FX168财经网_全球视野外汇黄金加密货币NFT资讯网

FarCon，这是一项为期一周的活动和黑客马拉松，专门针对生态系统的构建者。看到将会出现哪些新的用例将是令人兴奋的。来源：金色财经

金色财经2024-05-17

Substrate 第 15 期课程升级! 参与 Mini 黑客松赢 DOT, 知名项目内推等着你

你将熟练运用开发技术，参与 mini 黑客松完成项目试炼，更有机会获取多个开发岗位内推机会，在免费入学的前提下赚取高额 DOT 奖励（本期课程仅限 100 个名额，报名从速）！填写报名申请表，通过审核方可入学（报名方式参见「OneBlock Community」公众号）课程介绍【Substrate 区块链开发入门】是 Parity 联合 OneBlock+ 区块链技术社区在 2024 年全新升级的一门面向 0-1 岁技术小白、主要解决帮助 0-1 岁区块链开发者“提升技术实力，入局链上开发”需求的在线课程。这门面向新人入门的技术课程，将围绕区块链基础技术、Rust/Substrate 基本技巧等训练，让学员在学习过程中能能够实现所有区块链相关技术及 Substrate 开发技能举一反三，掌握更多开发实战本领。【Substrate 区块链开发入门】第十五期课程将在 6 月上旬开课，课程实现全新升级，免费开放！审核通过即可入学，仅限 100 名额！只要你想 15 分钟搭建定制功能区块链，快速入门波卡生态，就赶快加入我们。课程体系本课程旨在通过对区块链基础理论、Polkadot 生态介绍、Rust 和 Substrate 技术学习，结合 mini 黑客松实战演练，让开发者熟练搭建定制化功能区块链，推进项目落地！欢迎加入课程，运用 Substrate 技术开启开发之旅、加入波卡生态建设！以下为课程主要体系架构：课程收获基本掌握区块链理论知识熟练运用 Substrate 技术参与 mini hackathon 项目实践获取多个开发岗位内推机会了解波卡近期动态和发展趋势课程亮点专业讲师授课+助教全程答疑+班长及时督学行业资深讲师作为课程主要导师，为学员细致、透彻讲解知识点，更有一线开发助教分享学习经验，课程带班班长全程督学伴学，助力你的 Substrate 探索之旅。课前环境准备+课中定期更新+课后每日答疑入门课设置贯穿课前、课中、课后的学习支持，课前提供导读、学习资料、环境配置；课中配备视频学习、课程 PPT、源代码、参考资料等内容；课后开设每周一次的直播答疑和每日班级群答疑活动，全周期陪伴和辅导你的学习旅程。官方认证证书+课程奖金激励+内推岗位推荐顺利毕业的学员将获得官方认证的毕业证书，完成学习打卡、Task 和 Mini Hackathon 均可获 DOT/周边奖励，包括免费的开发岗内推机会。课程导师周俊 Polkadot dev advocate 拥有嵌入式、服务器和大数据领域的资深开发经验，2017 年开始接触以太坊，2019 年开始Substrate 学习和开源项目开发，目前致力于 Substrate 的研发、推广工作。孙凯超 Polkadot dev advocate 拥有多年 Web2 应用开发经验，前端和后端均有涉及，2016 年深入了解去中心的技术栈，2019 年接触了 Substrate，坚定了投入 Web3 浪潮的决心。同时，维护《 Substrate 区块链开发》知乎专栏，希望把复杂的技术概念以通俗易懂的方式传达给更多开发者。