FX168财经网_全球视野外汇黄金加密货币NFT资讯网

破除「非托管」钱包的安全性神话 a16z寻找新的钱包项目

安全的接口。另外要随机数重复使用，不然黑客会很方便地破解。最后应该遵循「最小特权原则」，让一个泄密账户不会影响其他账户。最后的结论是，托管与非托管其实不重要，决定钱包安全性的因素其实涉及了整个流程，目前还有很大改进空间。 a16z想寻找正在或有兴趣解决以「共享安全开源密钥管理和事务的签名库」以及「共享开源交易审批框架」，包括且不限于：密钥生成库可在不同的存储后端（在磁盘上加密、安全硬件等）实现安全性用于移动和桌面操作系统的密钥管理和事务签名库交易批准流程框架，实施强大的因素验证，例如生物识别、基于PKI的批准、授权恢复等。原文链接： https://a16zcrypto.com/wallet-security-non-custodial-fallacy/ 《与NFT项目和社区建立合作伙伴关系》 Pyrs Carvolth 和 Maggie Hsu 2022年10月13日这篇文章是为Web2品牌以及Web3团队提供了一个建议——如何寻找合适的NFT项并建立合作关系。我认为虽然不乏对NFT项目的洞见，但整体写得很水，把已知的无需强调的事情堆砌成一系列指南。比较有价值的观点是，作者认为虽然NFT项目的创始人为项目奠定了基调，但大多数NFT项目更依赖于社区，因此直接找社区成员以及项目的代理机构展开合作即可。另外，成功的合作一定是建立在放大（或锦上添花）NFT持有者已享有的权益，而不是创造一种新的权益，因为社区可能不care。后面的建议就近似于废话，例如在寻找合作项目时，一定要考虑推广优先，要考虑传播效应。并且沟通时要清晰地表达出自己能够为项目社区带来什么…… 原文链接： https://a16zcrypto.com/building-partnerships-with-nft-projects-and-communities/ 《虚拟社会、区块链和元宇宙》 Elena Burger 2022年10月9日不同领域的人讨论元宇宙，其实讨论的是不同的玩意儿。当我看到大多数关于元宇宙的讨论时，我总有一种感觉——对方是生拉硬拽了一堆自己也不理解的新鲜名词，然后随机组合出了一个看起来宏大新颖的叙事，但实质上还是陈旧乃至陈腐的事物。虽然我也不懂元宇宙，但我知道对方在赌我不知道他也不懂元宇宙。但是这篇文章关于元宇宙的讨论会让人有豁然开朗的感觉。作者认为元宇宙不止是虚拟世界，也不止是可以互操作的虚拟世界，元宇宙并不是替代现实的一个选项（例如游戏），元宇宙就是现实的一部分（例如今天的互联网）。因此允许用户控制身份、强制执行产权、调整激励机制并确保用户（而非平台）获得价值才是最核心的问题，也因此更适合区块链，而不是元宇宙应该是2D还是3D，它应该在VR和AR中沉浸式访问还是在屏幕上之类的问题。 “元宇宙类似于一个倒金字塔，基础设施提供者占据的价值比例最小，而其余的价值是由创造者创造和积累的。” 最后再强调一下，下一代互联网是VR还是AR，还是在桌面或移动客户端上没那么重要，元宇宙需要促进有意义的交互，同时对用户的经济权利做出不可改变的承诺。当然，这么重要的议题不是三言两语就可以介绍明白，欢迎阅读原文。原文链接： https://a16zcrypto.com/virtual-society-the-metaverse-blockchains/ 来源：金色财经

金色财经2022-10-17

久跌不破怎么办

lana生态DeFi平台Mango遭遇黑客攻击，损失超1亿美元。点评：之前是宕机，现在是攻击，要走的路还有很长，生态封闭性暂时还不会打开，熊市表现不会有亮眼的时候，可能宕机和攻击事件对价格影响较小算是亮眼时刻吧。目前Avalanche链上DeFi协议总锁仓量为14亿美元（同样在下降），锁仓资产排名前五分别为AAVE（6.1亿美元）、Benqi（2.37亿美元）、Trader Joe（1.35亿美元）、Platypus Finance（9445万美元）、Stargate（9130万美元）。点评：Solana和Avalanche一直以来都是难分伯仲，目前5亿美元的差距其实可以忽略，相较于Solana具有一定的开放性优势，但是技术上属于同一档。关于以太近期还是在跟随大饼，本月底或是下月初如果下跌，以太跌幅应该会更大一些，这一周ETH2.0合约新质押量虽然超过了7w枚，但是还是在减少，说明以太链上活跃度在下降。大饼的链上情况暂时看起来趋于中性，鲸鱼买卖差距没有拉开，也并不是很活跃，但是5-7年最后活跃供应量超过了100w枚，近两年的高点，不能说是利空，只能说不算利好，供应量大是利空，能换水是利好，熊市中偏利好一点，牛市利空。关于山寨，很多山寨项目其实主要是依靠DeFi在发展，随着很多人恐慌的金融危机要来，我的理解是债务危机要来，债权贬值会带来一系列连锁反应，连带的会波及到很多山寨项目，信任崩塌什么机制都没用了，这也是山寨在熊市中持续低迷的原因，流动性降低。很多都已经跌破六月低点了。说一个上一轮表现还不错的项目，gala，很多项目操作方式大同小异。它的总节点是5w个，截至目前卖出了不到4w个，按照现在9.6w美元一个的价格来计算，日产160枚gala，单价0.36美元，就是每天收益58美元，十万除以58等于1724天，回本需要4.7年，一定要说牛市不是这样的，可以一年回本，那我只能说你永远无法确定牛市何时会来，会持续多久。下一轮牛市拉盘的话，那么抛压就大了，项目初期拉盘是为了卖节点，但是山寨项目一旦成熟，就会出现天量抛压吓得利益相关方不敢拉。反弹博空，下跌不追。不破六月点位不找机会。来源：金色财经

