FX168财经网_全球视野外汇黄金加密货币NFT资讯网

警惕链上地址投毒“相同尾号空投”和“零U投毒”全面技术分析

只需要仔细确认地址小心别转错账就没事，黑客的手法很简单： 1.在链上监控几个稳定币的转账信息，捕获受害者地址A正常发送给用户B的转账信息。 2.精心构造与用户地址B首尾一致的黑客地址C，使受害者A与黑客地址C互相转帐0U。 3.受害者A下次转账时粗心大意直接复制历史交易的地址时，很容易错误复制到黑客准备的地址C，从而将资金转错账。技术原理分析针对bsc链上的token攻击主要包含BSC-USD、BUSD、USDC、ETH等，大部分是通过攻击合约批量调用transferFrom()函数，也有手动调用transfer()函数的情况和针对主币的情况，原理基本一致。在攻击者调用攻击合约的一笔交易中，攻击合约只调用了 BSC-USD 的 transferFrom() 函数，通过对参数填充sender、recipient、amount可以实现操控任意地址间的0 USD转帐，同时产生授权Approval()与转账Transfer()的事件。例如下图：用户经常转账的地址为「TUahsb…JjXyp3」，伪装地址为「TSeqQh…sjXyp3」，它们有相同的尾号「jXyp3」。最后总结本文主要介绍了链上地址投毒方式“相同尾号空投”和“零U投毒”，生成相同尾号的地址作为伪装地址，并利用伪装地址向用户不断空投小额的 Token，使得骗子的地址出现在用户的交易记录中，用户稍不注意就复制错误地址，导致资产损失。”波场助手(trxhelp.org)”在此提醒，由于区块链技术是不可篡改的，链上操作是不可逆的，所以在进行任何操作前，请务必仔细核对地址。来源：金色财经

金色财经2023-05-12

涅槃重生,BitKeep如何闯出千万用户新起点

然。我还记得去年底BitKeep遭遇黑客攻击，被盗800万，新闻一出不少人都担心它会不会就此一蹶不振。这些年来，我在区块链看过太多黑客攻击事件，从排名前几的交易所，到初创DeFi项目，公链、跨链桥、DEX、NFT...安全的警钟一直长鸣，仅去年一年，就发生超过300多起黑客事故，造成超过36亿美元损失，许多公司在这场生死存亡的考验中败下阵来。当时，我也为BitKeep捏了一把汗。然而，事实证明人们低估了BitKeep团队的决心与实力，BitKeep扛起了自己的责任，自掏腰包垫钱，默默地一笔一笔赔付给受损用户，到今年年初已经对所有通过审核的用户完成了全额赔付，BitKeep又站起来了！面对黑客攻击与重大损失，BitKeep选择了最为正面且负责任的方式来解决——全力保护用户利益，重建信任，让区块链生态在这场安全考验中看到希望，给我们演绎了什么是责任与担当，什么是区块链企业的正确价值取向。安全事故发生后，以实际行动承担一切后果并重建信任。这份担当，值得业界学习。我想，这也是BitKeep在受打击之后，市场份额和用户体量不减反增、并且受资本青眼的根本原因。很少看到这种“转危为安”的传奇故事，也让我们见证了一家创业公司在经历重大安全事件后，依然保持韧性与生命力，快速重塑产品与品牌，成功打开新篇章的魄力与志气。今年以来，BitKeep表现卓越，取得了迅速而充实的成就，不但成功度过了安全考验，在短短数月内全面重塑旗鼓，更是以敏锐的市场视角，引领用户抓住多个热点机遇，通过丰富的产品和福利活动吸引大量用户，已成为多条主流公链上重要的生态参与者和价值传导者，有望成为Web3领域的领导力量之一。 BitKeep在Web3世界频频发力，推出了Arbitrum、Sui Network期货通证ARBK和SUIBG，作为早期免费兑换项目官方通证的唯一途径，获得用户热烈反响。ARBK曾位居Arbitrum新用户项目交互热度榜首，在空投推出一周内，链上持币地址数超14万，交互量近60万次，一周最高涨幅近250%；SUIBG也曾位列生态交互热度榜单前二。除期货通证外，BitKeep近期还发行了灵魂绑定通证BSTB，记录用户使用和贡献过程中的足迹，与用户共享平台的发展成果；还发起了「Power of B，2023年度空投计划」，通过多场价值空投向用户传递价值，解锁丰厚福利。 BitKeep内置的NFT交易市场在多条公链上占据市场份额前二，仅次于甚至超过OpenSea，比如在币安链和Polygon链市场份额第一，在Arbitrum第二，交易量、活跃钱包数表现优秀，为多条链上NFT 交易市场注入强劲的交易量和流动性，大力扶持公链生态发展。今年，BitKeep还和Polygon上最大的P2E游戏Planet IX联合推出了一款灵魂绑定通证PO100M，BitKeep为Planet IX贡献超过85%的交易量，见证且推动了Planet IX在Polygon链达到1亿次交易交互的成就。在BitKeep的多链版图中，BitKeep Swap的跨链交互也受到很多人好评，它支持十几条公链之间的跨链交易，无需主链币也不影响交易，最近还上线了限价委托功能，进一步提高了链上交易体验。与此同时，BitKeep也获得了资本市场的广泛支持，Bitget交易所以3亿美元估值向BitKeep追加投资3000万美元，帮助BitKeep提升其产品和服务的稳定性及安全性，之后BitKeep会拥有更多资源完善业务与技术，将助其进一步拓展版图。千万不是终点，而是新篇章的开始。我相信未来会见证更多BitKeep带来的惊喜，拭目以待。来源：金色财经

