FX168财经网_全球视野外汇黄金加密货币NFT资讯网

深度解析拥有明星投资阵容的Movement

为智能合约中的漏洞被攻击者利用，每年被黑客攻击导致资金损失的项目不计其数。 2. 开发调试难度：Solidity的开发和调试过程较为复杂。由于区块链的不可变性和去中心化特性，开发者很难在主网环境中直接调试合约。虽然有诸如Remix和Truffle等开发工具，但调试仍然需要一定的技巧和经验。 3. 学习曲线陡峭：对于传统的Web开发者来说，Solidity的学习曲线较为陡峭。Solidity是一个类似于JavaScript的编程语言，但它引入了区块链特有的概念，如Gas费、合约状态等，这使得初学者需要花费更多时间来掌握。 4. 合约升级困难：Solidity智能合约的升级是一项挑战，因为合约一旦部署到区块链上就不能修改，所以在合约需要功能更新或修复错误时，开发者往往需要使用代理模式等复杂的设计模式来实现合约的升级，这增加了开发的复杂性。 5. Gas成本优化：Solidity代码的执行会消耗Gas，而Gas的成本直接影响用户的使用体验和开发者的成本控制。编写高效的Solidity代码以减少Gas消耗是开发者必须考虑的问题，但这往往需要对EVM（以太坊虚拟机）的深入理解。 6. 合约复杂度管理：随着智能合约功能的增加，代码的复杂性也会增加，管理复杂合约变得更加困难。复杂合约容易出现意外行为，难以测试和维护，这对开发者提出了更高的要求。 7. 工具和生态系统不够成熟：尽管以太坊有一套相对完整的开发工具链，但与传统开发生态系统相比，Solidity及其相关工具仍有较大的改进空间。一些工具可能功能不全或存在兼容性问题，影响开发效率。这些痛点使得Solidity开发需要开发者具备较高的专业技能，并且在开发过程中需要谨慎处理，以避免潜在的安全风险和高额的Gas消耗。幸运的是Move语言因其独特的优势，可以解决Solidity语言中存在的很多问题，比如： 1.安全性高：Move语言专注于资源安全管理，设计时就考虑到了防止常见的区块链攻击，如重放攻击和双花攻击。它通过类型系统和资源模型来确保资产的安全管理，使得资源只能以特定方式创建、销毁或转移，避免了不安全的操作。 2.资源模型：Move使用了独特的资源模型，将资产（如代币）视为“不可复制和不可丢失”的资源。这意味着资产在转移时只能从一个所有者转移到另一个所有者，消除了重复创建或意外丢失资产的风险。 3. 灵活性和模块化：Move语言支持模块化设计，使得开发者可以重用代码，创建更加复杂和可扩展的智能合约。此外，Move的类型系统允许定义自定义的资源类型，使得开发者可以构建复杂的金融和商业逻辑。 4.形式化验证：Move语言支持形式化验证，这使得开发者可以在代码部署之前验证智能合约的正确性，进一步提高了安全性。通过数学证明的方式来验证智能合约行为，可以减少智能合约的漏洞和错误。 5.并发处理：Move设计中考虑了并发执行的需求，支持多个交易的并行处理。这对于区块链网络的性能提升至关重要，能够显著提高区块链的吞吐量。 6.适应性强：虽然Move最初是为Libra/Diem设计的，但由于其独立于具体区块链的特性，Move可以适配到其他区块链平台上。已经有多个区块链项目（如Aptos、Sui）开始采用或探索使用Move语言。这些特性使得Move语言在开发安全、高效、灵活的智能合约时具有显著优势。而EVM在当今加密领域的地位几乎无法撼动，那么有没有一种既能利用Move语言的优势又能将EVM连接打通的方案呢？这就是今天的主角Movement的诞生背景。什么是Movement？简单的来说Movement就是要将安全高效的MOVE语言引入EVM生态，Movement由M1和M2两个核心组件构成，通过M1和M2的结合，提供了一个安全、高效、去中心化的区块链生态系统。Movement 是一个模块化框架，用于在任何分布式环境中构建和部署基于 Move 的基础设施、应用程序和区块链。团队正在构建一套产品和服务，使非Move协议能够利用Move编程语言的强大功能，而无需编写一行Move代码。团队的第一个版本 M1 将 L1 重新定义为可垂直组合和水平可扩展的第1层框架，该框架与 Solidity 兼容，连接 EVM 和 Move 流动性，在如今的加密市场中，公链开发的技术层面已经相当内卷了，吸引足够多的用户和资金入场才是公链能否持续生存的关键因素，而Movement另辟蹊径，打通与EVM的流动性，使其生态可与EVM取得互操作性，从而可直接获得EVM所带来的用户和资金。工作原理 Movement网络有三个主要组件可增强其性能、安全性和互操作性：移动执行器、质押结算模块和去中心化共享排序器（M1）。每个组件在确保基于 Move的rollups 运行方面都发挥着至关重要的作用。 1.移动执行器 Move 执行器是 Movement-SDK 的核心组件，支持 MoveVM 和 EVM 字节码。这种双重兼容性提供了强大的执行环境，使开发人员能够利用 Move 语言的高级功能，同时保持与现有以太坊应用程序的兼容性。Move 执行器将MoveVM 的并行执行功能与现有的 EVM解释器集成在一起，确保了兼容性和可扩展性。质押结算模块：质押结算模块旨在为 Move Rollups 网络内的交易提供快速终结性。通过利用质押资产来验证状态转换的证明者网络，该模块可确保较高的经济安全性并减少延迟。验证者质押资产并证明状态转换的正确性，将质押的安全性优势与快速交易终结性的效率相结合。 2. 安全机制：以太坊结算，验证者质押资产以提供经济安全，确保网络完整性中的重大经济利益。zk 和 Optimistic Rollups：zk-rollups 通过有效性证明提供安全性，而 Optimistic Rollups 则依靠挑战期来解决争议。