FX168财经网_全球视野外汇黄金加密货币NFT资讯网

小摩CEO：美联储提高资本金要求将导致贷款难惠誉的降级没啥影响

这些压力测试，摩根大通银行更加担心网络黑客攻击等危险。戴蒙称，美国商业银行缺乏和监管机构沟通的渠道，“监管机构的很多人在象牙塔里，他们从来不接地气。” 戴蒙还认为，美国政府应该取消美国国债上限，“美国国债上限已经成为美国共和党和民主党利用的一个工具，这让很多事情非常难做，而商业银行需要的是未来确定性。” 日前，知名信用评级机构“惠誉评级公司”将美国国债信用等级调低。戴蒙评价说，降低美国国债的信用评级对于美国金融市场不会有什么影响，因为做出交易决定的是市场上的金融机构，而不是什么信用评级机构。

金融界2023-08-03

Curve深陷安全事件如何建立防范黑客和追查资金的“攻防机制”?

到攻击。具体因为重入锁功能的失效，所以黑客可以轻易发动重入攻击，即允许攻击者在单次交易中执行某些功能。 7月31号，Curve 在平台表示 Vyper 0.2.15 的稳定币池由于编译器的漏洞所以遭到攻击。具体因为重入锁功能的失效，所以黑客可以轻易发动重入攻击，即允许攻击者在单次交易中执行某些功能。而Curve上的部分资金池又使用了旧版本的编译器，给黑客提供了机会。（重入攻击是一种由于 Vyper 的特性加上智能合约编写不当导致的漏洞，之前已经多次发生，欧科云链的安全团队之前有过对此类案例的详细分析，点击文末左下角“阅读原文”查看，所以本文对攻击细节不再展示) 紧接着其他多个项目都宣布遭受到了攻击，NFT 质押协议 JPEG’d，借贷项目 AlchemixFi 和 DeFi 协议 MetronomeDAO，跨链桥 deBridge、采用 Curve 机制的 DEX Ellipsis等都分别遭受巨额损失。然而在7月30号，一些项目方已经知道了潜在的攻击威胁。以 Alchemix 为例，在30号就已经开始转出资产，而且已经成功的转出 8000ETH，但是在转移资产的过程中，依然被攻击者盗取在 AMO 合约的剩余 5000ETH。图片来源：OKLink Explorer 其他项目方也相继采取了一些措施，如 AAVE 禁止 Curve 进行借贷；Alchemix 也从曲线池中移除 AMO 控制的流动性；Metronome 直接暂停主网功能。如何从攻防两端防范黑客进攻？ Curve 不是第一次出现被黑客攻击的事件了，作为 Defi 的顶级项目都无法免疫黑客攻击，普通的项目方更应该在黑客攻击端和合约防守端重视起来。那么针对进攻端，项目方可以做哪些准备呢？ OKLink 团队推荐项目方通过链上标签系统提前辨别有黑历史的钱包，阻止有过异常行为地址的交互。Curve 的其中一个攻击者的地址就有过不良记录曾被 OKLink 记录，如下图所示：图片来源：OKLink Chaintelligence Pro 其行为模式也一定程度上超出常理，如下图所示，有三日交易笔数过百。图片来源：OKLink Onchain AML 项目方如何在防守端进行防御呢？针对上述事件梳理，我们发现项目方在处理此类事件的两点问题， 1. 维护工作不到位。大部分项目非常注重代码的编写和审核，但是维护工作一直没受到重视，Vyper 编译器的这个漏洞是两年前被发现的，但受攻击的池子还是采用的旧版编译器。 2. 代码测试场景过于单一。很多测试代码起不到真正的测试问题的作用，应增加模糊测试等更复杂的测试手段，且应该在黑客攻击途径，攻击复杂度，机密性，完整性等多个维度进行测试的工作。被盗资金如何追回? 现实中，大部分被盗资金都难以追回。下图是黑客转出资金去向，可以看到被盗 ETH 没有对外转出动作，地址也没有和实体机构相关联。图片来源：OKLink Chaintelligence Pro 有一部分地址和实体机构有关联的，如地址0xb752DeF3a1fDEd45d6c4b9F4A8F18E645b41b324 (已归还2,879.54 ETH)，类似地址有关联实体机构的，我们可以通过报警和实体机构协商的办法追回资金。图片来源：OKLink Chaintelligence Pro 针对此次事件的正确做法是通过 OKLink 或者其他技术服务商的预警和跟踪功能，等待沉淀地址的后续的资金动向，在进一步实施行动。但是，最好的方法是行业团结一致制定基于安全事件的响应机制，可以对有异常行为进行更好的打击。给我们的警示重入攻击此类的安全事件一定还会发生，所以除了上述在攻防两端我们需要付出的努力外，项目方需要做好应急预案，当受到黑客攻击时能最及时的进行反应，减少项目方和用户的损失。Vyper贡献者也建议，对于 Vyper 此类公共产品我们应该加强公众激励，寻找关键漏洞。OKLink呼吁应该尽早建立起一套安全响应标准，让黑/灰地址的资金追踪变得更加容易。正如 OKLink 产品在此类事件中的攻防两端起到防范黑客和追查资金的作用，项目方在搭建平台的安全模块时应考虑第三方技术服务商可以带来的额外价值，更快更好的筑起项目的安全堡垒。欧科云链的 Raymond Lei 和 Mengxuan Ren 对此文亦有帮助。来源：金色财经