金色财经2023-05-12

CoinW Labs联合主办的第二届东京Web3夏季黑客松将于5月17日正式开赛

s联合主办的第二届日本东京Web3夏季黑客松（Tokyo Web3 Spring Hackathon，TWSH）第一场路演活动将于5月17日举行。此次也是CoinW Labs首次参与黑客松大赛，希望通过此次活动可以挖掘更多更优质的项目，帮助参赛项目加速成长，让优质项目快速进入全球视野。该活动已经吸引了包括DeFi、GameFi 、元宇宙、NFT、SocialFi、零知识证明（ZK）、加密AI融合、创新型稳定币、DePIN（去中心化物理基础设施网络）、灵魂绑定代币（SBT）、完全链上游戏、新型社交应用等全球数百支队伍及个人参赛。参赛者将在有限时间内，和志同道合的小伙伴一起，共同探索Web3领域可持续发展的潜力项目。届时，来自日本政府、全球顶级VC、知名Web3孵化机构、优质Web3项目代表等数十位嘉宾将莅临活动并做现场发言。CoinW Labs全球策略及增长经理Carmen Tan也将受邀出席此次大赛并进行主题演讲及参与圆桌论坛。在优质项目挖掘方面，CoinW Labs一直位居行业前列。从2022年成立至今，已成功挖掘并孵化 300+ 项目，整体实现 20 倍以上的财务投资回报。此次也是其首次通过黑客松大赛寻找潜力项目。作为一家全球一流分布式生态孵化实验室，CoinW Labs将为优质Web3项目提供行业领先、专业性强的全球区块链投资孵化服务，以加速项目成长并实现区块链领域的可持续增长和成功。根据大赛安排，4月至6月活动期间，将陆续组织项目报名、筛选及评审、Demo Day线下展示（东京虎门）、线上预选赛和优秀项目路演。9月，在日本进行颁奖仪式。第二届TWSH最终将会评选出冠军1组、第二名2组、第三名6组，奖金总计1,000万USDT。获奖项目除了获得现金奖励外，还有可能获得数百万美元的额外投资。 CoinW Labs希望此次大赛能够为优质Web3项目方提供展示、寻找优秀团队合作的平台；同时也为Geeks提供施展才华，通过线上和线下的黑客松发现机会和发挥创意的地方。TWSH开赛在即，目前还有少量参赛名额，优质项目可以通过添加TG群@ CoinW & TWSH 2023。来源：金色财经