这两种方法的延迟和计算成本都较高。 Staked Rollups：与 zk 和 optimism Rollups 相比，它能提供快速的终结性和较高的经济安全性，无需大量的证明生成或挑战期，从而减少延迟并改善用户体验。与其他Rollup:与 zk-rollups 不同，Staked Rollups 不需要昂贵的证明生成设备。与乐观汇总和 zk-rollups 相比，Staked Rollups 显著降低了延迟，并在几秒钟内完成。快速终结对于互操作性和原子跨 rollup 交易至关重要，这使得 Staked Rollup 成为许多应用程序的理想解决方案。 3. 去中心化共享排序器（M1） M1 排序器是一种去中心化和共享的排序机制，可增强网络稳健性、公平性和抗审查性。通过提供可定制的交易排序，M1 支持 Move Arena 生态系统中的跨链原子交换和池化流动性。此共享排序器可确保所有参与汇总的交易排序公平高效。项目团队 1. Rushi Manche：Movement Labs 联合创始人，此前是 Aptos 软件工程师； 2. Cooper Scanlon 从范德比尔特大学退学后打造了一个 SPAC DAO 工具。完成该合资企业后，他与 Move 建立并审计了第一个收益聚合器。然后，他创立了 Movement Labs，这是一家下一代基础设施公司，将区块链环境与可组合的 Move 模板统一起来； 3. Franck Cassez 是 Movement 的研究主管，此前他曾是 Windranger Labs 的区块链研究主管，他还曾在 ConsenSys 任职。他拥有南特中央大学的计算机科学博士学位； 4. Andy Bell 是 Movement Labs 工程主管，毕业于诺丁汉大学，此前是 Biconomy 工程副总裁、Ajuna 首席技术官； 5. Brian Henhsi 是 Movement Labs 的战略主管，毕业于清华大学此前他曾在 Sui / Mysten Labs 和 Chia 任职。投资机构 1.2023年9月13日Movement Labs 完成 340 万美元的 Pre-Seed 轮融资，由Varys Capital、dao5、Blizzard The Avalanche Fund、Borderless Capital 及其专注于 Wormhole 生态系统的跨链基金领投； 2.2024年4月25日Movement Labs 完成 3800 万美元 A 轮融资，Polychain Capital 领投，Hack VC、Foresight Ventures、Placeholder、Archetype、Maven 11、Robot Ventures、Figment Capital、Nomad Capital、Bankless Ventures、OKX Ventures、dao5 和 Aptos Labs 等参投； 3.2024年5月7日 Movement Labs完成了由Polychain Capital领投的3800万美元A轮融资，Hack VC、Foresight Ventures、Nomad Capital、Bankless Ventures、OKX Ventures等投资机构参投，同时Binance Labs也宣布投资Movement Labs。我们可以看到Movement的明星豪华投资阵容非常强大，这种投资阵容项目的测试网我们尽量都去参与交互一下，后期应该会有不错的空投预期。项目发展目前Movement上的生态项目已经达到了一百多个，涵盖Gaming、Wallet、NFTs、SocialFi、DeFi、Infra等多个板块，这对于一个仅仅在测试阶段的公链来说已经非常繁荣了，这也代表Movement团队的强大同时也表明其他项目对Movement的前景非常看好。同赛道项目对比 Movement和Aptos以及SUI有什么区别？ 1.Movement： Movement是一个新的区块链项目，旨在通过提供去中心化金融（DeFi）和去中心化应用（DApp）的解决方案来增强区块链生态系统的功能性和效率。特点：可能包括高吞吐量、低交易费用和强大的安全性。 2.Aptos： Aptos是一个以开发高性能智能合约平台为目标的区块链项目。它是由前 Facebook 的 Libra 项目团队（现在称为 Diem）的一部分发起的。特点：APTOS 注重于高性能、可扩展性和安全性，致力于解决传统区块链的扩展性问题，并支持复杂的智能合约和去中心化应用。 3.SUI： SUI 是一个相对较新的区块链平台，目标是提供一个去中心化、可扩展的网络环境，用于支持各种去中心化应用和金融服务。特点SUI可能强调高吞吐量、低延迟和用户友好性，同时也可能提供支持创新功能的开发工具和平台。这三个项目各有其独特的设计理念和技术实现，适合不同的应用场景和需求。总结： Movement自身定位是第一个以太坊上的MOVEEVM的L2，其作为一个模块化的Move区块链框架，具有很大的发展潜力，Move作为一种新的智能合约编程语言，提供了更高的安全性和灵活性，Movement利用Move开发语言的先天优势，可能会吸引更多开发者和项目使用其框架。Movement的模块化设计可以提高区块链系统的灵活性和可扩展性，开发者能够根据需求选择和组合不同的模块，简化开发过程并提高效率。作为一个新兴框架，Movement 需要证明其技术的成熟性和稳定性，以赢得市场信任，区块链领域竞争激烈，其他框架和平台的创新也可能对 Movement 形成威胁，Movement 需要不断创新和优化，以保持竞争力。我们期待 Movement 能够在未来带来更多的创新和突破，推动整个区块链行业的发展。来源：金色财经