金色财经2023-08-03

全球最大规模AI和Web3投资峰会EDGE 将于9月25日至27日在港举办

eb3 安全与合规主题分论坛 · 时尚黑客马拉松演示日 · LightCycle 之夜 Day 2 · AI 领域的资本趋势，上市前景与挑战 · AI、元宇宙和游戏的创新融合 · AI 的法律框架与创新平衡 · 好莱坞 Film3.0 与元宇宙 · 苹果 Vision Pro 引发 AR/VR 复兴浪潮 · 抽象账户:Web2 用户无缝体验迈向 Web3 的范式 · DeFi、DAO 与数字城邦 · AI 是否可以重塑 NFT 的未来？ · WEB3 在各个国家的发展现状和前景 ·「AI+Web3：塑造智能的数字化未来」DEMO DAY EDGE 峰会的参与者将享受到丰富多样，激动人心的活动，包括引人入胜的数字时尚创意秀、黑客⻢拉松和开创性的 AIGC 元宇宙时尚秀。创新项目 Demo Day、主题演讲以及备受期待的 LightCycle 元宇宙之夜将点燃想象力，激发合作热情。除了夺目的活动和晚会，EDGE 峰会还将设置多个分论坛，围绕 Web3 技术、金融科技、AI 领域等多个维度展开深入讨论。全球前沿技术代表、行业领袖、知名投资机构代表以及监管机构代表将⻬聚一堂，探讨 Web3 的发展趋势、投资机会和监管政策前瞻。作为全球最大、最具影响力的人工智能和 Web3 投资峰会，EDGE 峰会与全球投资机构和创新者合作，举办重要的 Demo Day 活动。这个平台将为创业者提供展示项目、吸引投资和获得宝贵反馈和洞⻅的机会。对于初创企业和早期⻛险投资者而言，这是推动他们在全球舞台上取得成功的终极展示平台。 EDGE 峰会主办方&联合主办方参会信息峰会地点：香港亚洲国际博览馆即亚洲国际博览馆 (AsiaWorld-Expo) 香港东涌赤角航展道 1 号峰会日期：9 月 25 日 -- 9 月 27 日来源：金色财经

金色财经2023-08-03

MSE | DEX 交易所被黑客攻击：如何保护您的资金

e Balancer DEX 交易所被黑客攻击事件然而随着区块链的高速发展，加密货币市场日新月异近年来，有许多 DEX 交易所被黑客攻击。这些攻击导致了大量的资金损失。最著名的 DEX 交易所被黑客攻击事件包括： 2021 年 2 月，Uniswap 交易所被黑客攻击，损失了 2.8 亿美元。 2021 年 3 月，SushiSwap 交易所被黑客攻击，损失了 1.3 亿美元。 2021 年 8 月，PancakeSwap 交易所被黑客攻击，损失了 1.1 亿美元。 DEX 交易所现阶段存在的缺点或痛点虽然DEX 交易所虽然具有许多优点，但也存在一些痛点。 DEX 交易所的安全性较差。这是因为 DEX 交易所不受政府或金融机构的监管，这使得它们更容易受到黑客攻击。 DEX 交易所的流动性较差。这是因为 DEX 交易所没有中心化的订单簿，这使得用户很难找到想要交易的资产。 DEX 交易所的用户体验较差。这是因为 DEX 交易所使用复杂的技术，这使得一些用户难以使用。结语：DEX 交易所是交易加密货币的一种新方式。它们具有许多优点，但也存在一些缺点或痛点。用户在选择 DEX 交易所时，应仔细考虑这些因素。当然如果您正在寻找一种安全、私密、灵活和便宜的交易加密货币的方式，那么METASEA DEX 交易所可能是您的最佳选择。 METASEA DEX 在区块链行业中首创了DEX新赛道去中心化交易所有望在未来进一步壮大。它的技术实力在于可视化K线和DEX2.0撮合式点对点交互，不需要LP交易池，呈现更安全的交易方式，以及支持多链并行运作和几乎 0 Gas费，这些创新技术使得用户交易更直观、便捷。 METASEA DEX 以其安全、透明、去中心化的特点，有效解决了中心化交易所的缺陷，为币圈交易提供了更安全、可靠的选择。用户在DEX中可以更好地掌控自己的数字资产，无需担心交易所倒闭或被黑客攻击的风险。来源：金色财经