金色财经2023-05-12

对话Blur核心贡献者：如何拓宽NFT交易之路？

个人对池子的借贷协议，几乎每一次发生的黑客攻击都是由于预言机失效故障造成的。Blend 把这部分直接拿掉了，不让它成为风险系统的一部分。对于贷方来说，你是对的，这确实给管理头寸带来了更多的复杂性。周期池模型的一个好处是它非常简单，你可以把你的 NFT 放进借贷池中，它就会被借出。我们注意到，在金融化市场中，随着市场的增长，流动性提供者实际上变得更加复杂。这里的一个很好的例子是，如果您实际查看代币交易写入 DEX，Uniswap v2 是一个非常简单的池子模型。每个人都把他们的代币放进池子里。Uniswap v3 所做的实际上把这一点放大了，不是有一个单一的池，每个人都可以有不同的池范围，它基本上允许你有一个分散的资金池。这对流动性提供者来说要复杂得多，但它实际上允许更高阶的流动性提供者进来，以更广泛的流动性提供资金池。现在 Uniswap v3 是以太坊上占主导地位的 DEX 模型。之所以会变成这样，是因为这种更具表现力的模型对用户、需求方来说要好得多，而且对流动性提供者来说实际上要灵活得多。所以在每一种市场中，都从简单的流动性提供者开始，但基本上随着时间的推移，流动性提供者和几乎所有金融市场一样，最终变得更加复杂，以便以更具创造性和多样化的方式追逐收益率。 Mable：我在推特上看到一条推文，目前 Blend 只能用 Azuki、Cryptopunk 和 Milady 做抵押物，是这样吗？这是有意为之的风险控制吗？ Pacman：因为 Blend 是一种点对点模型，相比普通的点对池模型，Blend 支持的更多集合。因为在点对池模型中，存在系统性风险的问题，交易对手不是池子，而是提供流动性的所有出借人。池子唯一能做的就是将每个人的风险参数基本上强制归于相同的参数。例如在 Blend 中，你可以模仿这个过程，只需要让所有出借人选择相同的条款即可。但是这个方法的问题在于，由于风险参数的缺乏多样性，你面对的系统性风险水平就更高了，无论是在 DeFi 还是 NFT 方面的 P2P 池模型中，总是必须限制它们能够启用的市场。因此，如果你看看 AAVE 或 Compound，它们只有大约 10 个市场。再看看 Binance，看它们允许借款的市场，你会发现它们有数百个不同的市场可以借款。这是因为他们可以，这不是一个池模型，对吧？他们有市场制造商在所有这些不同的市场上提供条件，们可以在贷款条款中有完全的风险控制能力。与 Blend 相似，它可以在比普通的点对池模型中启用更多的收藏品。但是，由于这是一个新的协议，我们希望确保每个我们支持抵押的 NFT 系列都有足够的借贷流动性。因此，我们不想一次性推出 100 个收藏品，因为那样会分散流动性。这是一个新系统，我们希望人们能够学习它的工作模式，所以决定只从 3 个不同价格点开始，让市场了解协议的工作模式，并在其中建立流动性。然后，我们可以添加和列入新的收藏品。之所以从这么少的数量开始，是因为想建立一个流动高效的市场。如果有收益可得，借方将进入，流动性将进入，市场就会随着时间的推移变得高效，它总是朝着高效的方向趋势发展。但是，如果我们一开始就有 100 种不同的收藏品，也许市场会在一个月的时间内逐渐趋于高效，但我们不希望这样。我们希望市场在第一天就立即充满流动性。因此，这就是为什么我们只从 3 个收藏品开始，以集中流动性和关注度。现在已经过了几天，我认为借方正在逐渐学习这个系统的工作方式。因此，我们很快将添加新的收藏品。 Mable：我有两个问题。一个是关于清算，因为现在是熊市，Gas 费用较低，所以没有所谓的清算失败或链上拥堵。但是在牛市中，这种情况经常发生。那么你们考虑过转移到其他 EVM 链上吗？ Pacman：当然。