金色财经2022-10-17

Polygon生态周报（10.10-10.16）

ygon 与 EasyA 合作举办学生黑客松 10月22至23日，Polygon 与 EasyA 将合作举办一场学生黑客松，地点在伦敦，总奖金25000英镑。届时将会有 Polygon 团队以及合作伙伴为学生们提供支持和指导。 Polygon 赞助 Moralis x Google 2022黑客松 Polygon 与 Moralis 和 Google Cloud 合作，成为 Moralis x Google 2022 “Defining DeFi Hackathon”的官方金牌赞助商！从 10 月 3 日到 11 月 11 日，全球数百名开发者将构建他们梦想中的 DeFi 应用，争夺 155,000 美元的奖品、赏金和奖励，其中 50,000 美元专门用于 Polygon 赛道。 Polygon Bootcamp Africa Polygon 和 Xend Finance 合作推出的 Polygon Bootcamp Africa 将为期8周的强化教育课程和黑客松，让更多的非洲开发人员加入到 Web3 世界中. 9月26日至10月7日开放申请通道，后期活动持续到12月19日。Polygon 将会提供奖金和指导来鼓励开发者参与。 Polygon Guild Seoul Meet-Up 2022年10月19号，首尔 Polygon Guild 将举行每月 Meet-Up，届时开发者们将可以一起分享讨论关于 Polygon 最新进展。新合作伙伴 PRDT Finance 上线 Polygon PRDT Finance 是第一个完全去中心化的跨链预测平台，用户通过预测并压住正确的资产价格走势而获得奖励。 SupDucks 和 Polygon Studios 合作 SupDucks 是一款 NFT 项目，提供各种稀奇古怪的涂鸦 NFT。每个 NFT 都是由著名艺术家手绘创作而成。 Polygon 一周的 NFT 数据关于 Polygon Polygon 是作为以太坊扩容解决方案和基础设施开发的佼佼者。Polygon 不断增长的生态项目数量使开发者能够轻松的访问所有扩容解决方案和基础设施方案。包括了 Layer 2解决方案（ZK rollup 和 Optimistic rollup）、侧链、混合解决方案、独立链和企业链以及数据可用性等等。目前已有37000多个应用采用了 Polygon 的扩容解决方案，同时 Polygon 还处理了19亿笔以上的交易，拥有约1.6亿多个独立的用户地址，以及保证50多亿美元的资产安全。来源：金色财经

金色财经2022-10-17

Cosmos 的 $8B 生态系统受到严重漏洞的威胁

之一。最近针对它的攻击（在此期间，一名黑客从区块链的网桥中窃取了5.66亿美元）激励 Cosmos 开发人员研究其他 IBC 区块链是否可能容易受到相同的攻击。 Buchman 表示，已经采取措施修补主要的 IBC 区块链。该补丁最初是私下提供的，以便开发人员和验证者有时间在漏洞公布之前更新他们的链。据他介绍，超过三分之一的区块链投票权必须应用补丁才能确保项目安全。Cosmos SDK将于 10 月 14 日 14:00 UTC 发布补丁的公开版本。Buchman 建议所有 Cosmos 链和验证者尽快升级到公共补丁，即使他们已经集成了私有补丁。来源：金色财经