金色财经2023-08-03

World Engine：专为全链游戏设计的分片Rollup框架

之后，我们看到投资者、创始人、建设者和黑客的激增，他们在 Dark Forest 的遗产上建设。像 Lattice 和 Primordium 这样的公司开发了更容易的全链游戏开发框架和全链游戏。我们也看到了在 EVM 之外的其他生态系统中的发展，比如 Starknet 上的 Dojo。现有区块链技术的限制源于我们与其他人共享链的事实。如果像 Dark Forest 这样的另一个游戏存在于同一链上，那么这条链就无法有效地运行。这让我们开始质疑是否应该放弃全链游戏的概念。然而，我们决定探索如何构建更好的全链游戏。我们开始了一段旅程，从一个关键的认识开始：我们把区块链架构视为理所当然。尽管有各种各样的 L1 和 L2，但它们都看起来很相似。他们都声称有更好的共识机制，更快的 VM，更好的欺诈证明者，和更快的 ZK 证明者。然而，这些声明往往缺乏支持的基准。所有这些努力都是为了创建另一个 DEX 或铸造另一个 NFT，这些都可以在任何其他链上部署。我们决定从一个不同的角度来看待区块链架构。我们质疑了经典的区块链架构，它似乎在模仿比特币或以太坊。我们意识到，其他的区块链，无论是 L1 还是 L2，都在试图为每个人建立一个区块链，而没有考虑特定的用例或用户角色。我们选择了一条不同的道路。我们决定为特定的用户群体构建最好的区块链：游戏开发者和玩家。我们明白，游戏与典型的应用有着巨大的不同。例如，像 Twitter 这样的社交媒体平台在一个事件驱动的运行时操作（enent-driven runtime），类似于区块链。用户触发一个事件，比如发布一条推文，这会导致状态转换。另一方面，游戏在一个循环驱动的运行时操作（loop-driven runtime）。即使没有用户输入，状态转换也会继续发生。火继续燃烧，水继续流动，作物继续生长，日夜的循环继续。这个基本的区别让我们重新思考如何为游戏构建一个更好的区块链。这里需要理解的关键点是，网络应用中的状态转换，如智能合约，并不需要用户输入。例如，在 Uniswap 中，如果用户想要交易 Token A 和 Token B，他们提交一个交易，然后交易就被执行。这个过程是事件驱动的。然而，我们很快就意识到，传统区块链的事件驱动性质与运行游戏状态机并不兼容。因此，我们探索了游戏使用的循环驱动运行时。游戏引擎就是专门为支持这种循环驱动运行时而构建的。在循环驱动的运行时中，游戏进程被称为 "ticks"，它们是时间的原子单位。每个游戏循环在一个 tick 中执行。tick rate 越高，游戏感觉越流畅。例如，现代游戏如 Counter-Strike 或 Valorant 有高 tick rate，使得它们感觉更加流畅。相比之下，旧的游戏由于 tick rate 较低，通常感觉比较迟钝。在区块链的背景下，这些 ticks 可以与区块进行比较，区块是状态转换发生的单一时间单位。如果一个 tick 或区块感觉慢，它可能会对游戏体验产生负面影响。我们认为，游戏本质上是循环驱动的，因为许多游戏状态转换并不是由外部输入触发的。例如，游戏中的重力并不依赖用户按下一个按钮；它无论用户输入如何都会存在。确定性的交易排序也是至关重要的。例如，如果你想对一个用户造成伤害，游戏应该先对用户进行健康恢复还是先造成伤害？使用传统的排序，你无法预测或控制哪些状态转换先被应用，这会导致游戏循环中的问题。通过循环驱动的区块链，我们保持了可组合性，这就是我们为什么想要使用区块链作为游戏运行时的原因。这种方法允许实时游戏玩，模糊了区块链和传统游戏服务器之间的界限。它还使得开发比以前更复杂的游戏成为可能。然而，要构建一个可扩展的游戏服务器区块链，我们需要水平可扩展性。游戏并不是在一个服务器上玩的；它们分布在许多服务器上。一个 roll-up 在一台计算机上运行，并受到物理计算限制。因此，我们需要一种新的策略来控制交易。传统的游戏服务器，特别是那些性能密集型的大型多人在线游戏 (MMOs)，使用分片的概念。分片是一种工具，不是如何构建你的游戏的处方书。例如，在基于位置的分片中，一个笛卡尔坐标可以被划分为四个图表。当玩家从一个分片移动到另一个分片时，会向另一个分片发送一条消息，然后玩家被传送到那里。第二种方法涉及到使用一个被称为多重分片的概念，这对于玩过 MMO 游戏的人来说是一个熟悉的概念。在这样的游戏中，当玩家登录时，他们会被提供多个服务器供他们选择。这是一个类似的构造，存在着不同的状态或游戏世界，玩家可以选择加入哪一个。通过循环驱动的运行时和水平可扩展性，我们也希望实现优秀的可组合性。然而，在 roll-up 中实现这一点可能看起来超出了现实。这就是为什么我们创建了 World Engine。我们意识到标准的 roll-up 不能按照我们的期望运行，所以我们自己动手构建了我们需要的解决方案。这就像 1990 年代，当 3D 游戏引擎还不是随处可得的时候，开发者不得不自己构建它们。 World Engine 分为两个关键部分。第一部分是核心，由两个关键元素组成：EVM Base Shard，一个支持分片的混合执行层和排序器，以及 Game Shard，一个高性能的游戏引擎加执行层。除此之外，还有一些周边组件，如用于客户端 - 服务器通信的事务中继和网络代码，以及用于像 Dark Forest 这样的 ZK 游戏的 ZK Cloud 证明器。 World Engine 的核心是围绕我们的排序器设计的。虽然其他的排序器，如共享序列重构，优化了原子可组合性，但我们认为原子可组合性被高估了，特别是在游戏的背景下。因此，我们完全异步，消除了在 EVM Base Shard 运行时下需要锁的需求。我们有一个全局的 EVM 链，玩家可以在上面部署智能合约来与游戏进行组合，创建市场和 DEXes。我们在 Polaris 之上构建了这个，Polaris 是一个与 Cosmos SDK 兼容的 EVM 模块，允许我们比其他解决方案能够实现的更大程度地定制 EVM。在 EVM Base Shard 排序器之上运行的是 Game Shard，一个设计为高性能游戏服务器的高性能迷你区块链。Game Shard 被设计为对状态机和 VM 无感知。我们构建了一个类似于 Cosmos SDK EBCI 的抽象层，允许你定制你的分片，或者通过实现一套标准的接口来构建你自己的分片。我们还构建了第一个游戏分片实现，以提供一个示例。我们使用了一个 ECS 实体组件系统，这是游戏引擎中的一个常见特性，我们的构造优先考虑将实体组件系统作为一等公民。这意味着状态机本身的每一个对象或原语都被视为一个实体。该系统还有一个可配置的 tick rate，允许你定制你的游戏的速度。最好的部分是，你不需要依赖索引器。你可以在区块链上快速读取，而不必处理索引器中最终一致性的缺失。此外，你可以用 Go 编写你的代码，无需与限制性的智能合约语言斗争。由于我们的抽象层，分片本质上是无感的，所以你可以构建其他的分片构造，如一个坚实的游戏分片来补充你的 cardinal 游戏分片。你还可以构建一个带有自定义规则的 NFT minting 分片，一个使用 NFT 表示你的游戏身份的游戏身份分片，并允许交易游戏身份。我们不使用锁，所以我们不必阻塞主线程，使游戏分片运行时尽可能可靠，避免任何延迟。我们不再需要依赖加密经济构造。每个分片可以有不同的 DA 批处理压缩策略。你可以对分片进行地理定位，以减少游戏延迟。你也可以将游戏分片作为一个独立的游戏服务器运行，所以你不必担心在第一天就要部署 roll-up。我们在游戏分片之上构建了各种游戏，比如一个 Agar.io 的克隆，这在传统上是不可能的。我们也使用了一个混合模型，你可以在 solidity 上使用现有的游戏引擎框架，并将其与 World Engine 结合。未来由你来决定。你可以使用我们的 cardinal 堆栈，做一个混合，或者构建你自己的游戏分片。这就像是全链游戏的 Kubernetes，一个你的游戏的混合和匹配乐高。 World Engine 现在在我们的 GitHub 上开源，我们欢迎新的贡献者。如果你对构建你的第一个 World Engine 游戏感兴趣，我们今天晚些时候会举办一个研讨会。明天，我们也将主持游戏跟踪，一个面板，和一个关于全链游戏的讲座。总的来说，让我们构建更酷的 roll-ups。我们现在正处于 roll-up 的复兴时期。roll-ups 允许我们扩展区块链，并利用底层 L1 的安全性。然而，我们仍然生活在一个非常以 EVM 为中心的 roll-up 架构的概念中。这只是起点，而不是终点。我们的目标是以用户和应用为中心的 roll-up 构造。感谢你的聆听。英文版链接： https://captainz.xlog.app/World-Engine-Sharded-Rollup-Framework-for-Onchain-Game 来源：金色财经

