成为引人注目的黑客攻击和漏洞利用的中心。该协议开发团队的几位成员在今年8月被指控协助黑客洗钱，涉及的金额超过了10亿美元，其中包括来自朝鲜的企业。与逮捕和随后的处罚之前相比，使用该隐私协议的人数减少了90%。在Unibot遭受袭击之前的一周，一些LastPass用户报告称，他们在加密货币中损失了440万美元。安全专家指出，这可能是由于去年12月的一个LastPass漏洞，尽管在过去的十个月里频繁的漏洞让许多人感到困惑，因为它们似乎没有规律可循。加密货币领域的另一个主要弱点是能够让用户在不兼容的网络之间转移资产的区块链间的跨链桥。依赖于Optimism的借贷平台Exactly在今年8月被盗，损失达 700 万美元。像Axie Infinity的Ronin跨链桥在2022年3月被黑客利用，造成了约6.22亿美元的损失；此外还有Wormhole加密货币平台的漏洞事件，黑客从中窃取了惊人的3.2亿美元。这些事件不断地提醒人们，在加密货币持续向主流市场发展的过程中，这些安全问题是无法回避的困难。如何在Telegram上保护资产安全 Telegram已经成为加密货币社区中最常用的消息传递程序之一。每个重要的区块链项目和加密货币社区都有一个Telegram帐户，他们在那里创建频道和群组，以鼓励互动和社区建设。Telegram的广泛使用使它成为了加密货币爱好者了解更多信息、讨论他们喜爱的项目的宝贵工具，但它也引来了黑客的关注。我们来梳理下在Telegram上有哪些常见的加密货币诈骗方式，以及如何保护资产安全：钓鱼和消息诈骗在Telegram上，钓鱼采取“Smishing”（短信钓鱼）的形式。其目的是提取敏感数据，通常是针对高知名度人士的“鲸鱼”或“鱼叉式钓鱼”攻击。在 Telegram 上的钓鱼诈骗，通常是通过发信息来进行钓鱼。有广撒网式的、向尽可能多的人发送恶意欺骗信息。更多的是目标为提取敏感数据的“鱼叉式网络钓鱼（spear phishing）”和“鲸钓攻击（whaling）”，用于针对组织和知名人士。平台外诈骗这些诈骗会引诱用户离开平台并点击链接，从而可能诱骗用户共享个人信息或下载恶意软件。模仿诈骗诈骗者创建假的Telegram频道或群组，模仿真实的频道，使用户相信他们是真正社区的一部分。你可以通过在设置中启用仅限管理员发布并限制谁可以将你添加到频道，来验证频道的真实性。冒充加密专家 Telegram 上的诈骗者冒充加密专家，并承诺能提高你的收益。他们通常在收集用户的登录信息后就立马消失。拉高出货计划这些诈骗活动宣传可能对价格产生影响的事件，敦促用户进行投资或出售。在私人消息中接收陌生投资建议时务必要小心。 Telegram机器人尽管Telegram机器人可能很有用，但一些黑客创建了假的机器人。避免那些急于让您采取行动的机器人，检查它们的电话号码、发布的内容，永远不要分享敏感信息。技术支持诈骗诈骗者会在Telegram频道中冒充支持人员。切勿与所谓的支持人员分享机密信息，无论他们是机器人还是真人。虚假赠品要警惕那些要求你提供银行详细信息，或是要求你支付费用以领取奖品的赠品，因为这些很可能是诈骗。由于Telegram上几乎囊括了绝大多数的加密货币项目，各种社群多如牛毛，因此骗子将其视为一个吸引人的平台。因此，避免泄露个人信息、汇款或点击可疑链接至关重要。关注我们 veDAO是一家由AI驱动的web3趋势追踪&智能交易一站式平台，将大数据分析所呈现出的市场趋势与交易深度结合，致力于打造更适合Web2和Web3用户买卖投资的web3 AI交易所。 veDAO拥有行业领先的由链上分析&情绪指标构成的AI大语言模型，为用户提供主动型数据支持，结合智能、快捷、安全、实时监控的AI交易功能，截止目前，平台重度使用用户已超过37000人，关联22000+Web3垂直行业 Twitter KOL，与180+专业机构组成veDAO专家委员会，平台项目库超8300+个，且有220+星探与veDAO一起不断增加Web3项目。 veDAO以两周一次版本更新的速度不断升级，决心搭建起Web2通往Web3的桥梁，成为未来Web2和Web3用户查项目、找热点、看趋势、一级投资、二级交易的首选平台。 Website：http://www.vedao.com/ Twitter：https://twitter.com/vedao_official Facebook：bit.ly/3jmSJwN Telegram：t.me/veDAO_zh Discord：https://discord.gg/NEmEyrWfjV ?投资有风险，项目仅供参考，风险请自担哦? 来源：金色财经