金色财经2022-10-17

应用链理论无懈可击吗？可组合性与自主性的博弈

用资产，但考虑到该行业已经发生的不少的黑客行为，它也降低了安全性。如果我们想让加密货币行业被认真对待，就需要减少黑客攻击造成的价值损失。这并不意味着 IBC 是不安全的，然而，在 BNB 事件之后，我们进行了一些深入的调查。我们发现，一个会影响所有启用 IBC 的链的漏洞。这里我要向 Cosmos 团队致敬，因为他们在造成更多损失之前就发现了这个问题。 2021 年 1 月，Informal Systems 对 Cosmos Go 模块（用于实施 IBC）进行了审计，虽然我不怀疑他们的能力，他们比我聪明得多，但如果能看到其他独立方对该模块进行审计会更好一点。尽管 Informal Systems 没有参与这个模块的 build，但他们直接受益于这个模块，因为他们的业务是建立在这个模块之上的，这就成了一个利益冲突。生态系统内的自相残杀生态系统内的自相残杀主要会对 ATOM Token 产生不利影响。多个协议正试图获得生态系统中不同形式的价值积累，因为 Cosmos Hub 在实施方面进展缓慢。这不一定是坏事，因为它可以被视为为任何人提供价值，而不是成为将其保留在内部的看门人。作为新的 ATOM 2.0 路线图的直接竞争者，需要关注的主要是：Celestia。 Celestia 是一个模块化的区块链，允许其他链连接到他们现有的共识，而不要求他们创建自己的共识机制，为这些链之间提供了共享的安全。其价值主张是，与使用 IBC 和 ICC 相比，在 Celestia 上部署会更加容易。同时，Celestia 还能够通过仅从块而不是整个网络下载随机数据样本的可用性采样与加入其网络的用户数量一起扩展 -> 证明整个块是可用且可验证的。块的大小能够随着用户（轻节点）的数量而增长，因为基础层不需要下载整个块，因此不需要不断增加硬件要求。开发者的复杂性像 Celestia 这样的竞争对手会出现的主要原因之一是 Cosmos SDK 的笨重，与只在 Ethereum 上启动相比，开发者在 Cosmos 上运行和维护自己的链成为一个更大的任务。对于大多数需要受益于可组合性便利的应用程序来说，笨重和孤立可能不是一个好主意。另外，目前以太坊的路线图已经朝着向应用链和 Rollup 的方向发展了，并优先考虑这个方向的发展。IMX 就是一个例子，Arbitrum Nova 也是如此。尽管如此，竞争对行业的发展是健康的，因为用户会从高质量的产品获得更好的体验。那么，谁会从中受益？答案是 ATOM Token，因为他们打算推出链间安全，可以实现更好的价值捕获。当我为应用链争论时，我提到它有利于互操作性，一些人可能已经大概猜到 Synapse 可能值得关注。该团队面对跨链的未来正跃跃欲试，因为它比其他跨链桥协议更好地利用了资本。 Synapse 已经开始建立 Synapse 链，它正在准备一个跨链的信息传递系统，在链之间安全地发送任何任意数据。它将提供一个接口，促进开发者建立跨链用例的过程。 Synapse 还包含 IBC 以外的跨链桥基础设施，它使您能够在 18 个不同的 L1/L2 之间进行桥接。主要收获从区块链的角度来看，应用链理论与当前主流区块链是不同的。虽然你说有其他区块链，如 Solana 和 Avalanche，它们也是 PoS 区块链，但除了速度之外没有明显的差异化。 Cosmos 生态系统提供了一些不同的东西，尽管到目前为止已经发生了令人印象深刻的发展，但仍有很长的路要走。然而，毫无疑问，正在建设的基础设施为该空间提供了一个净收益，因为从用户的角度来看，应用建立在什么链上并不重要——只要它易于使用并能吸引需求，人们就会使用它。因此，Cosmos 和以太坊是一个道理。但是，当协议发布时，我会对不使用链间安全的协议采取一些预防措施，特别是如果他们没有大量使用 Cosmos SDK 的成熟经验。最后，这是跨链基础设施的第一次迭代，毫无疑问，随着时间的推移，人们在各个链上的体验会更加丝滑无缝。你对跨链的未来有什么看法？来源：金色财经