金色财经2023-08-03

加密女王 Katie Haun 如何度过加密货币的至暗时刻？

加密交易平台 Mt. Gox 的大规模黑客攻击的调查。 Haun 凭借这些经验获得了 Coinbase 董事会席位，后来又在风投巨头 Andreessen Horowitz 担任普通合伙人（GP）一职，她在这个职位上工作了四年，投资了 NFT 平台 OpenSea 等顶级公司。「许多有故事的投资者都是从法律背景转向 VC 的，」Haun Ventures 的发言人 Rachael Horwitz 说。「我们认为，Katie（Haun）无疑是加密货币领域最有经验的领导者和交易者之一。」执法部门的一些人不满她在数字资产法律领域的短暂经历，帮助 Haun 获得了财富和名声，而其他在这一领域立足的人却没有获得同样的好处。尤其让一些人感到沮丧的是，有一篇文章将 Haun 称为“华盛顿特区顶级加密警察”——她从未拥有过这个头衔，也从未声称自己拥有过这个头衔。「她并没有在政府中辛勤工作十年，二十年，三十年——她只做了几个加密案件，」一位知情人士说。「我确实要赞扬她更聪明地玩游戏，而不是更辛苦地玩。」一位前执法人员回忆了这样一个小插曲：一位前司法部检察官在 LinkedIn 上抨击媒体报道，他们认为这些报道歪曲了 Haun 在政府中的角色。这位不愿透露姓名的执法人员告诉《财富》，随后发生了一些戏剧性的事情，Haun 的朋友们显然力主撤下这个帖子。不久之后，帖子就消失了。这位前执法人员说，无论报道是否夸大了 Haun 的成就，Haun 显然从她日益增长的名气中获益匪浅。他们说：「就她在政府中的职业生涯而言，她将自己定位在最伟大、最好的位置上，这就是一切的起点。」执法部门是一个充满 ego 和遮遮掩掩的世界，执法人员只能在特定情况下谈论案件，因此职业争吵应该谨慎对待。其他执法人员则为 Haun 辩护，指出她从未虚报过自己的记录。前司法部检察官、现任 Coinbase 金融犯罪主管 Grant Rabenn 说：「肯定有讨厌她的人。」他断言，99% 的诋毁者「没有她那样的远见卓识，或者没有她那样的成功。」风投界与媒体的关系出了名的紧张。虽然许多风头家认为自己是独立思考者，但也有一些人脸皮薄，对负面报道大加抨击。但与她曾经在 Andreessen Horowitz 的同事 Marc Andreessen 和她在公司的加密基金合伙人 Chris Dixon 不同，前者喜欢在社交媒体上与记者争论，后者则更喜欢待在幕后，而 Haun 则倾向于参加主流媒体的活动。她与 Paul Krugman 辩论，与 Ezra Klein 坐在一起，还登上了《财富》杂志的封面，认为加密货币与合规是可以兼容的。2022 年 5 月，在 Haun 的基金推出两个月后，她与 Sam Bankman-Fried 和 Michael Lewis 一起登上了舞台，参加了现已声名狼藉的 FTX 创始人在巴哈马举行的会议。然而，在 FTX 在 11 月崩溃后，Haun 大部分避开了她曾经追求的媒体——除了她在 2023 年 3 月为《华尔街日报》撰写的一篇专栏文章和 12 月为《彭博》做的一次短暂采访——她的团队将这个决定归因于专注于交易和与监管机构的工作。尽管她去年接受了《财富》杂志封面的采访，但 Haun 拒绝了为这个故事做的多次采访请求。 Horwitz 告诉《财富》，公司时间的最佳利用方式是优先投资公司。他们会想要一个非常紧凑的故事当 VC 邀请投资者参加「LP 日」活动时，通常都是一场奢华的盛会。考虑到加密货币的低迷情绪，Haun Ventures 四月份的聚会散发着些许节俭的气息： Peet's 咖啡的大型饮水机和来自 La Fromagerie 的野餐盒午餐。LP、创始人和 Haun 团队都在室外露台上闲聊。 Brian Armstrong--Coinbase 的联合创始人，Haun 在 2017 年加入 Coinbase 董事会后开始了她在加密行业的创业之路--也现身说法，发表了他的标准演说，讲述了他如何希望自己的公司继续成为一家美国公司，尽管它与美国监管机构展开了生存斗争。 LP 日的演讲似乎暂时安抚了投资者，因为没有人公开抱怨或要求撤资。部分原因可能是 Haun 并没有选择投资 FTX，这是 Sam Bankman-Fried 经营的一家声名狼藉的交易所，他的父母曾在斯坦福法学院教过 Haun。包括知名人士和加密货币专家在内的其他顶级基金却选择了支持这位骗子，导致了令人瞠目的损失：红杉资本蒸发了其投资者的 2 亿美元资金，而 Paradigm 据说去年将其在 FTX 的 2.9 亿美元股份标记为零。在避开她曾经拥抱的媒体后，Haun 的加密货币宣传现在几乎完全是闭门造车。她接待立法者，为包括纽约州民主党参议员 Kirsten Gillibrand 在内的主要政治家举办筹款活动和教育会议，并邀请像 thirdweb 的 Furqan Rydhan 这样的创始人来赞美区块链的好处。由于交易少之又少（正如一位 LP 所说，Haun Ventures 还没有进入赛程），该公司的大部分精力似乎都放在了政治宣传上。Chris Lehane 曾领导过 Airbnb 的政策斗争，并参与了民主党的政治活动，他说，他将大约三分之一的时间花在了加密货币的政策宣传上，包括 Coinbase 新成立的全球顾问委员会，该委员会有一个模糊的任务是「加强我们与利益相关者的努力」和「负责任地部署加密货币」。 Katie Haun 的创业之旅还为时尚早，她的第一支基金的生命周期也还很短。尽管如此，在加密货币为生存而战的时候，这位前检察官还是选择了主要在幕后工作，放弃了公众支持者的头衔。而且，即使她的公司渡过了危机，投资者是否愿意继续在这个动荡的行业下注还是个未知数。 USV 的 Wilson 告诉《财富》：「当他们再去募集第二笔资金时，他们会想要围绕他们做了什么以及他们如何应对市场变化来讲一个非常紧凑的故事。」，「希望他们也能谈及一些成功的经验。」来源：金色财经