金色财经2023-11-03

安全审计合约审计：代币开发公司的一个关键方面

遵守情况。对安全协议的全面评估可以防范黑客攻击、欺诈和未经授权的访问等潜在风险。代币开发公司通过优先考虑安全审计，代币开发公司展示了其维护其产品完整性的承诺，并为客户和最终用户注入了信心。这种积极主动的方法不仅可以保护投资，还可以培育一个有弹性的生态系统，最终有助于公司在竞争激烈的区块链环境中取得长期成功和可持续发展。了解代币开发公司代币开发公司是区块链和加密货币行业内的专业实体，专注于创建、部署和管理数字代币。这些代币代表区块链网络中各种形式的价值、资产或效用。代币开发的过程涉及智能合约的设计和实现，智能合约是自动执行的合约，条款直接写入代码中。这些智能合约管理代币的行为和功能。代币开发公司在使企业和项目能够利用区块链技术进行广泛的应用方面发挥着至关重要的作用，包括通过首次代币发行（ICO）筹集资金、创建去中心化应用程序（DApp）以及建立数字生态系统。他们负责确保他们开发的代币的安全性、功能性和合规性。此外，这些公司经常提供咨询服务，指导客户了解区块链技术的复杂性，并帮助他们了解与代币发行和使用相关的监管环境。代币开发生命周期代币开发生命周期是指在区块链平台上创建、部署和管理数字代币所涉及的阶段和过程。它通常包含以下关键阶段： ➢概念化：这个初始阶段涉及定义代币的目的、功能和用例。它包括确定目标受众、了解代币旨在解决的问题以及概述其独特功能。 ➢设计和规范：在此阶段，建立代币的技术规范。这包括确定代币的类型（例如，实用性、安全性或治理），选择底层区块链平台（例如，以太坊、币安智能链），以及起草管理代币行为的智能合约。 ➢开发：代币的实际编码和实现发生在这个阶段。编写智能合约是为了定义代币的功能，例如转账、所有权以及任何其他功能（例如质押或投票）。 ➢测试：进行严格的测试来识别和纠正智能合约中的任何错误、漏洞或低效率。此阶段有助于确保代币的安全性和可靠性。 ➢部署：一旦代币通过测试阶段，它就会被部署到所选的区块链平台上。这使得可以在区块链网络内进行交互。 ➢集成：如果代币打算在特定应用程序或生态系统中使用，则可能需要与其他组件或服务集成以实现无缝功能。 ➢分发：代币分发给目标受众，其中可能包括投资者、用户或项目或平台的参与者。这可以通过代币销售、空投或奖励等机制来实现。维护和更新：持续监控、维护和更新对于解决任何新出现的问题、改进功能以及适应区块链生态系统或监管环境的变化至关重要。 ➢合规性和治理：确保遵守相关法规并在必要时建立治理机制是代币部署后管理的关键方面。 ➢监控和分析：持续监控代币的性能、采用和市场动态有助于评估其在实现预期目标方面的影响和有效性。 ➢生命周期终止注意事项（可选）：如果代币达到其生命周期终点或不再可行，则可能需要进行退役、交换或退役的流程。代币开发生命周期是一个动态过程，需要仔细规划、技术专业知识并遵守最佳实践才能成功创建和管理代币。每个阶段在确保区块链生态系统中代币的安全性、功能性和整体成功方面都发挥着关键作用。为什么安全性在代币开发中至关重要由于几个令人信服的原因，安全性在代币开发中至关重要。首先，代币通常代表价值或资产，这使得它们成为寻求利用漏洞获取经济利益的网络犯罪分子的有吸引力的目标。安全漏洞可能导致盗窃、欺诈或未经授权的访问，从而损害用户的信任和信心。其次，代币通常用于去中心化应用程序（DApp）和智能合约，其中安全漏洞可能会产生深远的后果，可能导致资金损失或关键功能中断。此外，安全的代币生态系统对于监管合规至关重要，因为当局越来越需要强有力的安全措施来防止洗钱和欺诈等非法活动。此外，对安全性的高度重视可以增强利益相关者（包括投资者、用户和合作伙伴）的信心，从而为代币及其背后的公司树立良好的声誉。最终，优先考虑安全不仅可以保障代币的完整性，还可以确保整个区块链项目的长期生存和成功。代币开发公司选择合适的安全审计合作伙伴选择正确的安全审计合作伙伴是确保代币开发公司项目稳健性和完整性的关键一步。以下是一些需要记住的关键注意事项： ☛专业知识和经验：寻找在对区块链和加密货币项目进行安全审计方面拥有良好记录的合作伙伴。他们应该对区块链技术、智能合约和相关安全最佳实践有深入的了解。 ☛声誉和参考：研究合作伙伴在行业内的声誉。寻找以前客户的评论、推荐和案例研究，以衡量他们的能力和专业水平。 ☛区块链安全方面的专业知识：验证审计合作伙伴是否专门从事区块链安全方面的研究。这确保他们拥有必要的专业知识来识别和解决基于区块链的系统特有的漏洞。 ☛全面的审计方法：询问他们的审计流程和方法。它应该包括对智能合约、代码库、架构和潜在攻击向量的彻底审查。他们还应该结合使用自动化工具和手动审核。 ☛监管合规知识：确保审计合作伙伴精通与区块链项目相关的合规要求。如果代币用于受监管的市场或司法管辖区，这一点尤其重要。 ☛沟通和报告：清晰有效的沟通至关重要。合作伙伴应提供详细报告，以透明且易于理解的方式突出显示已识别的漏洞、潜在风险以及建议的修复步骤。 ☛及时性和效率：在区块链项目中，时间往往至关重要。可靠的审计合作伙伴应该能够在合理的时间内进行审计，而不影响其工作质量。 ☛以客户为中心的方法：选择优先考虑客户特定需求和关注点的合作伙伴。他们应该愿意密切合作，解决任何问题或澄清，并提供量身定制的建议。 ☛审计后支持和跟进：考虑审计合作伙伴是否在审计完成后提供持续支持。如果出现任何其他问题，这可能很有价值。 ☛成本和预算：虽然成本是一个因素，但它不应该是唯一的决定因素。重点关注与总体项目预算相关的所提供服务的价值和质量。通过根据这些标准仔细评估潜在的安全审计合作伙伴，代币开发团队可以选择一个值得信赖且有能力的合作伙伴来对其项目的安全措施进行全面评估。这种对安全性的投资最终有助于代币和相关区块链项目的长期成功和可信度。安全审核流程安全审计过程是一种系统评估，旨在评估和增强区块链项目或代币的安全措施。它涉及一系列旨在识别漏洞、潜在风险和需要改进的领域的步骤。以下是典型安全审核流程的概述： ➥项目熟悉：审核团队熟悉项目的目标、功能和基础技术。他们审查项目文档、白皮书和相关代码存储库，以获得全面的了解。 ➥范围和目标：为审计定义了明确的目标和范围。这包括指定将评估哪些组件（例如，智能合约、代码库、架构）以及评估它们所依据的特定安全标准。 ➥自动化分析：采用自动化工具进行初步评估并识别常见漏洞或编码错误。这些工具扫描代码库以查找潜在问题，例如已知的漏洞利用、代码质量以及对最佳实践的遵守情况。 ➥手动审核：经验丰富的安全专家对代码库和相关文档进行手动审核。这需要进行细致的检查，以识别自动化工具可能无法检测到的复杂或细微的漏洞。 ➥威胁建模：审计团队进行威胁建模练习，以预测潜在的攻击向量并评估各种安全威胁的可能性和影响。这有助于优先考虑需要更深入审查的领域。 ➥渗透测试（可选）：在某些情况下，可以执行渗透测试来模拟真实的攻击场景。这涉及尝试利用漏洞来评估系统的弹性。 ➥风险评估和优先级：已识别的漏洞根据其严重性和潜在影响进行分类。高风险漏洞会优先考虑立即关注，而低风险问题可能会在后续阶段得到解决。 ➥建议和补救措施：审核团队提供详细的报告，概述已识别的漏洞以及建议的补救步骤。这些建议可能包括代码修改、架构更改或其他安全措施。代币开发中常见的安全漏洞在代币开发中，一些常见的安全漏洞可能会使项目面临风险和威胁。认识并解决这些漏洞对于确保代币及其相关生态系统的完整性和安全性至关重要。以下是一些最常见的安全漏洞：重入攻击：当合约的函数在完成其自身执行之前调用外部合约时，就会发生这种情况。如果外部合约回调原始合约，可能会导致意外行为和潜在漏洞。上溢和下溢：当变量超过其最大值时，就会发生整数上溢；而当变量低于其最小值时，就会发生下溢。这些漏洞可能会导致意外结果，并可能允许攻击者操纵代币余额或智能合约行为。不受保护的功能：仅应由授权用户访问的功能可能不受保护，从而允许未经授权的访问和对合约状态的潜在操纵。不安全的随机性：在确定性区块链环境中生成随机数可能具有挑战性。如果不安全地完成，可能会导致可预测或可操纵的结果，从而被攻击者利用。抢先攻击：这种类型的攻击涉及攻击者在交易包含在区块中之前拦截和操纵交易。它在代币交易场景中尤其相关。访问控制问题：访问控制配置不当可能会导致未经授权的各方获得他们不应该拥有的特权或权限，从而可能损害令牌或平台的安全性。结论总之，安全审计是代币开发公司领域不可或缺的基石。它们是抵御潜在威胁和漏洞的先锋，这些威胁和漏洞可能会危及数字资产的完整性并削弱区块链生态系统内的信任。通过对产品进行严格的评估，这些公司不仅展示了他们对最佳实践的奉献精神，还为其利益相关者提供了切实的保证。主动识别和纠正潜在弱点不仅可以降低风险，还可以巩固成功的基础。此外，在不断发展的环境中，技术进步与复杂的网络威胁并行，对安全审计的坚定承诺使代币开发公司成为行业中可靠且负责任的参与者。最终，这种奉献精神不仅可以保护投资，还可以营造一个充满信心的环境，提高公司的声誉并确保其在动态的区块链技术世界中的持久相关性。来源：金色财经