金色财经2024-08-13

频繁更换CEO背后 Starknet深陷信任危机

过于悲观。从6月参与Starknet的黑客松情况来看，其生态开发者活跃度并没有想象中那么惨淡。 @cryptonerdcn提到在币价暴跌过后，原以为没有太多用户参加，但最终估算，至少有75只队伍参加。“要知道因为starknet使用的cairo语言，相比solidity懂的人本来就很少（我记得只有几十分之一），比起evm系的可以拿着各种换壳的东西参赛，这个黑客松不少项目都是完全从0做起。” 在@cryptonerdcn看来，Starknet如果能在市场营销等短版上努力补齐，至少不会直接变成“天亡”。从Starknet近日的动态来看，持续的技术升级仍然是头等大事。Starknet 社区发布 v0.13.2 和夏季路线图中来看，8 月将推出的 v0.13.2 版本，将不增加 L1 成本的情况减少出块时间，目标是将交易确认时间缩短至平均 2 秒左右。 10 月至 11 月推出 v0.13.3 版本，该版本必备内容是 Cairo-native，强调更快的执行将进一步缩短确认时间。但是以太坊Layer2太卷了，光靠卷TPS和低费用已经带不来带来新增长预期。后续以太坊Layer2叙事如果仍萎靡不振，@cryptonerdcn期待Starknet在BTC生态上的叙事空间。今年6月，Starknet 宣布将成为第一个同时在比特币和以太坊上结算，并扩展比特币到每秒数千笔交易的网络。将在比特币潜在升级 OP_CAT 之后的六个月内实现。加密技术分析师Haotian 表示，Starknet 布局比特币生态虽然在技术上面临着太多的挑战和不确定性。“但一旦突破（以太坊）layer2的叙事束缚，Starknet的想象空间会大为不同。” 在Haotian 看来，Starknet如果向比特币生态应用场景延伸，它的ZK技术底层和并行交易、Cario语言等原先高性能的基础为成为其区别于其他Layer2的核心优势。来源：金色财经