金色财经2023-08-03

新火科技将英文品牌名变更为Sinohope 中文名维持不变

用户操作门槛的同时实现底层安全，杜绝黑客入侵、盗窃、黑地址转账等风险，帮助用户安全连接交易所及丰富的Web3 应用场景，实现资产的快速投产及运营。根据公告，更改公司英文名称(于生效后) 将不会以任何方式影响股东的任何权利。于更改公司名称生效后，本公司已发行的所有现有股票(包括印有本公司现有名称的现有股票) 将继续有效并作为股份的所有权凭证，并就买卖、结算、登记及交付而言将仍然有效。因此新火科技提醒投资者和用户，概无就印有本公司旧名称的当时已发行的现有股票无偿换领印有本公司新名称的新股票作出任何安排。一旦更改名称生效，任何新股票均须以本公司的新英文名称及双重外文的中文名称发行。此外，公告表示更改公司英文名称须待下列条件达成后方可生效：1. 股东于股东特别大会上通过批准更改公司名称的必要特别决议案；2.英属处女群岛公司事务注册处处长批准更改公司名称及于登记册录入本公司新名称。关于新火科技新火科技控股有限公司（简称“新火科技”，股票代码：1611.HK）作为安全高效的一站式数字资产服务平台，致力于引领数字资产合规化发展，用Web3.0的技术为社会创造包容性价值。新火科技的管理团队涵盖来自数字资产及传统金融行业的人才，拥有丰富行业经验及独到的业务见解。公司秉承着安全、合规、专业、多元的服务原则，提供简单易用的中心化及去中心化混业服务，涵盖：MPC自托管平台、虚拟资产管理、Staking技术服务、虚拟资产托管、场外大宗交易、场外质押借贷、软件即服务（SaaS）等。来源：金色财经