王大锤 Polkadot dev advocate 原本是一名智能合约开发者，现致力于开发区块链基础设施以及去中心化网络，永远对技术新冒险充满兴趣。 Gavin Wood 博士推荐 “关于 Substrate，还有很多即将实现的新功能，所以我诚挚的邀请各位去了解一下我们现有的东西，从链下工作机到各种 Substrate 2.0 的新组件，比如可枚举映射、交易化存储和更多功能，一定要来了解和上手实践试试，通过这门课程学习如何利用 Substrate 建立一个现象级别的的区块链项目，大家撸起袖子开干吧！” —— Gavin Wood 博士适合人群 1. 想学习 Substrate 技术框架的开发人员 2. 对区块链充满好奇与热情，却不知从何学起的创业者 3. 想要参与波卡黑客松获得优异成绩的开发者或团队 4. 缺少系统化的学习和实践机会，自学难效率低的开发者 5. 有编程基础的计算机专业学生，掌握至少一门语言，语言类型不限课程大纲通过学习这门课程，开发者可以掌握 Substrate 区块链技术，入门 Web3 并开发属于自己的第一条区块链。每周更新一课时，每两周完成一个 Task 任务，详情可参考课程大纲：第 1 课: 区块链入门 1.什么是区块链及其价值 2.区块链常用概念如哈希函数、签名、链结构、共识等 3.比特币原理第 2 课: Substrate&Polkadot 简介 1.为什么学习 Substrate 2.Polkadot 特点和生态 3.开源文化和协作 4.联盟链和公链的对比 5. substrate 本地起链实操 6. 加餐：Substrate 架构解析（适合学完之后反复观看）第 3 课: Rust 入门 1.数据类型 2.流程控制 3.异常处理 4.项目管理工具 Cargo 5.Polkadot SDK 代码导读第 4 课: Rust 进阶 1.所有权 2.Trait 3.泛型 4.生命周期 5.Iterator 第 5 课: Substrate 区块链应用开发 1.Runtime 宏介绍 2.Runtime 数据存储的设计 3.存证模块的功能开发第 6 课: Polkadot js 使用 1.Polkadot js 介绍 2.Polkadot js 安装和 UI 界面 3.Polkadot js 的使用 4.Polkadot js 源代码导读往期学员评价目前，Substrate 入门课程系列已培养 3000+ 开发者，输出 300+ 生态项目，受到学员们的一致好评！多数学员在完成课程学习后，坚定选择 Substrate 生态进行技术深耕与项目开发，收获颇丰。报名方式如果你想要学习 Substrate，快速进入 Web3，就别错过这次难得的机会！在开课过程中，我们将竭力帮助学员以保障课程学习质量，你将有机会获得“官方认证+专业的课程导师+体系化的课程内容+练习作业+助教老师帮助学习”，顺利开启 Web3 开发之旅！课程仅限 100 个名额，请尽快填写报名申请表，通过审核方可入学。报名方式参见「OneBlock Community 」公众号结语 OneBlock+ 社区将以丰富的课程运营经验，竭力为开发者提供优质的课程内容，及时分享最新 Web3 招聘信息、组织优秀项目方开展分享会、举办黑客松大赛等活动，我们只愿切实帮助开发者进入 Web3、建设 Web3，让我们一同在 Substrate 世界披荆斩棘，把握进入 Web3 开发的优选路径！来源：金色财经