金色财经2024-08-13

Cartesi生态系统#12

开发者提供更强的安全保障，并确保为伦理黑客提供无争议的体验。我们邀请所有白帽黑客、漏洞赏金猎人和研究人员加入我们的旅程！目前它提供了 Solidity 编译器的漏洞赏金。请继续关注它何时上线主网 ? 想了解更多 Cartesi 生态系统中的其他项目吗？访问 rolluplab.io，查看所有使用 Cartesi 构建的项目概览。你有没有看到新的 DevAd 漏洞赏金计划？这是一个有趣的方式，让你深入了解 Web3，观看视频教程掌握 Cartesi 的基础知识，并开始构建。完成后，你将获得 30 美元奖励，还可以解锁我们不断增长的生态系统中的一系列其他酷炫机会。 DevAd 的“我构建，故我在”节目已经上传了三集新内容，你可以在这里查看。此外，还可以在 The DApp List 上看看 Cartesi 的表现。 Cartesi Grants Program (CGP) CGP 目前正在全力推进，最新的提案已经上线 Snapshot。上周一，World Tycoon 提案上线 Snapshot。World Tycoon 是一个完全链上的城市建设游戏，基于 Cartesi 构建。你可以使用游戏内资金从零开始建设你的城市，利用新型加密技术和“玩赚”激励。完整提案可以在这里查看。 CGP 在第一轮中已经取得了显著增长，共提交并审查了 49 个提案！到目前为止，已有 4 个项目获得了 141,000 美元的资助，还有 7 个提案在审查中。另一个更新是，初步审查阶段之后，提案将会在 Discord 的 #cgp-questions 频道中公开审查。有兴趣与我们合作并获得资助吗？点击这里申请。 DevAd Seed Grant 进展在 DevAd Seed Grant 方面也取得了进展，这是一种 Cartesi 的快速资助计划： CartDevKit - CLI 工具，帮助启动用于 Cartesi 的全栈项目仓库。 Seed Grant 完成前端完全集成了 Apollo SDK，用于 GraphQL 交互 Smart Bus - 智能公共交通管理。提案被接受完成了第一阶段目前正在审查中 PrivadoID 已上线 Polygon-Amoy 正在开发一个去中心化的凭证颁发系统 Peeps - 一个将传统的微博客与 DeFi 结合的社交媒体平台完成了资助完成了平台资产管理的完整钱包集成已上线 Arbitrum Sepolia Prism - 将 NFT 转换为可穿戴艺术品。稳定扩散的视频教程已部署在 Sepolia 第一位用户创建完成正在完成前端开发要了解所有正在进行的 DevAd Seed Grants 项目的最新概况，请点击这里。如果你有一个构建的想法，查看 Cartesi Grants Program 或 DevAd Seed Grants 并申请资助吧！社区动态 The Defiant 采访了 Gabriel C 和 Luca，他们来自 L2beat，讨论了关于欺诈证明以及合作在改进欺诈证明中的重要性。 Erick 在 CryptoSlate 上撰写了一篇专栏文章，探讨了模块化技术不仅仅是技术上的改进，而是区块链基础设施设计中的战略性转变，为未来的应用提供了更强的基础。此外，别忘了查看 Guilherme 的文章，探讨如何安全、无信任地升级 Web3 应用，并讨论了涉及的权衡。活动正如之前提到的，7月对 Cartesi 来说是一个充满挑战的月份。EthCC 的氛围非常棒，Felipe 的脸上也体现了这一点。本周以我们与 Espresso 共同主办的“Back to the Future”事件拉开帷幕。晚上包括了两个讨论小组以及大量饮品。晚上的主题是模块化和比特币 L2s。这些讨论小组也不只是普通的讨论，为了增加趣味，我们要求与会者写下随机词汇并放入一个桶中，参与者在演讲时需要使用这些词汇。成功使用所有五个词汇的参与者会获得奖励。想知道谁赢了吗？请在这里观看完整的讨论小组。 https://youtu.be/ddqbXYuGzAA 贡献者聚焦本月的贡献者亮点是 Michael，他在 Discord 的 #beginner-friendly 频道中持续发布“每周工具”帖子。由 DevAd 主办的 Dev Tool Spotlight 系列每周三展示一个令人兴奋的工具，专门设计来提升你在 Cartesi 上的开发体验。可以在我们的 Discord 上查看。即将举行的活动我们在布鲁塞尔活动后稍作休息，但这并不意味着我们没有为即将到来的会议做准备。保持关注我们的活动安排，并在有机会时与我们打招呼，订阅我们的实时公开活动日历。同时，不要忘记参与 Link3、Galxe 和 Zealy 上与活动相关的活动！ 8月15日之前 - RIVES Game Jam #2 与 Forgotten Runes（在线）（https://itch.io/jam/rives2） 8月13日 - Cartesi 参与 Mario Nawfal X Space 举办的 Crypto Town Hall（在线）（https://x.com/Crypto_TownHall） 8月14日 - I Build, Therefore I Am 第五集（在线）（https://lu.ma/i.build.i.am_ep5） 8月23日 - RIVES & Vibes | 社区电话会议（在线）（https://discord.com/invite/FQnQqKWVn8） 9月2日 - Cartesi 与 Web3 开发者俱乐部 - 大师班培训项目（线下）（https://medium.com/@Web3Clubs/calling-all-developers-join-the-cartesi-web3clubs-residency-program-in-nairobi-486c0be58a3e）想了解所有已完成的 Cartesi 活动和电话会议，请前往我们的 YouTube 频道！关于 Cartesi Cartesi 是一种特定于应用程序的汇总协议，具有运行 Linux 发行版的虚拟机，为 DApp 开发人员创造了更丰富、更广泛的设计空间。 Cartesi Rollups 提供模块化扩展解决方案，可部署为 L2、L3 或主权 Rollups，同时保持强大的基础层安全保证。免责声明本文章仅供一般参考和信息分享之用，不构成法律、金融或投资建议。本信息的准确性和完整性不受保证，也不应被视为对特定情况的建议。读者应自行进行独立的研究和咨询，以做出任何决策。作者和相关机构对任何因依赖本信息而产生的损失或损害概不负责。在做出任何金融或投资决策之前，强烈建议咨询专业人士以获取个性化的建议。虚拟货币属于高风险投资品，在做出投资决策前，请咨询相关监管机构是否存在投资亏损风险。来源：金色财经