金色财经2023-08-03

Curve恐慌中涅槃重生 Defi赛道将迎来新的转机？

自己的编程语言出现了bug，于是遭到了黑客的攻击，那黑客直接攻击了他这个LTHMPH3个的这样的一个流动性池子，从而引发了一系列Defi生态的灾难，目前呢，这个事还在持续，已经有七个池子被攻击，损失的金额合计5200万美金那被攻击的原因是什么呢，很特别，就是就这个CURVE它跟其他的智能合约项目不一样，他用了一个特殊的编程语言叫vYpe，那这次呢，也就是因为这个编程语言出现了问题啊，出现了bug，被黑客抓住了，要知道在我们行业智能合约可是引以为傲的一个点啊，你这怎么能语言出现bug呢，搞成这么大一堆烂摊子，这使得大众对咱们Defi是否值得信任产生了疑问，信任缺失呢，比特币也开始下降了，大家要知道上一次因为山寨币爆雷导致大盘下降的时候是什么时候，那时候就是Luna出事的时候，当时如果仅仅是Luna他一个人爆雷，他其实不会影响我们整个家庭行业的大盘呢，但是呢，它当时出事，最终带动了稳定币脱铆啊，这件事情可不得了，这就导致了大众对咱们行业稳定币的部分啊信任度降低。所以危机蔓延，这一连串的暴雷呢，就接二连三的都来了，同样的这次的事件其实也是一样的，如果单纯是curve受到攻击是没事儿的，但是呢，他curve攻击的是因为智能合约出现问题了啊，你要知道智能合约存在是我们行业去中心化的关键，如果咱行业做不到去中心化啊，那咱们行业就没有意义啊，所以说这次的攻击可谓是打蛇打了咱的七寸了。那这事出了之后，全行业开始出现各种声音了，说Defi是不是完了啊，咱们行业又要爆雷了啊，当然不是，为什么呢？这里面有一个讨巧的点，就是这次出现变成语言bug的，这个语言呢，它叫vype，它虽然目前是咱们行业排名第二，受欢迎的语言，但是呢，它的市场占比只有仅仅的3.04%，也就是说它出问题只影响了3%的市场，这算是不幸中的万幸了。我们大家试想一下，如果这次不是这个VyPE出问题，而是我们行业这个Solidity，排名第一的。成语言出问题，那咱们行业几乎所有Defi协议都将无一幸免，全部被攻击，那时候才是真正的Defi再也不存在了。但是呢，这事咱也要思考啊，任何事情呢，都是两面性的，正所谓但祸兮福之所欲，所以说这次Curve出事儿呢，也正式掀开了我们全行业对智能合约的语言进行思考的这样的一个大浪潮，让大家意识到这个语言可能会出问题啊，所以说对于我们Defi事业而言，这是一次大考验，也是一次自我升级，自我救赎的机会。来源：金色财经