金色财经2023-11-03

波音零部件网站宕机此前公司确认遭受网络攻击

因网络事件而关闭的通知。目前尚不清楚是黑客导致该网站关闭，还是波音公司为阻止入侵者获取更多数据而采取的防御策略。波音周三确认网络攻击影响了其零部件和分销业务，但补充说该事件并未影响飞行安全。

金融界2023-11-03

0撸：币安投资白嫖积分等福报

14年全球首位成功远程控制特斯拉的白帽黑客官网主打极客风. 2）融资/合作情况已完成250万美元种子轮融资，币安Labs、SevenX Ventures、Comma3 Ventures、HashKey Capital、Big Brain Holdings、Arweave SCP Ventures等参资。币安孵化营第五季唯一的数据项目，入选以太坊基金会奖学金计划、 Consensys Startup计划、Chainlink BUILD计划。 3）积分用途官方推出的银河任务非常简单，点点鼠标就能0撸，大概率跟空投有关，因为官方明确提及参与者积累积分有机会获得“激动人心的奖励”。来源：金色财经

金色财经2023-11-02

金色观察 | SOL连创年内新高 “以太坊杀手”渡劫成功？

Hacker Houses 与最大的黑客松 Grizzlython 等。此后，Solana Ventures 继续以其 1.5 亿美元的基金推动网络游戏生态系统的发展。基于 Solana 的以人工智能为重点的项目的赠款也由 4 月下旬的 100 万美元提升至 1000 万美元。回归到Solana公链本身上，创始人 Anatoly Yakovenko 曾表示，公链赛道竞争日益激烈，并且未来还有来自 Scroll、Base 和 Linea 等新兴区块链网络的压力。但“它们都没有 Solana 快，没有 Solana 那么强大的交易处理性能，也没有 Solana 运行的节点多。我认为我们在技术方面仍然遥遥领先”。事实也的确如此，尽管已有超高的TPS，Solana 一直在努力优化其区块链的每个组成部分，力求获得更高的交易吞吐量。而Firedancer 的升级也有望将 Solana 的当前容量提高 10 倍，这无疑为将来该网络更大范围应用和用户的融入提供了使用场景。另外，Solana 创建的“本地费用市场”功能可能会帮助应用开发者更加准确地评估其成本，不会应个别应用的拥堵造成全网络费用的增长，而是根据用户需求收取不同的价格。从这点出发，能够让所谓的“杀手级应用”更有可能诞生。三、潜在的隐忧对于SOL的上涨，市场当中不乏提前预知的投资者。早在8 月份，高盛前高管、宏观研究机构 Real Vision 创始人 Raoul Pal 就表示，SOL 是他在加密货币投资组合中的第二大配置，并且该币种可能会上演以太坊在2018-2019年的走势。而VanEck更是给出了SOL在未来7年增长到3211美元的预测，但尽管眼下SOL上涨势头凶猛，其项目本身依然存在重大的隐忧。甚至 Raoul Pal 本人也认为SOL的下一个主要阻力位可能会是 50 美元，真正的Crypto Summer要等到2024年。 1、抛售与解锁压力近期SBF诉讼案接近尾声，FTX对债权人的补偿金额依然十分巨大。而根据9月份FTX债权人公布的 FTX 股东报告指出，SOL在FTX（包括 FTX.com、FTX.US、Alameda）持仓资产中占比最大。按照11月2日的市价计算，约为23亿美元。而根据链上数据显示，FTX多个冷钱包总共持有近 700 万枚 SOL。对此，社群猜测 FTX 新任管理层可能会对其 SOL 储备进行抛售处理。此外，Messari报告中提到，市场担心FTX 清算的超过5700 万个SOL 代币，未来在2025 年第四季度可能会得到解锁。