作为核心贡献者，我们考虑过将 Blend 扩展到其他链条上，并且我们绝对是感兴趣的。但是现在我们仍然觉得以太坊上有更多的机会，还有很多基础设施需要开发。一旦我们完成这个目标，然后我们将探索移动到其他链上，但我们想要确保先尽可能地发展以太坊的 NFT 市场。因为它是最大的 NFT 市场，我们仍然看到很多唾手可得的机会可以改进。所以我们要先做好这一点。 Mable：在 NFT 领域的金融产品变得更加复杂时，我认为在以太坊链上探索更多的 MEV 机会也会增加。另外一个方面是，金融市场中现货交易量只占很小的一部分。Binance 开始做永续合约后，他们才成为了绝对领先的平台。所以你是否看到这个情况，推出更多其他与 NFT 相关的复杂产品？ Pacman：如果你研究金融市场，你会发现每个万亿级别的金融市场都是通过越来越先进的金融化和专业化来增长的。这使大型机构投资者能够进入市场，从而提高流动性，最终用户提供更好的价格，促进市场的增长。如果你看看 Token 交易，我们从现货交易逐渐演变到了保证金交易、期权、期货、衍生品等交易方式。随着基础设施的发展和金融化的加强，Token 市场发展迅速。我们看到 NFT 也正在经历这样的趋势。不同的是，NFT 是一种非常独特的资产。它们不是可替代 Token，每个 NFT 都是独一无二的。虽然在底层和一些中等和稀有的 NFT 中有一定程度的可替代性，但最终还是非同质化的资产。这意味着，虽然我们可以从 Token 市场的发展以及基础设施方面获得灵感，但我们不能简单地复制粘贴。例如，对于借贷，我们不能只是复制像 AAVE 或 Compound 这样的协议，我们必须与 Dan Robinson 从头开始设计一个新协议。当涉及到其他高级金融基础设施时，我们可以通过建立这种先进的金融基础设施来扩大市 NFT 场，从而实现更多的流动性、更多的参与者进入，以及更好的用户体验。但它必须以 NFT 本地化的方式完成。我认为这就是为什么你会看到，即使是在 Blur 交易平台起步的现货交易，每一个大型加密货币交易平台，比如 Binance、OKX、Coinbase 等，都推出了自己的 NFT 市场，但没有一个 NFT 市场真正起飞。因为 NFT 在本质上是与 Token 非常不同的资产类别。你可以从这些想法中汲取灵感，但你不能把那些在 Token 世界中行之有效的方法直接复制到 NFT 世界中。因此我们非常兴奋地探索这个领域。但我认为这也需要更多的创新，如果只是把代币世界中的一些想法直接复制到 NFT 世界中，是不会成功的。只有发明出一些新的 NFT 本地化的东西，它才会起作用。 Mable：非常鼓舞人心，现在转换一下话题，谈谈 Blur 通证的治理。BLUR 通证的持有者使用他们的治理权做了什么，特别是为 Blend 协议做了什么贡献呢？ Pacman：当我们设计这个代币时，我们考虑的关键因素之一是 Web 3 使得我们能够为协议的最终用户提供对网络的控制和价值累积。归根结底，市场只有在它周围发展的网络存在的情况下才具有价值，而不是因为基础设施。在 Web2 中，市场的价值来源和所有者之间有着很明显的区别，来自市场的价值只有网络本身。当我们看 Web3 时，一个真正引人注目的事情是，借助 Web3 中可用的基本构件，可以构建一个系统。我们可以方便地为网络参与者（那些实际上正在创建网络价值的人）提供基础设施，最终把网络所产生的价值以 Token 的形式捕获并反馈给网络本身。因此，当我们设计 Blur 时，我们想确保 BLUR 通证控制网络的价值增长和分配。具体而言，BLUR 通证可以用作启动 Blur 市场和 Blend 协议的费用。对于 Blend，BLUR 通证基本上控制该协议的价值增长，还控制着分配，有大量的 BLUR 通证金库。