金色财经2023-08-03

Curve这次遭遇的漏洞利用或许为黑客们打开了新思路

识到，这次的危机并不仅意味着一次普通的黑客漏洞利用事件，更是展露出整个底层堆栈对整个 DeFi 行业潜在的巨大风险。和以往相比，前段时间的黑客事件数量越来越少，这与市场的繁荣程度脱不开关系。DeFi summer 和 NFT summer 时期，每周都有新的十亿美元协议推出，相比之下如今的市场十分萎缩。与此同时的，黑客们找到漏洞利用或者制造大笔的攻击事件的市场机会也在逐渐萎缩，这意味着黑客需要更新的、未开发的切入口来探索。回归「第一性原理」的黑客们在更底层的编译器上找到了一个完美的切入口，去馋食 DeFi 市场上巨大可口的「蛋糕」，更底层的编译器成为了黑客们更「聪明」的选择。就这次事件及其暴露出的相关问题，BlockBeats 采访了智能合约开发者 Box（@BoxMrChen）和 BTX 研究员 Derek（@begas_btxcap）。 Curve 事件是怎么发生的？ Aave 及 Lens 的创始人 Stani（@StaniKulechov）在社交媒体发表了自己对事件的看法：「这对 Curve 和 DeFi 来说是一个不幸的挫折。虽然 DeFi 是一个可以做出贡献的开放空间，但要做到绝对正确是很困难的，而且风险很高。在 Curve 的案例中，他们在协议级别上做对了。」 Curve 遭遇的漏洞利用事件是最古老，也许是最常见的以太坊智能合约攻击形式之一，重入攻击。重入攻击允许攻击者反复调用智能合约的某一函数，而不等该函数的前一个调用完成。这样，他们就可以不断利用漏洞提款，直至受害合约资金耗尽。重入锁与 CEI 原则举个简单的例子来说明重入攻击：一家银行总共拥有 10 万现金。但这家银行有一个很大的漏洞，每当人们取钱时，银行工作人员并不立即更新账户余额，而是等到一天结束时才进行核对和更新。这时有人发现了这个漏洞，他在银行开了一个账户，先存入 1000 元，然后取出 1000 元，过 5 分钟再取出 1000 元。由于银行没有实时更新余额，系统会在进行核对和更新前认为他账户还有 1000 元。通过反复操作，最终该用户取出了银行里全部的 10 万美元现金。到这天结束时银行才发现被利用了这个漏洞。重入攻击的复杂性在于它利用了合约之间相互调用的特性，以及合约自身的逻辑漏洞，通过故意触发异常和回退功能来实现欺诈行为。攻击者可以反复利用合约的逻辑漏洞，窃取资金。防止重入攻击的解决方案也很普遍，提前设置一段针对性的特殊代码内容进行防护，用这样的保护机制来确保资金安全，这被称为重入锁。 Solidity 为智能合约编程设定了一个「CEI 原则」（Check Effects Interactions），能很好地保护函数免受重入攻击。CEI 原则的内容包括： 1. 函数组件的调用顺序应该是：首先是检查，其次是对状态变量的影响，最后是与外部实体的交互。 2. 在与外部实体交互之前，应该先更新所有状态变量。这被称为「乐观记账」，即在交互真正发生之前就将影响写入。 3. 检查应在函数开始处进行，以确保调用实体有调用该函数的权限。 4. 状态变量应在任何外部调用之前更新，以防重入攻击。 5. 即使是可信的外部实体，也应该遵循 CEI 模式，因为它们可能会将控制流转移给恶意的第三方。根据文档的说法，CEI 原则有助于限制合约的攻击面，特别是防止重入攻击。CEI 原则可以很容易地应用，主要就是按功能代码的顺序，不需要改变任何逻辑。众所周知的导致以太坊分叉的 The DAO 漏洞利用，也是无视「CEI 原则」，而被攻击者实现了重入攻击，造成了毁灭性后果。但被攻击的 Curve 池并没有遵循这个 CEI 原则，原因是 Curve 采用的是 Vyper 编译器。作为编译器的 Vyper 代码漏洞，导致重入锁失效，使得黑客的重入攻击成功实现了。大多数人都知道 Solidity，但 Solidity 并不是创建智能合约的唯一语言，目前替代 Solidity 的流行方案就是 Vyper。虽然 Vyper 的功能和流行程度不如 Solidity，但对于熟悉 Python 的开发人员来说是理想的选择，因为 Vyper 能将类 Python 的代码转译成以太坊智能合约编程语言。根据 github 的信息显示，Vyper 的 github 代码库贡献第一的开发者，也是 Curve 开发者。这也不难解释 Curve 为什么采用的是 Vyper 而不是 Solidity。 Vyper 重入锁为什么会失效？那在这次攻击事件里，Vyper 的问题究竟出在哪里？重入锁为什么会失效呢？是因为没有进行测试吗？BlockBeats 采访了智能合约开发者 Box 826.eth（@BoxMrChen），据他透露，Vyper 重入锁是做过用例测试的。但失效的原因是，测试用例是结果导向，也就是测试用例也是错的。简而言之，Vyper 重入锁失效最大的原因在于，编写测试用例的人是根据结果来编写的测试用例，而没有思考过为什么 slot 会莫名其妙跳过 1 。在 Box 后续分享出来的这几段 Vyper 代码中，可以明显看出问题。当锁名称第二次出现的时候，storage_slot 的数量会被覆盖，也就是说，在 ret 中，第一次获取锁的 slot 为 0 ，但是再次有函数使用锁后，锁的 slot 被加一。编译后使用错误的 slot，导致重入锁无法生效。左为被攻击代码，右为修复后代码「预计错误的测试结果，当然验证不出错误。举个简单的例子，现在我们在做计算题， 1+ 1 = 2 ，但给定的标准答案错了，说 1+ 1 = 3 。而这时做题的同学答错了，回答了 1+ 1 = 3 ，但却和提前给定的标准答案相同，程序就自然没办法判定出测试结果出错。」Box 在和 BlockBeats 的采访中这么说道。悬了两年的「达摩克利斯之剑」在有所记录的史上第一次重入攻击事件中，WETH Attack 韦斯攻击的攻击者，正是为了让开发者重视重入攻击而故意制造攻击的白客，目的是使更多项目免受重入攻击的可能性。在智能合约的情境下，开发者应该采用不同的触发机制，例如调用某个状态改变函数来实现保护。这就要求开发人员在设计合约时充分考虑可能的攻击场景，采取适当的预防措施。为了深入了解 Vyper 编辑器，BlockBeats 采访了 BTX 研究员 Derek（@begas_btxcap），他表示，对于熟悉 Python 的开发人员来说，Vyper 是比 Solidity 更理想的选择，UI 界面更舒服，上手更快。但显然，一些版本的 Vyper 编辑器代码并没有经过可靠的第三方审计。甚至有的审计工作，可能是开发者自己完成的。「传统 IT 行业就不会发生这种事，因为一个新的语言出来后，会有无数的审计公司往死里找你的漏洞。」更不用说，能让一个错误堂而皇之的存在两年之久。 Vyper 贡献者 fubuloubu 也表示：编译器并没有像大家想象的那样受到审查或审计。大多数编译器都会进行重大且频繁的更改，这使得审核变得不利。即使有完整的代码库审核，在此之后添加的版本越多，它也会过时。审核编译器并不是一个很好的方式，因为审核最终用户使用该工具生成的最终产品（即原始 EVM 代码）更有意义。所有这些都指向最后一个问题：激励。也就是说没有人有动力去寻找编译器中的关键漏洞，尤其是旧版本。fubuloubu 此前提出过一个提案，提议将通过添加由用户共同赞助的赏金计划来帮助改进 Vyper，但没有被通过。黑客们正在回归「第一性原理」对协议和项目的开发人员而言，这是合约安全开发实践的又一次鲜活案例。但最重要的是，Curve 事件给了我们所有人一个警示，底层编译器的安全性问题被严重忽略了，回归「第一性原理」的黑客们在更底层的编译器上找到了一个完美的切入口。事后，Aave 及 Lens 的创始人 Stani（@StaniKulechov）也在社交媒体发布了长文表达自己的感想：这次 Curve 被攻击事件意味着，DeFi 风险一直涉及整个底层堆栈、编程语言、EVM 等。这警示了我们应更加谨慎和敏感，尤其是将来使用定制的 EVM 和应用程序链时。来自更底层的攻击对于编译器的漏洞，仅通过对合约源码逻辑的审计，是很难发现的。仅仅是研究版本和版本之间的差异也是一个大工程。需要结合特定编译器版本与特定的代码模式共同分析，才能确定智能合约是否受编译器漏洞的影响。「目前只有两个编译器最佳，Vyper 的代码库更小，更容易阅读，对其历史进行分析的更改也更少，这可能就是黑客从这里下手的原因，Solidity 的代码库要更大一些。」fubuloubu 甚至怀疑国家支持的黑客可能参与这起 Curve 攻击事件：「找到该漏洞需要几周到几个月的时间，考虑到投入的资源，这也许是由一个小团体或团队进行的。」作为加密行业使用最广泛的编译语言，Solidity 的安全更是被用户所牵挂，毕竟如果这次是 Solidity 编译器出现了重入锁失效的问题，那么整个 DeFi 行业的历史或许都要被改写了。根据 Solidity 开发团队定期发布的安全预警，在多个不同版本的 Solidity 编译器中也都曾存在过安全漏洞。最近一次的编译器错误记录是 6 月 26 日，在调查与使用具有副作用的三元表达式的 abi.decode 作为类型参数相关的安全报告时，在 Solidity 编译器的旧代码生成管道中发现了一个错误。旧代码生成器没有评估复杂的表达式，如赋值、函数调用或条件，其 .selector 正在被访问。这会导致此类表达式未执行的副作用，因此使用旧管道编译的合约的行为可能不正确。我们也可以看到 Solidity 的Github 仓库中放置着一个文件，上面列出了 Solidity 编译器上一些已知的安全相关的 bug。该列表可以追溯到 0.3.0 版本，只在此版本之前存在的 bug 没有被列入。这里，还有另外一个 bugs_by_version.json 文件。该文件可用于查询特定的某个编译器版本会受哪些 bug 影响。幸运的是，也正是因为 Solidity 语言的广泛应用，以及以太坊基金会在背后的辅助，许多已存在的问题已经被项目和协议在部署的过程中被指出。因此 Solidity 比 Vyper 更快几步完成了修改和完善，从这个角度看，这也是 Solidity 更规范和更安全的原因之一。为了帮助 Solidity 开发者进行更好的测试，防止发生同样的事。UnitasProtocol 联合创始人 SunSec（@ 1 nf 0 s 3 cpt）在 Curve 被攻击事件后，发布了一份 DeFiVulnLabs Solidity 安全测试指南，支持 47 种漏洞，其中包括漏洞描述、场景、防御、漏洞代码、缓解措施以及如何测试。如何尽可能避免底层攻击？在这起 Curve 事件上，Box 认为所有开发者得到的启示是：不要贪图追随技术潮流选择不成熟的方案；不要在不写测试用例的情况下就认可自己的代码（Vyper 出问题的几个版本上，甚至连测试用例都是错误的）；永远不要自己批准自己的代码；有些财富，可能要数年才会被发现；不可升级是对自己的傲慢和对其他人的藐视。通常开发人员也不会想到这里面有什么坑，随手就选一个版本编译，可能会忽略版本之间的区别所带来的风险。即使是小版本升级也可能引入重大变化，这一点在开发去中心化应用程序时尤其重要。这起 Curve 事件对开发者的警示有：使用较新版本的编译器语言。保持最新的代码库、应用程序和操作系统非常重要，同时也要全方位搭建自身的安全防御机制。尽管新版本也可能引入新的安全问题，但已知的安全问题通常较旧版本要少。当然也要及时关注社区和官方的版本更新公告。了解每一个版本带来的变化，按需更新自己的代码库和运行环境。采取这些措施或许可以大大减少编译器错误导致的安全事件。此外，要完善代码的单元测试用例。大部分编译器级别的错误会导致代码执行结果不一致, 这很难仅通过代码 review 发现, 但在测试中就可以暴露出来。提高代码覆盖率有助于避免这类问题。以及要尽量避免使用内联汇编、多维数组编解码等复杂语言特性，除非有明确需求。历史上大多数 Solidity 语言漏洞都与这些高级功能相关。在没有特殊需求的情况下，开发人员应该避免为了炫技而使用实验性语言特性。对协议层以及安全人员而言，在进行代码审计时，也不能忽视编译器版本可能带来的风险。可以预见的是，黑客们已然打开了新思路，在未来一段时间里，更底层的漏洞被利用事件会越来越多。同时，作为更底层的基础设施，底层堆栈、编程语言、EVM 等更需要被好好审计。未来审计公司的市场会越来越大，白客赏金的市场也会越来越大。Vyper 团队也计划在事情正式结束梳理后，开启审查漏洞赏金的计划。当然我们也不用对底层基础设施存在的风险过度恐慌。目前大多数编译器 Bug 仅在特定代码模式下触发，还需要根据项目情况具体评估实际影响。定期升级编译器版本、充分的单元测试都能帮助预防风险。来源：金色财经