金色财经2024-08-12

狙击钓鱼：一文读懂 OKX Web3 钱包四大风险交易拦截功能

场景。绝大部分的场景就是在于诱导用户对黑客的EOA账户进行授权。恶意授权给 EOA账户，一般是指黑客通过各类福利活动等形式诱导用户进行授权，并将其用户地址授权给一个EOA地址的签名。 EOA 全称 Externally Owned Accounts，也译为“外部账户”。是以太坊为主的区块链网络上的一种账户类型，这与以太坊上的另一种账户类型—合约账户（Contract Account）不同，EOA是由用户拥有的，且不受智能合约控制。玩家链上冲浪时一般都是授权给项目方的智能合约账户而非个人拥有的EOA账户。目前，最常见的授权方式有三种： Approve 是存在于 ERC-20 代币标准中的常见授权方法。它授权第三方（如智能合约）在代币持有者的名义下花费一定数量的代币。用户需要预先为某个智能合约授权一定数量的代币，此后，该合约便可在任何时间调用 transferFrom 功能转移这些代币。如果用户不慎为恶意合约授权，这些被授权的代币可能会被立刻转移。值得注意的是，受害者钱包地址中可以看到 Approve 的授权痕迹。 Permit 是基于 ERC-20 标准引入的扩展授权方式，通过消息签名来授权第三方花费代币，而非直接调用智能合约。简单来说，用户可以通过签名来批准他人转移自己的 Token。黑客可以利用这种方法来进行攻击，例如，他们可以建立一个钓鱼网站，将登录钱包的按钮替换为 Permit，从而轻易地获取到用户的签名。 Permit2 并非 ERC-20 的标准功能，而是由 Uniswap 为了用户便利性而推出的一种特性。此功能让 Uniswap 的用户在使用过程中只需要支付一次 Gas 费用。然而，需要注意的是，如果你曾使用过 Uniswap，并且你向合约授权了无限额度，那么你可能会成为 Permit2 钓鱼攻击的目标。 Permit 和 Permit2 是离线签名方式，受害者钱包地址无需支付 Gas，钓鱼者钱包地址会提供授权上链操作，因此，这两种签名的授权痕迹只能在钓鱼者的钱包地址中看到。现在Permit 和 Permit2 签名钓鱼已经是 Web3 资产安全领域的重灾区。该场景下，OKX Web3 钱包拦截功能如何发挥作用？ OKX Web3钱包会通过对待签交易进行前置解析，若解析发现交易为授权行为且授权的地址为EOA地址时，则为用户告警提醒，防止用户被钓鱼攻击，造成资产损失。 2、恶意更改账户 owner 恶意更改账户 Owner的事件通常发生在 TRON、Solana 等底层机制有账户 owner 设计的公链上。用户一旦签名，就将失去对账户的控制权。以 TRON 钱包为例，TRON 的多重签名权限系统设计了三种不同的权限：Owner、Witness 和 Active，每种权限都有特定的功能和用途。 Owner 权限拥有执行所有合约和操作的最高权限；只有拥有该权限才能修改其他权限，包括添加或移除其他签名者；创建新账户后，默认为账户本体拥有该权限。 Witness 权限主要与超级代表(Super Representatives) 相关，拥有该权限的账户能够参与超级代表的选举和投票，管理与超级代表相关的操作。 Active 权限用于日常操作，例如转账和调用智能合约。这个权限可以由 Owner 权限设定和修改，常用于分配给需要执行特定任务的账户，它是若干授权操作（比如 TRX 转账、质押资产）的一个集合。一种情况是黑客获取用户私钥/助记词后，如果用户没有使用多签机制（即该钱包账户仅由用户一人控制），黑客便可以将 Owner/Active 权限也授权给自己的地址或者将用户的 Owner/Active 权限转移给自己，该操作通常都被大家称为恶意多签。如果用户 Owner/Active 权限未被移除，黑客利用多签机制与用户共同控制账户所有权。此时用户既持有私钥/助记词，也有 Owner/Active 权限，但却无法转移自己的资产，用户发起转出资产请求时，需要用户和黑客的地址都签名，才能正常执行交易。还有一种情况是黑客利用 TRON 的权限管理设计机制，直接将用户的 Owner/Active 权限转移给黑客地址，使得用户失去 Owner/Active 权限。以上两种情况造成的结果是一样的，无论用户是否还拥有 Owner/Active 权限，都将失去对该账户的实际控制权，黑客地址获得账户的最高权限，就可实现更改账户权限、转移资产等操作。 3、恶意更改转账地址恶意更改转账地址的风险交易场景主要发生在DApp 合约设计不完善的情况下。 3 月 5 日，@CyversAlerts 监测到，0xae7ab 开头地址从 EigenLayer 中收到 4 枚 stETH，合约 14,199.57 美元，疑似遭遇钓鱼攻击。同时他指出，目前已有多名受害者在主网上签署了「queueWithdrawal」钓鱼交易。 Angel Drainer 瞄准了以太坊质押的性质，交易的批准与常规 ERC20「批准」方法不同，专门针对 EigenLayer Strategy Manager 合约的 queueWithdrawal (0xf123991e) 函数写了利用。攻击的核心是，签署「queueWithdrawal」交易的用户实际上批准了恶意「提款者」将钱包的质押奖励从 EigenLayer 协议提取到攻击者选择的地址。简单地说，一旦你在钓鱼网页批准了交易，你在 EigenLayer 质押的奖励就将属于攻击者。为了使检测恶意攻击变得更加困难，攻击者使用「CREATE2」机制来批准这些提款到空地址。由于这是一种新的审批方法，因此大多数安全提供程序或内部安全工具不会解析和验证此审批类型，所以在大多数情况下它被标记为良性交易。不仅这一例，今年以来，一些主流公链生态系统中均出现了一些设计不完善的合约漏洞导致部分用户转账地址被恶意更改，造成资金损失的问题。该场景下，OKX Web3 钱包拦截功能如何发挥作用？针对EigenLayer的钓鱼攻击场景，OKX Web3钱包会通过对「queueWithdrawal」的相关交易进行解析，若发现用户在非官方网站交易，且取款至非用户自身地址时，则会对用户进行警告，强制用户进一步确认，防止被钓鱼攻击。 4、相似地址的转账相似地址转账的攻击手法通过欺骗受害者使用与其真实地址非常相似的假地址，使得资金转移到攻击者的账户中。这些攻击通常伴随复杂的混淆和隐匿技术，攻击者使用多个钱包和跨链转移等方式，增加追踪难度。 5 月 3 日，一个巨鲸遭遇了相同首尾号地址钓鱼攻击，被钓走 1155 枚 WBTC，价值约 7000 万美元。该攻击的逻辑主要是黑客提前批量生成大量钓鱼地址，分布式部署批量程序后，根据链上用户动态，向目标转账地址发起相同首尾号地址钓鱼攻击。而在本次事件中，黑客使用了去除 0x 后的首 4 位及尾 6 位和受害者目标转账地址一致的地址。用户转账后，黑客立即使用碰撞出来的钓鱼地址（大概 3 分钟后）尾随一笔交易（钓鱼地址往用户地址转了 0 ETH），这样钓鱼地址就出现在了用户的交易记录里。由于用户习惯从钱包历史记录里复制最近转账信息，看到了这笔尾随的钓鱼交易后没有仔细检查自己复制的地址是否正确，结果将 1155 枚 WBTC 误转给了钓鱼地址。该场景下，OKX Web3 钱包拦截功能如何发挥作用？ OKX Web3 钱包通过对链上的交易进行持续监控，如果发现在1笔大额交易发生后不久，链上立刻发生非用户主动触发的可疑交易，且可疑交易的交互方与大额交易的交互方极其相似，此时会判定可疑交易的交互方为相似地址。若用户后续与相似地址进行交互，OKX Web3则会进行拦截提醒；同时在交易历史页面，会直接对相似地址相关的交易进行标记，防止用户被诱导粘贴，造成资损。（目前已支持8条链）结语总的来讲，2024年上半年，空投钓鱼邮件和项目官方账户遭黑等安全事件仍频发。用户在享受这些空投和活动带来收益的同时，也面临着前所未有的安全风险。黑客通过伪装成官方的钓鱼邮件、假冒地址等手段，诱骗用户泄露私钥或进行恶意转账。此外，一些项目官方账户也遭到黑客攻击，导致用户资金损失。对于普通用户来讲，在这样的环境下，最重要的就是提高防范意识，深入学习安全知识。同时，尽可能选择风控靠谱的平台。风险提示及免责声明本文章仅供参考。本文仅代表作者观点，不代表OKX立场。本文无意提供 (i) 投资建议或投资推荐； (ii) 购买、出售或持有数字资产的要约或招揽； (iii)财务、会计、法律或税务建议。我们不保证该等信息的准确性、完整性或有用性。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动。您应该根据您的财务状况仔细考虑交易或持有数字资产是否适合您。有关您的具体情况，请咨询您的法律/税务/投资专业人士。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经2024-08-12