金色财经2022-10-17

NFT周刊｜Yuga Labs接受SEC调查;霍普金斯NFT系列藏品售罄;CNN关闭NFT市场The Vault

pto市场仍然出现了热门新闻，其中包括黑客、漏洞攻击、DevCon Bogata等戏剧性事件，以及Coinbase和谷歌合作云支付等新交易。这些新闻导致Crypto领域在上周十分热闹，让NFT几乎没有余地引起轰动。尽管如此，我们还是会回顾和总结过去一周NFT相关事件。接下来让我们看看一下上周NFT领域重要新闻。 Yuga Labs接受SEC调查围绕NFT的新法规可能会列入美国证券交易委员会（SEC）的未来议程，因为上周早些时候有报道称，SEC正在调查NFT的巨头企业Yuga Labs。该公司运营着Bored Ape Yacht Club、Meebits和CryptoPunks等几个蓝筹NFT项目。此外，据相关报道，SEC正在调查Yuga的ApeCoin是否属于证券。霍普金斯的NFT系列藏品售罄奥斯卡获奖演员安东尼·霍普金斯最近一段时间在社交媒体上表达了对NFT的浓厚兴趣。就在上周，霍普金斯终于发行了他的NFT系列藏品，热度一度达到顶峰，并收到了众多用户追捧，其NFT系列发行不到10分钟就被一扫而空。霍普金斯发行了1000枚Eternal NFT系列，其中包括其演员生涯中各种知名的角色形象。该NFT系列是霍普金斯和NFT市场平台Orange Comet的合作项目，但他们选择在OpenSea上首次亮相。印度NFT产业估值33亿美元，累计平均增长率为61.6% 数据显示，印度NFT产业目前估值为33亿美元，累计平均增长率为61.6%，预计到2028年将达到270亿美元。此外，总部设在印度的NFT企业占全球总数的5.02%，仅在2021年，印度就新增了71家NFT初创公司，目前有86家活跃的NFT初创公司。 Konami是NFT市场的下一个头号玩家? 市值10亿美元的日本企业科乐美(Konami)是一家游戏娱乐巨头，公司下一步将进军NFT市场。科乐美旗下拥有《合金装备》、《寂静岭》、《游戏王》等著名游戏IP。其公司代表表示：“我们将计划推出一项服务，让玩家可以通过使用区块链的独特分销平台交易游戏内的NFT。” 说唱明星Snoop Dogg合伙人加入Gala音乐董事会在说唱明星Snoop Dogg于2月收购Death Row Records后，他会将Death Row转变为由区块链技术支持的NFT标签。 Snoop的品牌合作伙伴经理Nick Adler与唱片公司执行DJEFN、格莱美提名音乐家BT和Tupac Shakur的前任经理Leila Steinberg一起加入了新成立的Gala Music顾问董事会。 Oneof与Ziggy Marey达成合作 NFT音频平台OneOf本周将与音乐合作伙伴Ziggy Marley达成合作。这位牙买加雷鬼歌手有着万众瞩目的天才音乐血统，同时也是OneOf迅速扩张音乐市场的重要保障。从下周开始，合作双方将发布第一批NFT系列藏品，同时也将在其NFT版本中发布各种“IRL体验”，其中包括了热门歌曲的demo、签名吉他，甚至还有含有版税的特殊商品协作发布的机会。 OpenSea日成交量触及15个月低点上周早些时候，OpenSea的日成交量触及15个月以来历史新低，令一度高涨的市场日成交量回落至去年底股市繁荣之前的水平。与以往的峰值市场相比，本周OpenSea市场成交量总体上是缺少后劲的，在上周的工作日中，只有一天成交金额超过了1000万美元。尽管其在市场上仍有强劲的综合数据，但峰值相较去年已经发生下降，好在OpenSea蓝筹NFT受到的影响小于小型NFT项目。虽然市场停滞，但OpenSea仍然有理由庆祝，NFT市场OpenSea宣布其增加了对Avalanche网络的支持，使OpenSea上支持的区块链总数达到7个。用户现在可以在OpenSea上展示、列出和交易他们基于Avalanche的NFT。最近增长迅速的Avalanche显示出了自己在NFT赛道的强劲竞争力。 CNN关闭NFT市场The Vault CNN关闭了运营一年多的NFT市场The Vault，然而CNN这一举动让社区用户感到不满。因为最近几个月The Vault才发布了未来一年的发展路线，CNN突然将其描述为“实验性项目”并宣布关闭，颇有Rug Pull的意味。到目前为止，CNN发布的NFT藏品被存储在分布式文件IPFS中，这些NFT将继续在平台上得到支持，但周边社区以及平台将不再得到支持和维护。到目前为止，几乎没有新闻机构能在NFT市场取得成功。来源：金色财经