而金库授予只能通过 BLUR 持有者的投票进行，这是赋予整个网络价值的关键，因为只要有一个 Token 可以让你控制网络的价值增长和分配，那就基本上是赋予了任何东西价值。这就像是一种能够捕捉财务增长、协议增长的能力，而这种增长只有通过社区的去中心化采用才会发生。这就是我们关于 Blur 的思考。在我们研究 NFT 市场时，BLUR 通证还能实现另一个关键功能。如果你是一位投资者、机构，如果你想在 NFT 市场上获得曝光，那么在 Blur 之前，你想不出任何方法，因为 NFT 流动性不足以让你购买 1 亿美元的 NFT。唯一的另一种方式是在 Opensea 中获得私募股权，但这对于绝大多数人来说是非常难的。现在有了 Blur，绝大部分的 NFT 市场交易量都是通过 Blur 市场协议进行的，而现在 NFT 借贷市场的绝大多数交易量也是通过 Blur 进行的。基本上，现在任何人都可以通过 BLUR 通证获得 NFT 市场增长曝光度，不仅仅是 NFT 市场的整体增长，还可以提升 NFT 市场增长最快的细分领域曝光度，比如 NFT 的金融化和专业细分市场。就像 Token 市场一样，这个机构化的高级交易者市场是最快增长的，也是最有价值的细分市场之一。因此，BLUR 通证的作用是让任何人都可以获得增长和曝光度。 Mable：你刚刚说的让我想到了「胖协议」理论（USV 2017 年发表的一个著名主题论文）在大众应用维度上的新理解。很多人或许认为「胖协议」理论无法适用于大众应用层面。但是我认为 Blur 的发展成功展示了一个大规模采用的应用层协议的增长是如何从去中心化中获益的。我觉得这非常有趣。 Pacman：实际上，我认为 Blur 是协议论的一种演变或修改。Blur 是一种「胖通证（Fat Token）」理论的体现，因为 Blur 市场协议和 Blur 借贷协议实际上是两个不同的协议，它们拥有独立的合约，但它们都由同一个 Token 控制。意义是它们都与 NFT 行业的增长有关。所以无论你是否相信 NFT 现货采用率增长，还是您相信 NFT 金融化增长都没关系，$BLUR 由于控制着这两个部分的价值积累，所以它基本上就像是一个 Token，涵盖了 NFT 市场增长的每个领域的指数曝光。 Mable：我有一个最后的问题。目前 Blur 的用户交互与体验更多的适用于交易针对社区展开的 NFT，你认为该界面是否也适用于游戏中和应用中的资产交易？说到游戏中或应用，更多会联想到内置的、交易与游戏的主题和情境相匹配，比如 STEPN 或其他一些游戏。 Pacman：我认为这个界面绝对可以。当我们思考 Blur 的时，我认为金融业真的给了一个很好的案例，我们开始关注专业交易者和加密原生人群。随着时间的推移，将产品和协议扩展到市场更广泛部分。所以现在有一个非常好的金融应用，也有一个非常好的金融零售网站，未来还有交易、永续交易等。当我们思考 Blur 时，我们肯定会将焦点放在 NFT 原生人群上，但作为核心贡献者，我们始终关注扩展产品并在 Blur 已经拥有的基础之上构建。当考虑当前的界面时，最终界面真正面向的是大规模 NFT 的高级交易者，所以任何类型的 NFT，无论是 PFP 还是游戏内资产，只要它是具有图像或某种视觉表示和特征的资产，就适合在 Blur 上进行交易。但是，有一些 NFT 具有非常特定的独特属性，例如 ENS 名称。名称并没有视觉组件，而只是单词，因此这是一种非常不同类型的资产。对于这种特殊资产，Blur 并不是特别适合。对于一幅一对一的艺术品，情况有些不同，因为你不会真正交易它，而是会长期购买并持有。所以这种资产类型不是很好。但是，任何具有视觉特点并具有交易活跃性的资产，在 Blur 上交易都是非常合适的。来源：金色财经