金色财经2024-05-17

金色百科 | 什么是智能合约中的重入攻击？

块链上的去中心化自治组织 (DAO) 黑客攻击是另一个众所周知的例子。攻击者利用智能合约代码中的重入缺陷，递归地从 DAO 中删除资金，最终导致价值数百万美元的以太坊 (ETH) 被盗。此外，包括 Uniswap、Lendf.Me、BurgerSwap、SURGEBNB、Cream Finance 和 Siren Protocol 在内的多个去中心化金融 (DeFi) 协议由于可重入漏洞而蒙受了重大财务损失。这些违规行为造成了 350 万美元至 2500 万美元的损失，凸显了 DeFi 领域可重入漏洞带来的持续威胁。三、重入攻击如何工作重入攻击利用智能合约函数的顺序执行和外部调用形成一个循环，攻击者可以在完成之前多次执行特定函数，这可能会导致恶意行为和未经批准的资金提取。在受害者完成状态修改之前，攻击者的合约有效地“欺骗”受害者的合约回调攻击者的合约。此操作可能会导致反复提款或其他疏忽行为。上图演示了对智能合约的重入攻击。攻击者的合约调用受害者的“withdraw()”函数，该函数在更新余额之前发送以太坊。然后，攻击者的后备函数被触发，再次递归调用withdraw()以从受害者合约中耗尽资金。这种攻击利用了受害者在发送资金之前未能更新余额的情况。让我们使用一个简化的示例来分解重入攻击的工作原理：具有“提现”功能的智能合约假设有一个允许用户提取资金的数字钱包智能合约。除了跟踪用户余额之外，该合约还具有提款功能，方便资金提取。提款功能通常允许用户将他们的代币或以太坊从智能合约提取到他们的个人钱包。用户交互和功能执行用户自行请求从钱包中提款。他们使用提款功能输入所需的提款金额。提款函数会在调用时验证用户是否有足够的资金进行提款。如果满足要求，它将所需的资金转移到用户选择的地址。外部调用这就是弱点显现出来的地方。在提款反映在用户的余额中之前，合约会对另一个合约或账户进行外部调用。递归调用如果外部合约的代码包含可以再次调用原始合约的函数（例如另一个提款函数），则会创建一个递归循环。这使得可以在完成之前再次调用withdraw方法。可重入利用然后，攻击者使用恶意合约来利用此循环。攻击者合约在钱包合约调用外部合约期间，在余额更新之前，快速再次调用钱包的提现函数。回退功能在某些情况下，智能合约的回退功能（一种独特的功能，当合约收到没有任何数据或以太坊的调用时启动）可能会被攻击者使用。重入攻击可以通过在资金仍在处理过程中重复调用回退函数来进行。操纵和反复提款攻击者的合约可以在同一笔交易中重复使用提款功能，因为钱包合约会延迟更新余额，直到收到外部调用后。因此，这使得资金更容易在未经授权的情况下被取出，从而使攻击者能够窃取超出其合法权利的资金。随后，它给钱包合约的用户造成了巨大的经济损失。四、重入攻击的后果重入攻击会对智能合约用户产生严重影响，因为它们有可能造成重大财务损失。重入攻击最直接的后果之一是未经授权提取或操纵易受影响的智能合约中保存的现金。攻击者利用该漏洞反复从合约中提取资金，耗尽合约余额，并可能给在受影响合约中投资或存储资产的用户造成重大财务损失。此外，重入攻击可能会削弱用户对智能合约和区块链技术安全性和完整性的信心。重入漏洞可能会产生灾难性的影响，2016 年以太坊区块链上的 DAO 黑客事件等备受瞩目的事件就证明了这一点，该事件造成了巨大的经济损失并损害了社区的声誉。除了短期财务后果之外，重入攻击还可能产生长期影响，例如监管和法律关注、投资者信任度下降以及对区块链平台和项目声誉的损害。容易受到攻击的认知可能会导致用户在与智能合约交互或投资去中心化应用程序（DApp）时保持谨慎，从而阻碍区块链技术的采用和扩展。五、如何减轻重入攻击在智能合约创建和审计方面实施最佳实践对于减轻重入威胁是必要的。这包括使用具有安全记录的知名代码库，这是实现这一目标的一种方法。这些库经过了广泛的测试和同行评审，这降低了引入漏洞的机会。开发人员还应该使用“检查-效果-交互”设计等安全检查，通过确保状态修改以原子方式发生，最大限度地减少重入攻击的机会。如果可用的话，可以使用可重入安全的智能合约开发框架来添加针对此类漏洞的额外防线。开发人员不太可能手动添加安全保护，因为这些框架通常包含专门设计用于避免重入攻击的内置方法和保护措施。然而，由于区块链安全仍在发展，开发人员必须继续寻找新的威胁和弱点。来源：金色财经

金色财经2024-05-17

Pump.fun遭攻击被盗190万美元事件详览

or Igamberdiev 声称此次黑客攻击源于内部私钥泄露，他怀疑是 X 用户“STACCoverflow”造成的。在一系列神秘的 X 帖子中，STACoverflow 声称他们“即将改变历史的进程。 n [原文如此]然后在监狱里烂掉。” 他们在另一篇帖子中补充说，“不在乎，我已经完全被人肉搜索了。” 在之前的 X 帖子中，pump.fun 表示它一直在与执法部门合作。该公司没有透露这名前雇员的姓名，也没有立即回应置评请求。黑客攻击是如何展开的 Pump.fun 表示，被指控的剥削者使用 Solana 借贷协议 Raydium 上的闪贷来借入 Solana，然后用这笔钱“购买尽可能多的代币”。一旦代币在各自的bonding curve上达到 100%，剥削者就可以获取bonding curve流动性并偿还闪电贷。 Pump.fun 表示，此次攻击发生在世界标准时间 5 月 16 日下午 3:21 至下午 5:00 之间，大约 12,300 SOL，价值 190 万美元被盗。 Solana memecoin 启动板表示，在这些时间段内受影响的用户将恢复 100% 或更多攻击前持有的流动性。来源：金色财经