金色财经2022-10-17

听a16z讲安全：钱包的「非托管」谬论

法访问密钥。直到一系列「非托管」钱包黑客事件——9 月 Wintermute 私钥遭「暴力破解」损失 1.6 亿美元，8 月侵入超过 8000 个账户的 Slope 钱包黑客，2020 年盗取超过 200 万美元 IOTA 的 Trinity 钱包黑客，2017 年窃取 15 万 ETH 的 Parity 钱包黑客，以及各种硬件钱包漏洞，模糊了托管和非托管钱包之间的安全界限。在此类案件中，受害者认为自己使用的是一个非托管钱包，但发现私钥竟然被盗。事实上，非托管钱包并不能真正让用户完全控制自己的密钥，因为钱包通常是由他人的软硬件创建和运行的。用户在不断地信任第三方产品。这些产品集成或使用着区块链命令行接口、钱包软件和设备、中心化平台、智能合约代码、去中心化应用程序，而每一个接触点都增加了风险。所有这些连接点加起来粉碎了人们对「非托管」概念的美好幻想。「非托管」实际上可能涉及许多托管元素。一般来说，密钥管理（钱包安全的基础）可以分为三个方向： 1.密钥生成（创建加密密钥）； 2.密钥存储（保护静态的密钥）； 3.密钥使用（使用密钥授权）。每个方向都有独特的风险点。本文将介绍加密钱包安全和托管平台的特征和缺陷，涵盖未来最需要关注和发展的领域，旨在帮助 Web3 用户更好地理解以非托管方式保护加密资产的复杂性。此外，我们也想帮助工程师识别和避免钱包开发中的常见故障点，借助我们多年来在 Docker、Anchorage、Facebook 和 a16z 加密系统中的综合经验，帮助用户和项目方避免安全事故。密钥生成密钥生成步骤的安全至关重要。在这个环节，有三个首要问题需要牢记：使用可靠的代码、正确地实现代码和安全地处理输出。一些钱包提供商在他们的官方网站或 Github 存储库上发布的审计报告。自己做调查，试着确定钱包背后是否有信誉良好的公司。如果信息稀少，那么重要的用户和开发人员的活动可能会是参考指标。遵循这些指导方针来减少风险。如果你的钱包没有通过以下检查，赶紧跑吧。不使用没有经过足够长时间的检验的钱包组成钱包的代码应该有良好的声誉。选择编写得很差的软件，或者尝试开发自己的替代方案可能会导致诸如密钥泄漏或向未授权方透露机密信息等「灾难事件」的发生。使用有多重保险的钱包即使代码使用信誉良好的密码库，也必须被正确集成。经过审核的软件通常会默认设置正确的参数，但在执行过程中可能会出现漏洞。对于某些密钥生成过程，例如许多多方计算（MPC）算法，其中必须生成和协调许多单独的密钥——或密钥碎片，密钥片段，钱包应该遵循算法指定的协议。该算法可能还需要进行多轮计算和刷新密钥，钱包必须正确集成这些密钥，才能维护资金的安全。使用能「保守秘密」的钱包密钥生成过程的最后阶段涉及到软件的实际操作和输出。注意密钥是在哪里生成的以及以什么形式生成的。理想情况下，密钥应该在独立的硬件中生成，信息应该使用可靠的算法进行加密。今年夏天遭到黑客攻击的 Slope 钱包的密钥生成后，以明文形式登录到外部服务器。这种安全漏洞可能出现在代码的审计或开源实现中。缺乏透明度的钱包——以封闭的源代码为特征，对公众没有可用的第三方安全审计应该引起警觉。密钥存储密钥生成后，它们需要被隐藏在某个地方（不以明文形式，永远加密）。但是，仅仅拥有存储密钥的设备并不一定等同于密钥的所有权和控制权。必须考虑许多因素，如设备的供应链安全、设备的连接方式以及设备与哪些其他组件交互。此外，每种存储方法在安全性、可访问性、可维护性和可用性之间都有自己的权衡。下面，我们根据相关的所知的风险水平对最常见的钱包安全类别进行了分类。高风险：热钱包在其他条件相同的情况下，冷钱包比热钱包更安全，但它们也更难用。连接到任何网络的钱包都更容易被黑客攻击，因为它让攻击者有更多机会发现和利用漏洞。热钱包联网有两种形式： · 连接软件：在线数据库或 Web 服务器应用程序内存、浏览器扩展这些风险最高。因为钱包软件不管是否托管，都可以直接访问密钥——所有这些都与外部互联网相连。理想情况下，密钥应该是加密的，而用于加密它们的另一组密钥应该存储在专用的密钥管理系统（KMS）中，该系统具有高度限制的访问控制，如操作系统密钥链或云密钥管理系统。 · 连接硬件：专用设备、移动安全区域、在线硬件安全模块（HSM）连接硬件通常被认为比连接软件风险更低，但它仍然不如冷存储安全。在连接的硬件中，密钥只生成在专用硬件设备中。然后这些可以连接到内部或公共网络。这类设备通常承担与密钥管理相关的多重责任，包括密钥生成、签名和存储的安全性。还有硬件钱包，如 Trezor 和 Ledger。也有硬件安全模块，或称 HSM，通常用于更传统的业务设置，如处理敏感数据处理（如信用卡支付）的设置。设备的安全程度取决于生产和配置它们的供应链。当考虑连接硬件时，最好直接从可信的供应商那里购买设备。