金色财经2023-05-11

黑客是吧？给你个成为好人的机会：如何靠漏洞赏金谈判追回资产？

既不是明确定义中参加漏洞赏金计划的白帽黑客，也并非是纯粹的盗取资产的黑帽黑客，我们可以将其称为“灰帽黑客”以作区分并加以分析。漏洞的恶意利用在多年来一直困扰着Web3.0，这些恶意安全事件针对的目标往往是协议、智能合约和基于软件的应用程序，如自托管钱包，而其结果也通常是黑客「功成名就」，携款潜逃。然而现在已经有越来越多的协议可以与攻击者成功谈判并协商资金返还。 CertiK统计了2020年10月至2023年3月中被利用而后又被返还资金的25个协议数据： ☞ 总计约13.5亿美元的资金被盗 ☞ 总计约9.92亿美元(73%)的资金被退还 ☞ 总计约3.145亿美元 (23.1%)的资金被攻击者保留 ☞ 其余约3.9%的资金在此过程中丢失或被冻结 2023年到目前为止，8个导致约2.215亿美元资产被盗的重大漏洞恶意利用事件中有有大约1.88亿美元（84.8%）被退还。一些未归还的资金被保留作为白帽赏金，以引起人们对协议漏洞的关注。其他未返还的资金的部分情况是源自攻击者的要求。而在这25个协议中，有四个协议的资金被全部返还了。攻击者以不同的方式处理归还被盗资金的问题。其中一些归还了所有被盗资金，而另一些则归还了部分资金或拒绝归还。因这些漏洞利用事件最初的恶意性质，以及一些攻击者在与受害者展开谈判后改变主意，我们将这些事件归类为灰帽情况。在Cashio.App经历了一次被攻击者盗取5000万美元的事件后，他们最终将资金返还给那些账户中不足10万美元的投资者，剩余的钱据称被捐给了慈善机构。 Mango Market的情况较为特殊：攻击者Avraham Eisenberg总计盗取了该协议的1.17亿美元，最后归还了约6700万美元，但他声称他的行为是合法的——“只是一种高利润的交易策略而已”。尽管与Mango Market达成了协议，但Avraham Eisenberg后来仍因策划对Mango Market的攻击行为而被美国证券交易委员会起诉。在过去的几年里，Web3.0货币行业一直遭受着越来越多的漏洞利用和黑客攻击。但协议似乎正在试图与攻击者们进行更深入的谈判，以期收回大量被盗资金。通常情况下，这些谈判发生在公开场合（例如社交媒体或攻击者与受害者之间的链上信息）中——在交易中给匿名黑客留下信息，往往是与他们取得联系的唯一途径。这样的趋势可能表明Web3.0行业正在发生越来越大的转变，协议和投资者的风险变得更小，安全性更高，尤其是在项目可创造市场激励措施以推动攻击者进行谈判的情况下。为了进一步探讨这种可能性，我们想通过分析这些公开谈判及其最终结果来研究受害者采用的不同谈判策略。我们选择研究四个不同的协议（Poly Network、Allbridge、Euler Finance和Sentiment Protocol）的谈判过程。之所以选择这些安全事件，是因为它们均属于大规模攻击事件，而且除了Poly Network之外，大部分都在一个月内成功地收回了资金。尽管这四个协议使用了不同的策略，但它们都将赏金作为黑客返还资金的激励。 Poly Network 2021年8月10日，黑客利用Poly Network代码中的一个漏洞，窃取了超过12种不同Web3.0货币的资金，总损失超过6.1亿美元。同一天，Poly Network通过链上信息直接联系了该黑客，要求他们与之取得联系。最终协议提出，如果资金被归还，将给予黑客赏金。Poly Network还在推特上发表了一封致黑客的公开信，称“任何国家的执法部门都会将此视为重大经济犯罪，你将会被追究责任”。在事件的最后，Poly Network甚至对黑客加以赞赏，称他们“希望将作为历史上最大规模的白帽黑客而被铭记”。但黑客回应称，一开始他还未来得及回复Poly Network时，该协议就在让投资者和其他人敦促和指责他们，而他们其实并没有将被盗资金洗钱的打算。不仅如此，在这个过程里，黑客还在通过交易票据与Poly Network进行沟通，表示他们打算先从返还altcoins开始，并询问是否可以将被盗的USDT解冻，如果成功解冻，他们将归还被盗的USDC。 Poly Network并未对该问题进行回应，这一步应该是走对了，因为黑客第二天就开始向三个Poly Network地址归还资金了。黑客后来又发来消息说，他们将提供他们用来归还资金的多签名钱包的最终密钥。黑客最终归还了所有被发送到多重签名账户的被盗资产。除了价值3300万美元的USDT被Tether冻结外，大部分损失的资金都被返还给了Poly Network。