金色财经2024-05-17

Bitget 研究院：加密市场全线反弹 Blast 6 月 26 日确定空投

消息 Sonne Finance 遭到黑客攻击，已经损失 2000 万美金。黑客攻击的方式是闪电贷攻击，借入 VELO 代币并通过 transfer 发送给 soVELO 合约，然后创建合约，借贷 Sonne Finance 的代币，不断操作导致项目资金盗空。链上 DeFi 项目的风险比较高，需要注意管理链上项目交互风险。 3）Google Search & 地区从全球范围来看： GME（Shares, Token）：华尔街知名交易员 Keith Gill 回归，带动美国股市 GME（Gamestop）的大幅上涨，价格从 17.46 美金快速上涨至 64 美金，引发个股 4 次上涨熔断。价格昨日开始大幅回调，单日下跌 20% 市场关注比较高。GME 的上涨直接带动了加密市场的 MEME 币的行情。Bitget 已上线 GME，可以持续关注交易机会。从各区域热搜来看：（1）英文区各地区昨日的热搜关注点主要集中在 GME、AMC、PEPE： GME、AMC、PEPE（Token）：近期二级市场、DEX 上异动的代币，Meme 币的行情具有突然性和偶发性。Meme 币的行情一般由现货主导，需要从技术指标上关注入场、止盈止损的点位。建议用户参与交易需要警惕风险，尽量做日内交易。（2）非洲及亚洲和其他地区关注市场整体行情： BTC（Token）：昨日美国劳工部公布四月 CPI 数据，环比增长 3.4%，核心 CPI 环比增长 3.6%，符合市场预期。相比上月 CPI 环比数据略有降低，被市场解读为 CPI 触顶回落。美元指数、美债收益率大幅下挫，BTC 单日上涨 5000 美金，引起非洲、亚洲等地用户的关注。四、潜在空投机会【Tonstakers】 Tonstakers 是 TON 生态最大的流动性质押服务商，用户可以将 TON 在该协议质押获得年化 3.8% 的收益。目前项目 TVL 有 2.4 亿美金，潜在的估值比较高。项目获得 Ton 基金会的关注，目前协议有 6.8 万个质押者。项目和 Ton 核心开发者、Tonkeeper、OKX 等机构合作，未来发币有支持。具体参与方式：1）访问项目官网，点击「stake now」；2）链接 Ton 钱包进行质押。【Bemo】 Bemo 是 TON 生态第二大的流动性质押服务商，用户可以将 TON 在该协议质押获得年化 3.9% 的收益。目前项目 TVL 有 6000 万美金，属于 Ton 生态的早期项目，空间较大。项目官网开放空投运营活动，Bemo 的应用质押者可以获得 xtXP 的奖励，未来可以换成 $BMO 代币。具体参与方式：1）访问项目官网，点击「stake now」；2）链接 Ton 钱包进行质押。【免责声明】市场有风险，投资需谨慎。本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资，责任自负。来源：金色财经

金色财经2024-05-16

AI风潮再起深度拆解算力聚合DePIN协议io.net

同样面临技术安全风险，如主网上线前遭遇黑客攻击。此外，业务竞争激烈，面临着AWS、Google Cloud、Alicloud等企业的挑战。因此，投资者对于Io.net也不必过分狂热。来源：金色财经

金色财经2024-05-16

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

私钥或者助记词存储，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。第二，用户下载虚假APP后，引发了私钥泄露。比如，多重签名骗局是最为典型的案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后立即修改该用户钱包的账户权限：将钱包账户权限由用户本人，变成用户本人和欺诈者共同持有，从而抢占该钱包账户的控制权。这类欺诈者往往会保持耐心，等待用户账户积累了一定加密资产后，一次性转走。 OKX Web3安全团队：慢雾已经概述了私钥被盗的2类主要情况，而第2种，欺诈者利用虚假APP盗取用户私钥的本质是木马程序，这类木马程序通过获取访问用户输入法、照片等权限，从而盗取用户私钥。相对于IOS用户而言，安卓用户遭遇到的木马病毒攻击更多。这里简单分享两个案例：案例一，用户反馈钱包资产被盗，经过我们团队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经2024-05-16