Zelle发生数亿美元欺诈!摩根大通,美国银行等难逃调查...

分值得讨论的观点：当客户们的账户因为被黑客入侵而蒙受损失时，银行是否应该对其进行赔偿？按照联邦法规的要求，银行是需要偿还客户未经授权的付款，“账户被黑客入侵”便是其中之一。但在银行的眼里，要求银行退还客户被骗批准付款的转账是十分不合理的。按照他们的说法，“覆盖欺诈成本本身就会鼓励更多的欺诈行为发生，并由此造成更大的损失”。但事实上，在很长的一段时间里，“用Zelle转账受骗，银行进行理赔”似乎是一个不成文的规矩。在Zelle转账遭遇诈骗早就有之，仅2021年和2022年，仅仅计算经手的4间银行，就有近20万笔交易涉嫌诈骗，涉及金额高达2亿多元。彼时，为了进一步提高网络转帐的安全性，并杜绝诈骗行为的发生，参与Zelle转账的几家主要银行还讨论制定了理赔指南，并退还了受骗用户的损失和银行间的非法转账，这其中就有摩根大通。据了解，数千家的金融机构都允许顾客通过Zelle系统转帐，诈欺者常常以银行名义发给用户电邮，短信或者是直接打电话，让用户将钱转入一个账户，用户误认为这个账户是自己的。通常情况下，这一类电话的来电显示为银行的客服热线，但实际上是将受害人的电话与诈欺帐户相连。按照规定，银行应当退还未经授权的转帐，但如果用户受了骗，已经将钱寄了出去不，那这些金额是没有办法收到保护的。获得众多银行支持和背书的Zelle，究竟是什么？说到这里，我们就需要来聊聊本次事件的“始作俑者”——Zelle了。 Zelle是一个美国银行间的即时转账系统，最初由几家大银行发起成立。用户们可以使用邮箱和手机号注册这项服务，注册成功后，不同银行间的转账就不需要手续费了（只要双方使用的银行都是Zelle的合作伙伴即可）。转账时，用户只需要输入接收方注册Zelle时所使用的邮箱或者电话即可，实时到账。因为使用Zelle转账无需手续费，所以该项服务一上线，接入Zelle的银行便越来越多，就连华美（East West Bank）和国泰（Cathy Bank）这两家最大的美国本土华人银行也推出了Zelle转账功能。不过，与常规的转账一样，除非接收Zelle转账的邮箱或者手机号没有注册Zelle，否则资金会直接进入对方的银行账户，无法撤回或者取消。一旦转错，也只能看对方愿不愿意退给你，收款方如果不愿意退，银行没有办法解决，即便报警也无济于事。也正因此，有人建议在使用Zelle转账时，可以尽量选择让收款方发起收款请求（Request）, 尽量避免使用自己主动转账（Send）。不过，使用Zelle转账，还有一个pending可以加以利用，防范风险。通常有以下两种情况可以使用pending：一是银行认为这笔转账有风险，需要调查，必要时银行会选择银行账户，需要客户打电话去银行解锁；二是收款方大量接收Zelle转账，银行会认为是高风险，对收款方的账户展开调查，调查清楚后才会变成completed。从根本上说，大家对银行监管方式，监管力度以及监管内容产生了质疑和争议，是包括摩根大通在内的几家银行本次身陷调查风波的根本原因。图片来源于网络来源：金色财经