直接从源头运过来，确保包裹看起来没有损坏。也可以在使用之前验证固件版本和配置。当然，硬件钱包以后总是有可能被盗或被未经授权的一方访问。鉴于这些威胁，重要的是要确保硬件钱包也有安全的访问控制层——安全措施确保它们不会盲目地签署任何和所有的交易。控制可以包括密码要求、对交易的每一步要求明确许可的提示，以及描述交易实际操作的简单摘要。此外，大多数硬件钱包支持私钥加密，也称为「密钥包装」。风险较小：冷钱包在其他条件相同的情况下，冷钱包通常被认为比热钱包更安全，尽管它们通常也不太好用。冷钱包与任何内部或公共网络都没有连接。让我们回顾一些冷钱包选项： · 离线软件：离线服务器应用因为攻击者可以在任何时候偷窃或使机器在线，冷钱包应该设计在线时的安全系统。与连接软件相比，强烈推荐特殊用途的硬件，如 HSM，因为它们通常提供更多的控制。 · 离线硬件：离线硬件钱包、离线硬件安全模块（HSM）这种解决方案被认为是最安全的。与前面的类别类似，我们应该假设硬件可以被窃取并在线获取。因此，正如前面所讨论的，这些系统必须包含正确实现的访问控制层。许多 HSM 供应商要求在解锁密钥访问之前，必须有一定数量的物理智能卡聚集在一起。即使设备没有显示屏幕，它也应该为用户提供一些方法来验证交易的细节。因为冷钱包或离线钱包是最安全的一类，所以大公司管理的大多数资金都以这种方式存储，如 Coinbase 、Gemini、Kraken 等，以及 Anchorage。这些玩家中的许多人还会选择另一道防线——备份和恢复，以防万一他们失去访问权限，或者机器损坏、被盗或被摧毁。备份和恢复签名密钥应该在加密后进行备份。加密签名密钥和密钥包装密钥的重复是至关重要的。备份签名密钥的方法各不相同，但应该始终选择硬件本机解决方案。对于硬件钱包，备份通常涉及一个纯文本种子，从该短语派生出私钥。标准加密密钥具有可以导出密钥的机制，这些密钥在默认情况下使用访问控制进行加密。如果满足访问控制，则可以将密钥导入其他 HSM。大量的 HSM 还可以提供一个通用的加密密钥，该密钥来自于智能卡的法定数量。以这种方式将硬件与关键材料分离有助于避免单点故障。最后，还要考虑人为因素。恢复机制应能够承受帐户管理业务中涉及的任何个人的临时或永久不可用的情况。个人应确保在发生停机或其他紧急情况时，提供收回密钥的方法。与此同时，群体运营应该确定一个人数，在突发事件发生时能继续运营。密钥使用在生成并存储密钥之后，可以使用它们创建授权交易的数字签名。软件和硬件的组合越多，风险就越大。为了降低风险，钱包应该遵守以下授权和身份验证指南。可信任，但也要验证钱包应该需要验证。换句话说，应该验证用户的身份，并且只有授权方才能访问钱包的内容。这里最常见的安全措施是 PIN 码或密码短语。更高级的身份验证形式可以包括生物识别或基于公钥加密的批准，例如来自多个其他安全设备的加密签名。不要使用没有经过足够长时间的检验的钱包钱包应该使用完善的密码学库。做一些调查，以确保它们被审计和安全，以避免密钥材料泄漏或完全丢失私钥。使问题更加复杂的是，即使是受信任的库也可能具有不安全的接口，正如最近这些 Ed25519 库的情况一样。 Nonce 重用一个经过充分研究的密钥使用陷阱是某些加密签名参数的无意重用。有些签名方案可能需要一个一次性的意思，「只使用一次的数字」（一个任意的数字），意味着在一个系统中使用一次。因此，要确保正在使用完善的加密库。但这种攻击载体在 Web3 之外的高调黑客攻击中也曾被利用过，比如 2010 年的索尼 PlayStation 3 黑客攻击。一密钥一用另一个最佳实践经验是避免为多个目的重用同一密钥。例如，应该为加密和签名保留单独的密钥。这遵循了在妥协情况下的「最小特权」原则，这意味着对任何资产、信息或操作的访问应该仅限于对系统工作绝对需要的各方或代码。根据不同的用途，不同的密钥对备份和访问管理有不同的要求。在 Web3 生态中，最好的做法是在资产和钱包之间分离密钥和种子短语，这样一个帐户的泄露不会影响其他帐户。总结从生成到存储到使用的许多相互作用的部分和阶段，密钥的保管是一个棘手的问题。密钥所有权的托管或非托管性质并不像传统观念所认为的那样非黑即白。由于涉及到密钥管理的许多移动部分（从密钥生成到存储再到使用），情况变得复杂起来。这条链上的每一个硬件或软件都会引入风险，甚至会使原本不属于托管型钱包的选项暴露在托管型风险之下。对于未来，我们希望做更多的开发工作来保护钱包免受攻击，并降低上面讨论的风险。有待改进的领域包括： · 跨移动和桌面操作系统共享安全的开源密钥管理和交易签名库； · 共享的开源交易审批框架。还有共享和开源的开发： · 在不同的存储后端（在磁盘上加密，安全硬件等）实现最佳的安全密钥生成库； · 用于移动和桌面操作系统的密钥管理和交易签名库； · 交易审批流程框架，实现专门验证，如生物识别、基于 PKI 的审批、授权恢复等。来源：金色财经