加密钱包和 NFT：管理和交易

，却屈从于“主流”，相当多的用户成为了黑客的受害者。后者利用这个时机来愚弄新的加密货币用户，并消除他们从各个角度考虑 NFT 潜力的愿望。 2021年以来，市场逐渐褪色，但NFT的潜力并未化为尘埃。随着 Web3 世界的出现，NFT 在识别和控制对象的所有权和唯一性方面发挥着重要作用。然而，NFT 生态系统是基于用户的完全控制。将资产和数据的管理转移给第三方仍然是集中式 Web2 世界。这意味着人们必须承担更多责任来确保其资产的安全。这就是加密货币钱包可以拯救的地方。 NFT & 加密钱包：这种融合会带来什么？ NFT钱包事实上，它是一个常规的加密钱包，支持构建 NFT（不可替代代币）的区块链。因此，除了存储加密货币之外，它还提供了存储 NFT 的能力。 NFT 是指具有独特价值的任何数字对象：从图像和视频到音乐和书籍。事实上，加密钱包是指存储数字货币和 NFT 所有权证明的安全场所。重要的是钱包存储存储在区块链上的资产的密钥，而不是资产本身。加密钱包（又名 NFT 钱包）可以是物理设备，例如闪存驱动器。它们被称为冷钱包，因为它们无法访问互联网。钱包也可以是通过浏览器、计算机或智能手机访问的应用程序的形式。后者被称为热点，因为它们可以访问互联网。什么是好的NFT钱包？鉴于NFT的概念仍处于起步阶段，“好”的范围相当模糊。然而，迄今为止，NFT 钱包有几个特征决定了其质量。加密货币和 NFT 钱包应该是： 1.安全的-这是必备的。数据显示，从 2021 年 7 月（NFT 最热的一年）到 2022 年 7 月，价值超过 1 亿美元的 NFT 被盗，犯罪分子平均每次诈骗拿走 30 万美元。而且，事实证明，May 是欺诈者最赚钱的时期——他们窃取了总价值约2390 万美元的代币。如何保护您的钱包？选择一个可靠的提供商，大概是通过深入研究来选择的。为了获得最大的安全性，最好选择非托管钱包，因为没有人（甚至是钱包提供商）可以访问您的数据=密钥。不要忽视双因素身份验证。这是确保您的资产和 NFT 安全的最小但强制性的步骤。请注意备份功能，以便您可以重新访问您的钱包。考虑通过指纹（又名 Touch ID）解锁作为额外的安全措施和/或自动注销。 2.简单在界面方面，设计不复杂、内部逻辑简单的钱包值得关注。市场上具有用户友好的 UI 和 UX 的钱包并不多。您更有可能找到“从开发者到开发者”的钱包，这可能会让用户感到困惑并打消继续使用该产品的欲望。因此，对于只想要一组最小功能的初始用户来说，“超载”的钱包可能不是一个好的选择：在钱包内存储、转移加密货币和管理他们的 NFT 投资组合。 3.灵活在区块链技术互操作性方面最流行的 NFT 区块链是以太坊。然而，支持多个区块链的钱包为用户在一个地方交易和存储由不同区块链（例如币安智能链、Polygon等）支持的 NFT 提供了更多可能性。就 Web3 内的广泛功能而言直接从钱包浏览 dApp 的可能性可以让用户更轻松地探索 Web3 生态系统。此外，与现有 dApp 的集成可以提供买卖 NFT 的能力，以及直接将 NFT 接收到钱包中的能力。钱包如何帮助管理和交易 NFT？好了，现在你已经知道什么是好的钱包了。您甚至可能已经拥有一个加密钱包，并且现在您了解了基本的安全措施。如何使用NFT加密钱包进行交易？对于涉及 NFT 的交易或 NFT 转账，加密钱包是不可避免的事情。它为您提供一个用于转移加密资产（金钱）的地址（如银行帐号）。如果您是NFT买家，您需要将您的钱包地址提供给卖家。该地址指示您的 NFT 在区块链上的存储位置。如果您是卖家，那么您需要知道需要将 NFT 转移到的钱包地址。一旦转移，NFT 就会将其在区块链上的“位置”从您的位置更改为另一个位置 - 与地址关联的位置。因此，这里有关于如何在拥有钱包的情况下管理和交易 NFT 的详细说明。案例1.您的钱包中有一个NFT，您想将其发送给另一个钱包/用户。那么，如何将 NFT 发送到另一个钱包呢？无论您使用哪个钱包，将 NFT 转移到另一个钱包（又称地址）通常需要 4-5 个标准步骤：在 NFT 选项卡/屏幕上选择要转移的代币点击“发送” 输入收件人地址/ENS 验证地址是否正确确认（注意GAS费）案例2.您在市场上购买了NFT，现在想将其发送到您的钱包顺便说一句，要在市场上购买 NFT，您还需要一个钱包，该钱包有足够的“余额”用于购买所选的 NFT。在这种情况下，您的钱包必须链接到交易所。或者，您可以使用带有直接从应用程序进行交易选项的钱包。不同的钱包在此功能中提供不同的机会。经典的步骤看起来像这样：前往市场并选择 NFT 输入您要将 NFT 发送到的钱包地址点击发送并支付转账费用然而，在某些情况下，该过程可能更加复杂并且需要手动操作借助 DingPay 钱包，您不仅可以使用应用内的 Web3 浏览器浏览市场、购买或出售您的 NFT，还可以自动将 NFT 放入您的钱包中。您不需要手动添加令牌。该应用程序搜索与您的地址关联的 NFT（即您购买和拥有的），并自动将它们添加到您的 NFT 和加密货币投资组合中。最后但并非最不重要的再检查一遍请务必检查您要将 NFT 发送到的地址。另外，传输代币时请注意指定网络。如果代币与以太坊绑定，钱包必须支持该网络上的 NFT。否则，您的代币将会丢失。注意费用转让 NFT 时需要支付费用。点击“确认”即表示您同意支付费用。不要共享数据永远不会出现您需要告诉其他人您的助记词、密码、密钥和其他仅与您有关的信息才能完成传输的情况。当心！诈骗者利用用户的无知，冒充钱包/交易提供商来说服您，他们需要您的助记词或有关您钱包的其他信息来完成转账。向他们提供这些信息可能会对您造成残酷的欺骗。 DingPay钱包是一款自我托管的钱包。将您的钥匙放在安全的地方（将一张纸放在保险箱中以提高安全性怎么样？）并且不要让任何人接触它们。否则，您有 100% 的机会丢失您的资产和 NFT，并且无法取回。来源：金色财经