金色财经2024-08-12

特朗普竞选团队内部文件被黑客泄露，详细记录万斯对特朗普的攻击

评，被特朗普团队标记为“潜在漏洞”。黑客还提供了部分关于佛罗里达州参议员马可·鲁比奥的研究文件，鲁比奥也是副总统提名的候选人之一。当被问及如何获得这些文件时，黑客回答说：“我建议你不要好奇我从哪里得到的这些文件。任何对这个问题的回答都会让我陷入困境，并在法律上限制你们发布它们。” 目前尚不清楚黑客获取的信息范围有多大，但这代表了特朗普竞选团队的一个重大安全漏洞。特朗普团队指责伊朗是幕后黑手。上个月，有报道称美国情报界获得越来越多的证据，表明伊朗正在策划暗杀特朗普，以报复他在2020年下令暗杀伊朗军官卡西姆·苏莱曼尼的决定。虽然没有迹象表明上个月在集会上对特朗普发动袭击的枪手与该阴谋有关，但这仍引发了担忧。在周六的声明中，特朗普发言人提到了这些报道，并表示：“伊朗人知道，特朗普总统会像他在白宫的前四年一样，阻止他们的恐怖统治。” 伊朗政府官员暂时无法联系到进行置评。 2016年，美国民主党高级官员在总统大选前被黑客攻击，导致一些尴尬的电子邮件被泄露，记录了党内运作和前总统候选人希拉里竞选团队的内部情况。国家安全官员后来指责俄罗斯策划了这次黑客行动。这些电子邮件随后被WikiLeaks发布，在选举日之前让克林顿的政治运作陷入困境。 2017年，美国司法部发起了一项调查，调查俄罗斯干预选举以及特朗普团队在黑客行动中的角色。特别检察官罗伯特·穆勒最终得出结论，他缺乏足够的证据对特朗普或其竞选团队就涉嫌与俄罗斯合谋提出刑事指控。然而，他描述了一个鼓励黑客攻击并急于利用这些材料的特朗普竞选团队，并指出特朗普及其一些盟友对调查者获取关键通信和证词的能力造成了重大阻碍，这些证据可能会揭示更多的内幕。来源：加美财经

加美财经2024-08-12

英特尔因资金短缺而取消创新博览会

，将集中精力于其他活动，如网络研讨会、黑客马拉松以及Intel AI峰会，代替原定的创新大会。公司现状和计划上周，Intel发布了令人失望的销售预测，并削减了股息，同时计划裁减15%的员工，这表明在首席执行官Pat Gelsinger的领导下，公司复苏仍然遥远。这一决定是在公司最近一份糟糕的财报之后做出的。 Gelsinger的战略目标年会创新活动曾是Gelsinger恢复Intel技术领先地位和影响力的一部分。此活动的模式借鉴了曾经引领计算机行业方向的Intel开发者论坛（Intel Developer Forum）。来源：今日美股网

今日美股网2024-08-11

剖析当下加密领域盛行的四种观点

ast是诈骗的“完美网络”。在多次遭受黑客攻击和数百万美元损失后，Blast生态系统TVL崩溃。过去数十亿美元的TVL现在只有8亿美元。一些基于Blast的协议TVL跌至个位数。但并非一切都是坏事。 Blast仍排名第7，但它是TVL流失最快的。该图中TVL流失速度第二快的链是……以太坊。注意市场趋势，因为正在改变。来源：金色财经

金色财经2024-08-10

巴黎多个场所遭网攻黑客勒索加密货币　奥运期间罪案爆发包括多宗ICO诈骗

隔100年后重临巴黎，法国媒体报导，有黑客在本月初对巴黎40多个景点及地标发动网络攻击，窃取了有关场所的财务数据，其中包括全球知名的美术馆罗浮宫，以及此次奥运运动场馆之一的香榭丽舍大皇宫等。据了解黑客窍取了资料后，要求有关场所以加密货币支付赎金赎回自身系统的控制权，即使该场所有能力恢复其备份资料，黑客亦会要挟要出售资料予他方。目前法国反网络犯罪大队已着手侦查此案件。至少10宗以巴黎奥运作招徕的加密货币ICO诈骗这是继月前巴黎奥运爆出加密货币ICO诈骗后再次发生大规模加密罪案。当时案情指有诈骗者早于去年3月预先注册了“theolympictoken.com”网域，并在网站上宣称与国际奥林匹克委员会合作发生一种“奥运代币”（Olympics Games Token），网站使用了2024巴黎奥运的标志，并展示了奥运开幕的倒数定时器、项目路线图，以吸引投资人以用$SOL 购买该代币。同类以巴黎奥运作招徕的加密货币ICO（首次代币发行）诈骗在近几个月发生了至少10宗，犯罪者多诱骗投资人以比特币、以太币和Solana等主流加密货币购买新发行的代币，待吸纳一定资金后便卷款跑路。除了网络犯罪，本次奥运会之初发生了阿根廷男子足球队门将Franco Armani于更衣室被偷走私人物品令人历历在目；而大会开始前，2名巴黎奥运的记者在7月24日遭到持械抢劫、7月20日一名25岁澳洲女子被5名男子轮暴，是次奥运会令全球眼光众焦于巴黎，包括当地的治安问题。加密界最近除了关注比特币走势，亦在留意迷因币表现，而加密分析师预计一种新的迷因币Pepe Unchained上线后会持续上涨。 Pepe Unchained：市场困境中的投资选择在市场普遍低迷影响众多 meme 币的情况下，Pepe 的区块链正在获得显著的关注。预售项目Pepe Unchained已经筹集了令人印象深刻的 770 万美元，并有望进一步增长，预计第二天价格就会上涨。该项目的与众不同之处在于其速度更快、收益更高，并且保留了深受喜爱的 Pepe 美学。其无缝连接以太坊和 Pepe 链的能力是一个显著的优势。此外交易费用明显较低，交易容量比以太坊高出一百倍，这也增加了它的吸引力。专用的区块浏览器进一步增强了该平台的实用性。访问 Pepe Unchained 除了 meme 币的起源之外，Pepe 的区块链还通过质押机制提供了巨大的实用性。这些综合功能使其成为当前市场条件下极具吸引力的投资机会。尽管近期市场低迷，但对 PeiPei 的大量投资凸显了投资者对该项目未来的巨大信心。这种积极情绪延伸到了其他以 Pepe 为主题的模因币，例如Pepe Unchained，其预售参与度激增。访问 Pepe Unchained