金色财经2022-10-17

社区生态 | Gate.io成为2022波场黑客松大赛第三季合作伙伴

消息，Gate.io已成为2022波场黑客松大赛第三季合作伙伴。与此同时，Gate.io业务发展主管Mariela Tanchez将担任本季评委。 Gate.io是全球知名数字货币交易平台之一，专注数字资产的安全交易与自由流通。Mariela Tanchez一直是积极的区块链倡导者，其具备5年的加密领域工作经验，并参与了上一季的评审工作。大赛第三季共设置六大赛道，总奖金池达120万美元。目前，项目提交正在火热进行中，欢迎大家踊跃参与。来源：金色财经

金色财经2022-10-17

怎么回事？以太坊恐面临美国政府审查重磅曝光：48%合并以太坊“由中心化实体所创建”

去中心化，细节将于下周公布。以太坊遭黑客盯上为超过600亿美元用户资金提供保护的Web3漏洞赏金及安全服务平台Immunefi在11日发布2022年第三季加密货币产业损失报告，指出2022年迄今为止，加密货币产业已损失23亿2891万7320美元。 Immunefi透过新闻稿表示，在2022年第三季，加密货币产业损失4亿2871万8083美元，此数字较2022年第二季的6亿7069万8280美元有所下滑，而与2021年第三季的11亿5533万4775美元相比也下降62.9%。本年第三季的大部分损失源自Nomad Bridge和Wintermute，这两个项目造成3.5亿美元损失，占此季损失金额比重达79.85%。根据该报告，2022年第三季，黑客攻击仍是造成损失的主要原因，占损失总额比重高达93%，相较之下欺诈、诈骗、 Rug Pull仅占损失总额比重7%；而去中心化DeFi是攻击的主要目标，占总损失98.8%，中心化CeFi占总损失1.2%。值得注意的是，BNB Chain 、以太坊是今年第三季黑客攻击最多的区块链，加总起来占区块链攻击总损失达51.8%。BNB Chain遭受的攻击次数最多，共发生16起攻击事件，占区块链攻击总损失的28.6%，以太坊发生13起攻击事件，占区块链攻击总损失23.2%。#NFT与加密货币# (来源:Immunefi)