金色财经2024-05-16

Tornado Cash 开发者被判刑,“Code is speech” 已死？

露其交易历史记录。 9 月 25 日：黑客从 KuCoin 交易所窃取了价值 2.75 亿美元的加密货币。这是荷兰检察官与 Tornado Cash 连接的最大黑客事件之一。 2022年 3 月 23 日：Axie Infinity Ronin 侧链桥因黑客攻击而损失约 6.25 亿美元。这是迄今为止最大的加密货币黑客攻击之一，犯罪分子通过 Tornado Cash 洗钱。 5 月 6 日：OFAC制裁朝鲜网络犯罪团伙使用的第一个虚拟货币混合器 Blender。 6 月 24 日：Lazarus Group攻击了Harmony Horizon 桥，价值近 1 亿美元的被盗加密货币通过 Tornado Cash 传输。据荷兰检察官称，这是另一起利用Tornado Cash洗钱的重大黑客攻击。 8 月 8 日：OFAC对 Tornado Cash实施制裁，因其被用于洗钱 70 亿美元。 8 月 9 日：Tornado Cash网站已被关闭，项目代码存储库已从GitHub中删除，联合创始人Roman Semenov的GitHub帐户被暂停 8 月 10 日：Alexey Pertsev在荷兰被捕并在没有公开指控的情况下入狱。 10 月 12 日：关注加密货币政策问题的非盈利机构Coin Center就 Tornado Cash 制裁起诉OFAC。 11 月 22 日：荷兰检察官在法庭听证会上首次披露指控。 2023年 4 月 20 日：Alexey Pertsev出狱待审。 8 月 23 日：美国司法部指控Tornado Cash 开发者 Roman Storm，并制裁开发者 Roman Semenov。 8月25日，Tornado Cash 联合创始人 Roman Storm 已获保释。 12月7日，币安下架Tornado Cash 原生代币 TORN。 2024年 3 月 25 日至 26 日：Alexey Pertsev在荷兰斯海尔托亨博斯市接受为期两天的审判。 4 月 5 日：美国贸易协会向法院提交了为Roman Storm辩护的简报，并处理了针对他的每项指控。 5月14日：Alexey Pertsev 因洗钱罪被判处 64 个月的监禁。 9 月 23 日：Roman Storm将在美国接受审判。审判的争议与焦点：智能合约开发者的身份边界 Tornado Cash案件审判的焦点在于，现行的反洗钱法是否适用于区块链/加密金融平台。在审判期间，Pertsev 的辩护律师 Keith Cheng 表示，包括Tornado Cash开发者在内的任何人都无法阻止其他人使用开源智能合约代码。某个智能合约的贡献者是一个去中心化的组织，而不是像传统公司那样的单一负责人。去年8月，Roman Storm 和 Roman Semenov 被美国起诉后，Coin Center（Coin Center 是关注加密货币政策问题的非盈利机构，从事研究与教育政策制定，并倡导监管方面对加密技术采取合理的监管方略）发文声援，表示Tornado Cash 最新指控与金融犯罪指导局 FinCEN 文件相互矛盾。其核心观点认为，Tornado Cash开发者仅提供了“单纯的软件开发或通信服务”，并未从事“代表公众转移资金的业务”，司法机构不应将“服务提供者”与“资金转移者身份”混淆，Tornado Cash 对智能合约唯一的控制权是改变其中与隐私功能相关的密码学逻辑，而并不具备任何实际查看或移动用户资金的能力。今年4月初，Coin Center在就Roman Storm在纽约南区正在进行的刑事案件中提交的法庭之友陈述中表示，希望法院删去检方对Tornado Cash的模糊和有偏见的描述，开源软件开发人员无法控制其他碰巧使用其工具的人的行为，而Tornado Cash代码发布受到美国宪法的明确保护。此外，Coin Center还认为此案的起诉陈述和判决“与从事单纯的开源软件开发、发布代码和演讲工作的人”利益攸关，并呼吁保障美国自由开发和发布软件的权利。 Roman Storm的律师在 3月底向美国纽约南区地方法院提交的文件中还提到，Tornado Cash 作为一个非托管的智能合约，用户对此全权拥有其资产的控制权，而无需依赖任何服务提供商或第三方委托持有。