礼尚往来之下，Poly Network向黑客创建的一个独立账户支付了160个ETH（约486,000美元）的漏洞赏金。但黑客将赏金退回给了Poly Network，并要求将该笔费用分配给那些受影响的投资者。复制链接【https://heystacks.com/doc/977/polynetwork-and-hacker-communicate】至浏览器查看Poly Network和黑客之间的完整谈判记录。 Allbridge 2023年4月1日，Allbridge遭受了一次针对其在BNB Chain上BUSD/USDT池的攻击。该项目最初表示，该攻击只影响那些BNB Chain池，但漏洞可能扩展到其他池中。为了防止这种情况，Allbridge停止了他们的桥接平台，并为流动性资金池运营商创建了一个网络接口来提取余额。就像Poly Network一样，在攻击发生后不久，Allbridge宣布将向黑客提供赏金，并补充说如果被盗资金被返还，黑客将免于承担任何法律后果。4月3日，该团队宣布收到了攻击者的信息，1,500 BNB（约46.5万美元）被返还给了该项目。黑客手中仍保留价值约10.8万美元的资产。 Allbridge提到还有另一名黑客使用了与第一个攻击者相同的手法，但这个黑客尚未主动与平台取得联系。Allbridge敦促第二个黑客露面并开启谈判，讨论返还资金的条件。截至撰稿时，尚未获得该事件进展的任何消息。 Euler Finance Euler Finance黑客攻击是2023年迄今为止发生的最大规模漏洞利用事件。 2023年3月13日，Euler Finance资金池遭遇闪电贷攻击，损失总计约1.97亿美元。如同Poly Network和Allbridge案例，Euler Finance表示如果攻击者归还剩余资产，会向攻击者提供10%的赏金。然而，该项目在谈判策略上采取了更激进的方式，在发出赏金声明的同时也发出了警告：如果攻击者不退还剩余的90%的资金，他们将悬赏100万美元获取有关攻击者的信息。尽管有此警告，黑客还是向Tornado Cash转移了大约178万美元的被盗资金。随后黑客通过链上消息与Euler Finance进行了联系。 3月21日，Euler Finance履行了警告中的行动，在攻击者不再回应后发起了100万美元的赏金悬赏攻击者信息，四天后，攻击者选择将资金返还Euler并道歉： 4月3日，Euler Finance在其推特账户上宣布，与黑客谈判后他们收回了所有的“可收回资金”。另外Euler Finance还补充表示，由于黑客“做了正确的事”，他们将不再接受可能导致攻击者被捕的新信息，意味着100万美元的悬赏行动到此为止。 Sentiment Protocol 2023年4月4日，Sentiment Protocol遭到攻击，损失近100万美元。 4月5日，Sentiment Protocol在其推特账户上公布了该漏洞，并暂停了主合约（仅允许提款），以减轻进一步资金损失。 Sentiment Protocol提出与攻击者进行谈判，承诺赏金的同时发出警告：如果攻击者在4月6日之前没有返还资金，那么原本承诺给他们的“白帽”赏金将变为悬赏追捕他们的赏金。与Allbridge一样，该协议还承诺如果资金返还，他们将不会对攻击者采取法律行动：次日，Sentiment Protocol向攻击者提供了9.5万美元的赏金，前提是攻击者在4月6日UTC 8:00之前归还资金。 4月6日，Sentiment Protocol宣布攻击者已返还90%资金。如何与灰帽黑客谈判？正如在本文四个案例中看到的那样，所有协议都发布了用以换取被盗资产的赏金。 Euler Finance和Sentiment Protocol均向攻击者发出警告（用赏金悬赏攻击者信息）。Allbridge和Sentiment Protocol还宣布称如果资金被退回，则不会对黑客采取法律行动，而Poly Network明确表示将联系执法部门。在这四个协议中，其中两个的“可收回”资金被全额返还，Allbridge仍在与第二个黑客进行谈判。Sentiment Protocol则是在经过两天的谈判后成功收回了90%的资金。由此我们可以看出，在与攻击者的谈判中，赏金是一个非常有效的手段。然而其也有一定的潜在风险。例如攻击者拿到赏金后不履行承诺，而继续泄露数据或再次攻击。另外，一些国家和地区可能会对支付赏金的行为采取法律措施。因此，组织需要对风险和合法性进行评估，并制定有效的策略以确保安全地进行赎金支付并尽快恢复被盗的资产。来源：金色财经