小萧2022-10-17

请重新认识欧易他不只是一家交易所

k的数据，2020年共有15起DeFi黑客攻击事件，被盗资金达1.2亿美元，而这个数据在此后的两年变成冰山一角。链游巨头Axie的Ronin被盗6.1亿美元，成为史上最大的盗币案；最近的Transit Swap遭受攻击，导致用户钱包资金被盗，损失超过2000万美元。安全事故频发，跟玩家随意给项目提供签名授权有很大关系。安全是欧易Web3钱包另一个下功夫的地方，笔者发现了这三个比较有特色的点。一是创建、导入钱包的时候私钥不触网，避免泄露的风险；二是接入一个名叫天眼KYT的系统，上面拥有2亿个链上地址标签，当我们进行转账或者合约交互，如果涉及风险地址，就会弹出提示；三是自带类似Debank的授权管理。很多钱包并不会配备这项功能，用户必须另外寻找一个第三方授权检测平台，欧易钱包是支持一键管理合约授权的。抛开安全性不谈，钱包作为一款工具，理论上讲，在开发难度上没有特别高的技术壁垒，市面上的钱包应用也不在少数。那么，欧易钱包里面应该还有其他门道，来支撑欧易对Web3的布局。别有洞天，CEX里的DEX 链上交易 DeFi普及之前，我们进行加密交易绝大多数在中心化交易所完成，这个过程会涉及两个层面。一个是不可避免的注册流程，而且还得KYC身份认证。我们都知道中心化交易所有交易便捷、体验门槛低，用户不需要管理私钥诸多优点。但私钥和资金全部给到交易所托管，他们私自操控资金的权力过大，交易所跑路的事件这些年屡见不鲜。第二个是做市。传统交易所中的做市，都是通过订单薄。这里面有两个角色，一个是做市商负责挂单（Maker），一个是交易者负责吃单（Taker）。专业的做市商会同时负责买卖两个方向的挂单，给市场稳定提供报价和流动性，避免某个币价格产生很大的交易滑点。这些中心化交易所掌握着我们的交易资产和数据，也很有可能从中操控，损害我们的利益。直到Uniswap的横空出世才彻底改变这个局面，Dex最为核心的组件是AMM LP 流动资金池。我们的交易都是在链上进行，通过底层公链的智能合约去存放和撮合我们的资产，交易变得透明，也避免中心化交易所的暗箱操作，说Dex是加密史上最重大的一次创新都不为过。那么欧易做的Dex跟Uniswap相比，有什么特色？可以看到，它的界面整体较为简洁，目前Dex里面聚合了100+主流Dex，涵盖各个链的代币，支持滑点设置和Gas费预览。除了上面的特点，Dex还有一个优势，就是解决中心化交易所上币的难题。我们经常遇到一个问题，手机同时拥有多家交易所App，但是想要交易的币种，要么只有某家有，要么都没有，只能跑到链上去操作，使用起来很不方便。在Cex里有个Dex，应该更能满足我们日常的大部分操作需求。聚合交易笔者还发现，欧易的DEX为了保证交易对的广度和深度，加上了自家的智能路由拆单算法，可以降低滑点，节省Gas费。整个基础框架是以1inch为基础，再连接到这些主要的去中心化交易所，比如 Uniswap、Curve 和 0x 。随着越来越多的DeFi项目进入Web3，DeFi的流动性变得很分散，链上产品越复杂，用户对聚合工具的需求就越大。从数据上看，整个市场聚合交易的占比保持在总交易的20%左右。聚合器对巨鲸和散户来说，有不小的价值，不仅多了交易路径的可选项，也优化了交易费用。跨链交易 Web3发展到如今，形成了一个应用公链恒强的局面，剔除掉几个稳定币，市值前20名基本为公链项目。而且是以以太坊为公链头部，其他公链众星捧月的格局。过去有一类观点，以太坊是万链之王，其他公链会黯淡然后灭亡。但至少目前来看，很长一段时间都会是多链齐头并进。以太坊在完成POS升级到2.0完全体的这段空档期，性能不足、网络拥堵、Gas费高的缺陷，其实并没有很大的改进。 Layer2对性能的扩展，包括其他Layer1公链对以太坊缺陷的弥补，成就了目前的多链繁荣生态。（下图为公链TVL排名）这些公链上的资产达到一定规模，每个链进行资产跨链的需求会越来越强。包括最近以太坊升级引发的分叉产生的ETHW链，笔者身边很多玩家都有跨资产到上面体验的需求。过去这种跨链，我们要在CEX和DEX之间不停切换。比如先把自己以太坊上的资产转移到CEX，再通过CEX转移到对应链。这个过程不但繁琐，多次充提也需要消耗不少Gas费。而且像AVAX链设计比较复杂，我们在这条链充提可能都整不明白。还有一点，这些CEX充提机制都不太一样，充提的规则和到账时间有很大的区别，可能我们充值数个小时都不到账。这个时候需要一个跨链聚合工具，把各个链形成的孤岛串连起来，更顺滑流畅的在各个链往返。笔者看到欧易也提供了跨链交易的功能，目前支持ETH、BNB Chain、Polygon 在内的 8 条 EVM 主流公链。如上图，一键把Usdc从以太坊转到二层网络Optimism，交易深度不俗，一些偏门山寨币的深度会相对较差。有一点很方便，我们在跨链的时候，可以一键勾选自动兑换目标链的 Gas Token，下次交易就不必再转入 Gas Token，比较人性化。 NFT这块蛋糕，怎能落下 NFT跟同质化代币不一样，它不可分割，更注重单代币背后的衍生价值。最早以ERC-721标准出现，在17年通过加密猫进入大家的视野。当时也仅仅是加密猫的单点爆发，在牛市结束之后便随着市场一起沉溺消失。而现在的NFT更有多点开花的意味，跟DeFi并驾齐驱。从体育、艺术、头像到游戏扩散，又在以太坊到Solana多链发展。奥迪、腾讯、NBA、明星纷纷入场，彻底出圈。甚至说不少用户对Web3的认知，就是源于NFT的这波浪潮，而非比特币、以太坊这类同质代币。以数据作为可视化依据，NFT市场最高时有近400亿美元的市值。而在2年前，这个数字仅仅是1000万-4000万美元。 NFT用户数量也在节节攀升。从宏观层面看，毋庸置疑，NFT 赛道正在兴起。这块蛋糕想必欧易不会错过，笔者发现，欧易 Web3 钱包的第三个板块，正是其自家的NFT市场。目前欧易NFT市场主要包括「市场」、「发行/IGO」2个主要功能。「市场」是NFT的二级交易市场，买家和卖家进行自由交易。「发行/IGO」是NFT项目的首发场所，我们可以通过白名单或者抢购的方式，低价买到NFT。目前接入了NFT龙头OpenSea，且支持ETH、BSC、OKC、Solana、Polygon、Avax、Arbitrum等多链，这些链的NFT资产都可以在钱包里面查看和交易，在多链的支持上，做的比较到位。除此之外，欧易NFT市场有两个比较大胆的功能。一个是交易NFT免手续费，另一个是支持链下挂单、免费上架，看来为了争夺NFT的市场份额，欧易有所准备。 DApp探索，乐在其中据stateofthedapps.com的统计，截至当前，各个公链的Dapp数量（黑线）突破4000个，每日都在增加。随着多公链发展，Dapp更如雨后春笋。在DeFi最高光的前两年，钱包是否契合公链生态发展成了钱包生存的根本之一。而那些不跟随市场节奏的钱包，都死在那个DeFi最为绚烂的夏天。钱包的Dapp发现区，显得尤为重要。笔者点击到欧易钱包最后一个板块「发现」，欧易除了给玩家提供定制化的Dapp资讯和应用，用户也可以通过内置的搜索，探索更多的去中心化应用。笔者看到欧易近期公告称将在Aptos主网上线后及时接入钱包，可见欧易对市场动态和热点也较为敏感。到时候我们通过钱包发现区，发现Aptos生态的项目，或许会更加方便。欧易，不只是一家交易所在体验完欧易的Web3钱包之后，笔者感慨，欧易或许不只是一家中心化交易所。你可能记得在DeFi狂夏曾经市场兴起的一场提币运动，当时所有DeFi代币暴跌，用户把矛头指向中心化交易所，认为CEX拿着用户的代币挖矿，砸向市场。DEX用实力向市场证明，它从无人知晓，到有一定的能力去阻挡过往中心化交易所的垄断作恶。你可能也记得就在今年年初，Luna的暴雷引发了一场浩浩荡荡的金融连锁倒塌反应。多少中心化交易所由于不顾风险，长期存在挪用用户资产寻求更高收益的行为，在这次危机中因流动性枯竭而溃败。中心化和去中心化的孰优孰劣市场争论不休，也很少人能以中立的角度看待两者的各自补充。中心化黑暗操纵固然可恶，而去中心化“代码及法律”不可磨灭的烙印，也让用户的安全暴露在没有庇护的烈日下。说到底，还是用户之争，用户的诉求是亘古不变的核心，介于两者之间或许是市场未来相当长一段时间的最佳状态。欧易似乎就是采取了这种策略，CEX+DEX齐头并进，欧易原本的主体是CEX，而Web3钱包代表着新的DEX侧。如果还停留在以往对中心化交易所的认知，可以试着重新认识欧易，他可能不止是一家交易所。来源：金色财经

金色财经2022-10-17

24小时热点