金色财经2023-08-03

Bald 秒变“跑路龙头”后 Base 生态能否再造 Meme 热潮

因底层编程语言 Vyper 的漏洞遭到黑客攻击，面临超 5000 万美元的损失，此外创始人还将面临链上债务清算。而受 Bald 破圈影响，还不完善的 Base 生态 DEX Leetswap 的流动性池也遭受黑客攻击，损失约为 62 万美元，目前已停止交易启动调查追回资金。在如今乱象重生的加密市场，与“高大上”的项目叙事与底层逻辑相比，简单粗暴的 Meme 币似乎更能成为激活市场的“强心针”，而就像上文所提的那样，Meme 币有利也有弊，并不是长久之计，加密市场乃至整个区块链领域的复苏仍需要一个真正能破圈的长期产品或者项目的诞生，同时也需要应用场景的扩展，真正的实现 Web3 到 Web2 的延伸，或许只有突破加密这个圈层的枷锁，把内部的概念与技术运用推广出去，才能将外界的更加广域的流动性引入进来，为整个市场带来更多新的活力与新鲜的燃料。纵然熊市是平静且煎熬的，而漫长的熊市也给市场与行业一个停下来的机会，让我们思考：未来，区块链到底将走向何方？来源：金色财经

金色财经2023-08-03

24小时热点