编写程式属于言论自由的范畴，因此受到美国宪法第一修正案的保护。但在14日的审判中，法庭拒绝了这样的观点，他们认为，任何一种技术创新都不能超越防止平台帮助犯罪分子和受制裁实体隐瞒被盗资产来源的法律义务。检察官 Martine Boerlage 对Tornado Cash 的最终定性为其“不仅仅是智能合约，它像一家公司一样运作”。美国司法部重申，其起诉书与 Tornado Cash 的计算机代码是否具有言论自由或是否受第一修正案宪法保护无关，被告并未因发布计算机代码而受到起诉，而是因利用它来促进有利可图的非法业务而受到起诉。司法部进一步解释说，银行使用计算机代码来处理金融交易。如果该代码执行法律定义的货币传输器的工作，那么该代码不仅仅是言论自由，而是人们须确保以不违反货币传输法的方式实现的计算机代码。Tornado Cash 既是代码的一部分，也是言论的一部分，还是商业的一部分，整体而言，它是人类的创造物。Storm 不仅仅发布了代码；他经营了一个企业，多年来都做出了运营决策。Tornado Cash 的协议并不等同于 Tornado Cash 的业务。仅仅因为 Tornado Cash 有一些开源代码，并不意味着 Roman Storm 作为 Tornado Cash 业务所有者涉及该代码的所有行为都受到宪法保护。请愿、抗议与捐赠加密货币律师 David Lesperance 曾表示，从法律上讲，Alexey Pertsev 的案件对 DeFi 的未来比针对 SBF 和Do Kwon 的简单欺诈案件或赵长鹏未能制定所需的反洗钱协议更重要。正因为Tornado Cash 案件极具代表性，三位创始人得到了各种形式的支持。加密社区特别是开发者群体的对 Pertsev 的被捕表示强烈抗议，除了各种社交媒体上的请愿和声援，此前荷兰法院外还有人发放支持 Alexey Pertsev 的海报。 22年8月，一些匿名加密用户甚至通过投毒”式攻击来抗议，通Tornado Cash将少量ETH打给了知名加密人物的地址，以此来表示对美国政府此轮制裁的不满。神鱼、孙宇晨、Coinbase CEO Brian Armstrong、艺术家Beeple等多位知名KOL被“投毒”。此外，有加密社区成员于今年1月22日在众筹平台 Juicebox发起名为“Free Alexey & Roman”的捐赠活动，作为帮助 Tornado Cash 联创 Roman Storm 及开发者 Alexey Pertsev 免于法律惩戒的法律辩护基金。截至发稿前，该基金共收到834笔捐款，总金额达548.49ETH，约合160万美元。以太坊联合创始人 Vitalik、加密交易平台 Kraken 联合创始人 Jesse Powell 等都为基金提供了捐赠。值得一提的是，在昨日Pertsev被判刑后，捐款的笔数突然持续增加，也有人留言“privacy is not a crime”“code is speech”“defend freedom”“XX stands with privacy and open-source public goods”等来为Tornado Cash的开发者以及“加密精神”声援。硬币的另一面尽管Pertsev 本人一直强调自己只是一名程序员，没有任何犯罪意图。他对犯罪分子使用龙卷风现金隐瞒非法所得感到“失望”，但他对此无能为力。法官在向Pertsev追问他是否足够严肃地对待犯罪行为时，调出了Pertsev 与联合开发者 Roman Storm 和 Roman Semonov 的群聊记录，Pertsev 对价值 6.25 亿美元的 Axie Infinity Ronin Bridge 遭到黑客攻击的消息做出了“哈哈”的回应。但Pertsev表示，这并不意味着他认为这很有趣，而是自己表达惊讶时的习惯。此外，一个客观事实是，Tornado Cash从被制裁至今，仍是最大加密混币器。黑客和协议攻击者仍在不停利用这个工具进行洗钱。一方面，Tornado Cash开发者的判决将使技术发展和隐私的未来受到威胁。另一方面，现实是，从法律的角度而言，技术不可能是中立，其必然建立在人与人之间的关系之上。来源：金色财经