而近期据Solana Compass 数据显示，在 epoch 512 期间，SOL 共计解锁约 1612 万枚（约 3.7 亿美元），其中被标记为 a16z 的 BZpEFk 开头地址在 epoch 512 期间解锁约 500 万 SOL（约 1.15 亿美元），被标记为 a16z 的 GCmFQ 开头地址在 epoch 512 期间解锁约 203 万枚 SOL（约 4713 万美元）。这也就是说，在FTX之外，也有包括投资机构在内的巨鲸获得已经巨量解锁的SOL在手，并且随时有可能抛售砸盘。 2、事故频发 Solana 遭社群诟病的一点是网络并非极度稳定，有网友统计，因计算影响交易的较大宕机事故，Solana 从2021年至2023年2月，已达到9次纪录。具有代表性的如下：今年2 月 25 日，Solana 发生宕机事故。网络每秒只能处理约 93 笔交易，远低于分叉前该网络每秒近 5000 笔交易的速率。去年5月，由于持久随机数功能错误，Solana出现4个小时的宕机事件。 2021 年9 月，针对Grape Protocol 初始DEX 产品(IDO) 的拒绝服务（DoS）攻击导致该网络宕机十几个小时。 3、市场行情不明上文提到，本轮加密市场上涨行情较大程度受贝莱德BTC现货ETF获批传闻影响。但距今为止尚没有一家机构获美国SEC批准，而市场分析人士则指出BTC现货ETF可能要到明年1季度才能获准。此外，全球经济进行衰退有目共睹。美债利率持续攀升，美联储是否继续加息依旧未知。而加密市场素来波动极大，SOL价格再次大幅下跌也不是没有可能。因此，对于SOL的价格前途应理性看待，切忌FOMO情绪入场。总结相较于其它公链来说，显然Solana今年至今在币价收益上遥遥领先，其市值也在水涨船高。同时也从侧面减轻了FTX的还债压力，这对于加密市场或是美国监管机构来说都是乐于看到的事情。但投资者也应看到，Solana与此前以太坊的浴火重生不同。以太坊上的DeFi应用爆发曾引领了一轮加密牛市的爆发，但就目前Solana上NFT与链游项目更丰富的情况来看，除非元宇宙叙事再起，否则依然需要审慎持有SOL。来源：金色财经

金色财经2023-11-02

Celestia（TIA）登陆某安是否迎来新的机会？

电报机器人领导项目 Unibot 遭受黑客攻击，幸运的是，损失金额有限，资金已被暂时撤回。我对电报机器人领域充满乐观，因为它与当前的区块链市场需求高度契合。如果能在用户前端体验和安全性方面进行进一步的优化，我相信在牛市中它将有广阔的发展前景。我的观点是，Celestia的创世空投和TIA代币的发布充分展示了模块化区块链技术对于推动区块链生态系统发展和鼓励社区参与的潜力。通过提供模块化的数据可用性层和灵活的代币经济模型，Celestia不仅为开发者提供了强大而灵活的区块链平台，还为用户和生态系统参与者提供了具有吸引力的激励机制。然而，随着多链生态系统的不断壮大，公链竞争日益激烈。许多有实力的机构和交易所都希望创建自己的公链。这引发了一个问题，即如何在众多公链之间协调和说服它们使用Celestia的数据层服务。此外，我们也需要认真思考一个更广泛的问题，即区块链世界是否真的需要如此众多的公链？最近一段时间，新的公链上线热潮似乎已经减弱，许多公链存在着没有真实用户的问题。这引发了一些重要的问题，包括如何在技术层面确保模块化区块链的安全性和可靠性，以及如何有效地管理和协调不同模块和协议之间的互动。更为关键的是，如何与众多公链合作以吸引真实用户，这是Celestia需要应对和解决的主要挑战。感谢阅读，后续持续更新，关注宫众浩：加密喵姐我们下期再见！来源：金色财经

金色财经2023-11-02

24小时热点