Business2Community2024-08-10

印度交易所推投资者保护基金盼领头　惟当地政府未有监管加密货币产业计划

印度加密货币交易所WazirX上月遭到黑客攻击，损失高达2.35亿美元，接近该交易所总持仓价值的50%，惟WazirX此后提出了两个“赔偿”方案，均要求冻结用户45%资产，只有在交易所成功追回资金的情况下才能获得赔偿，其让用户承担损失的做法引来广泛批评，包括CoinDCX执行长Sumit Gupta就在X上指责：“损失的负担应该主要由WazirX自己承担，利用自己的金库和资产，而不是让客户承担45% 的损失。” CoinDCX设立加密货币投资者保护基金在Gupta发言后不久，CoinDCX日前宣布设立加密货币投资者保护基金，旨在当发生安全漏洞或资安事件时保障用户，该公司表示为制定印度加密生态新标准，并促进投资者的长期信任及安全，设立基金实为必要之举：“我们的初始资金分配为5亿印度卢比(约595.6 万美元)，并承诺每年注入经纪商收入2% 的资金，且将随时间推移增加资金规模。” Sumit Gupta称这是其用户总资金的1.8%，希望在印度发起领头作用。虽然发生了WazirX让用户赔付的事件，但印度财政部长Pankaj Chaudhary本周初响应国会议员Harish Balayogi质询时，却表示目前没有任何关于监管虚拟资产交易的提案，只道印度金融情报中心(FIU) 已被授权为虚拟资产服务提供商(VASP) 的监管及汇报实体，连同印度央行、商品税务总局(DGGI) 等执法机构已能调查并打击非法活动。尽管政府尚未完成监管加密货币的立法，但月前FIU已因未有遵守当地反洗钱规则为由，向交易所币安发出了近220万美元的罚款；而DGGI日前亦向币安发出了近8,600 万美元的税收通知，指币安于2017年7月至2024年3月期间向进行印度交易用户收取费用。币安方面表示该交易所一直致力遵守适用的相关法规，并正全力配合印度当局解决任何问题。比特币近日出现震蘯，部分加密货币投资人正关注早前出现涨幅的山寨币。 Pepe Unchained：新兴的Layer-2预售币另一方面一些专家认为Pepe Unchained（PEPU）是Pepe币的最佳替代品。这枚新的迷因币在其首次代币发行（ICO）中表现非凡，目前已经在预售中筹集了超过750万美元。这一强劲的预售表现让聪明的交易者对其未来的上升潜力保持乐观态度，甚至有人称其为目前最值得购买的迷因币之一。青蛙类迷因币在最近的加密市场中异军突起，Pepe币和类似的代币在过去几天中表现超越了大多数加密资产。例如根据CoinGecko的资料，Pepe币在过去一周上涨了近22%，不少专家现在认为，Pepe币有可能在今年年底前超越柴犬币（Shiba Inu）。访问 Pepe Unchained 与此同时其他青蛙类迷因币也受到了投资者的青睐。知名加密货币交易者Bluntz（@Bluntz_Capital）最近声称，PLONKE的价格图显示出强劲的看涨结构，可能会带来100倍的增长。 Pepe Unchained在竞赛中脱颖而出 Pepe Unchained则在这场竞赛中脱颖而出，其创新的Layer-2区块链技术使其与众不同。该项目旨在提供低交易成本、更快的交易速度和高额的质押奖励。这一举措可能对代币上市后的价格潜力产生重大影响。目前大多数Pepe彷币如PeiPei、PepeCoin和PepeFork都是基于以太坊的迷因币，这些代币在去中心化交易所（DEXs）上的交易成本较高，一定程度上阻碍零售投资者参与，导致价格波动较大。 Pepe Unchained的Layer-2链解决了这一问题。低交易费用和高额质押奖励可能会使其在聪明的交易者和零售投资者中极受欢迎，这在其预售中已经得到了证明。目前，Pepe Unchained的质押池提供了超过400%的回报率，远高于行业标准的5-7%。访问 Pepe Unchained

Business2Community2024-08-09

24小时热点