金色财经2024-05-15

前几天暴涨的加密货币,现在还值得投资进场吗？

户上出现神秘推文后，人们怀疑该页面遭到黑客攻击。尽管这一争议在加密货币圈子中流传，但从其价格图表可以看出，该项目仍然具有弹性。 NEAR 每周增长 3%，令人印象深刻，自 5 月份以来增长了 44%。专家预测 NEAR 在接下来的几周内会出现更高的峰值。NEAR 的价格正在稳步上涨并且势头强劲。然而，它接近 6.215 美元的关键支撑位。尽管如此，上升趋势表明复苏反弹即将挑战之前的 9 美元峰值。这标志着当前回调阶段的结束并表明需求增加。目前，NEAR 的交易价格为 7.16 美元，有望突破 8 美元大关。长期支撑趋势线也延伸了看涨趋势并形成更高的高点。 FLOKI Floki 的价格在过去一天上涨了 10% 以上，这对于迷因币影响者 Roaring Kitty 时隔三年回归来说是一件大事。这一惊喜以及 Floki 在 3 月 14 日触及 0.00031387 美元的高点以及此后的一些起伏使 Floki 的价格合理稳定在 0.00013000 美元左右，直到最近的上涨。经过几个月的下跌后，Floki 的价格形成了看涨的三角旗形态。昨天，它看涨地突破了这种模式，为大事奠定了基础。如果 Floki 成功突破 0.00020 美元的关键心理阻力位，在某些基于趋势的斐波那契水平的支撑下，它可能会飙升 50%，甚至可能在未来几周内触及 0.00030 美元。 Floki DAO 刚刚建议燃烧超过 150 亿个代币。就此事而言，价值 280 万美元的 154 亿 FLOKI 已转移至 Floki 多重签名。因此，一项提案建议将 1% 的代币返还给受影响的钱包。同时，该提案旨在消除 152.4 亿个代币，返还 1.54 亿个代币。在此期间，Floki Inu 的价格在过去 24 小时内上涨了 12.36%，在当前交易中达到 0.0001918 美元。加密货币交易量同期飙升 320.12% 至 5.1894 亿美元，推动了积极的市场情绪。正如之前所观察到的，FLOKI 代币的销毁会对代币的价格走势产生积极影响，从而促进上涨趋势。CoinGape Media 此前曾强调，在今年早些时候销毁近 1900 亿枚代币后，Floki Inu 的价格飙升。这一趋势表明 Floki 未来价格的乐观前景。来源：金色财经

金色财经2024-05-15

24小时热点