金色财经2023-05-11

Messari发布波场TRON2023年第一季度报告：日均交易数为以太坊网络7倍

度的330亿美元。此外，波场还通过波场黑客松大赛、波场学院、TRON气候倡议等方式持续引领生态和社区的发展，并积极布局人工智能领域。来源：金色财经

金色财经2023-05-11

一文梳理ParaSpace“内斗”大戏始末

，并流出到 yubo.eth。三是自黑客事件以来，该地址内大约有超过 1000000 美元的资金流向了各种地址（包括 CEX 地址），一些则可追迹至 Circle 赎回操作。 Odaily 星球日报注：前情提要：今年 3 月，ParaSpace 曾遭遇黑客攻击，但由于安全公司 BlockSec 阻止及时，抢救了 2900 ETH 的资金，随后 BlockSec 通过将这些资金转到了 0x909 开头地址归还给了 ParaSpace。针对 Jay 的指控，Yubo 回应要点如下： 0x909 开头地址实际上是 ParaSpace 的日常运营钱包，出于效率原因，当前该地址确实是由其本人控制的 EOA 地址，但已有计划将该地址升级为多签。之所以没有完全将 BlockSec 归还的资金返还协议，是因为协议债务缺口为美元本位，而 BlockSec 返还的则是 ETH，所以选择了结合市场变化情况，以一、二周的频率逐步卖出并补足协议债务缺口，该缺口最大时曾高达约 570 万美元，现仅剩 70 万美元左右（注：Twitter Space 结束后不久，Yubo 发推称已偿还了最后的 70 万美元，补平了债务缺口。）至于多笔小额转出，实际上是对 ParaSpace 员工的发薪交易，这些均可提供相关记录。核心争议二：夺权控制权之谜，协议现在究竟谁说了算？除了资金流水上的分歧之外，Jay 还在直播以及推文中称，为了保护 ParaSpace 的安全，多签成员组已将 Yubo 踢出了协议多签地址的签名人员之列。对此 Yubo 反驳表示，ParaSpace 协议的多签地址现有 5 位签名人，其中 1 人为 Jay 的“亲信” Thomas Schmidt（职位为首席运营官，也签署为前文提到的长推），剩下 4 人中 3 个是技术人员， 1 个是 base 美国的研究人员，这 4 人均作为正式员工与 ParaSpace 签署有正式的劳工协议，目前律师已与这些员工进行了沟通，他们也意识到了受到了 Jay 等人的蒙蔽，愿意配合 Yubo 的后续工作。简而言之，Yubo 表示是协议实际仍在自己的控制之内。围绕着这个问题，双方紧接着进行了一轮激烈的辩驳，但对于外界来说，当下的控制权仍无法完全确认。用户资金是否安全？综合 Yubo 和 Jay 发言，本次事件关于资金的主要矛盾点都集中在 0x909 开头地址的流水之上，除了 BlockSec 还款部分之外的用户资金并不受影响，而随着最后 70 万债务缺口的填平，这意味着理论上该归属用户的资金已被足额补齐。考虑到 ParaSpace 的合约已被多家机构合约审计（虽然仍被黑客盗币），且 Yubo 和 Jay 虽在项目控制权上争夺不休，但都期望能够继续主导项目的后续开发运行，理论上来说说用户资金是安全的。来源：金色财经

金色财经2023-05-11

ParaSpace陷入内部纷争麻吉大哥称要支持Founder

制着2023年3月18日一笔已被恢复的黑客攻击的资金的一大半，这些找回的资金并未返还给协议。并且在公司建立法人实体的过程中，团队要求访问和查看财务项目，但收到了阮宇博的延误和模糊回复。为此，团队把阮宇博从多重签名中移除，同时其被移除出协议的紧急管理员。这份近二十名员工联合签名要求阮宇辞去 CEO 和 CTO 的职务，并要求他直接从 0x909 管理的用户合约中移除用户资金，并将所有资金和 NFT 转移到 ParaSpace 多重签名中。针对上诉指控，阮宇博在Twitter上回应称该事件的缘起是ParaSpace的两名前顾问 Thomas Schmidt 和 Jay Yao 非法获得了协议的一个多重签名和社交媒体账户的控制权。随后他们联系了主要贡献者、投资者和合作伙伴，谎称他们是PareSpace的创始人和股东，并制造索赔，意图接管并迫使他辞去 CEO 职务。并指控这是非法的收购行为。阮宇博称该联合声明牵头发布的Thomas Schmidt 和 Jay Yao目前还不是ParaSpace的股东或者董事会成员，其在去年12月份把他们聘请为了顾问。目前内部还在讨论他们作为业务合作伙伴的结构和角色。而针对该联合声明所指控的阮宇博对与资金的独家控制，阮宇博回应称，按照时间表，黑客的债务已经全部退回被黑客攻击的账户。该声明还指出，在黑客攻击以来，1,000,000 美元的等值金额已经流出到各种未知钱包以及流出到 CEX 和 Circle。阮宇博回应称，从区块链安全公司BlockSec收到找回的资金后，团队计划在预定阶段进行结构化再存款程序。这有两个目的：ETH/USDC 的波动和资本运作的优化。而该计划是由他、Thomas、Jay 和其他主要利益相关者共同决定的。麻吉大哥：“要支持Founder” ParaSpace于去年年底主网上线，由基于Polkadot 的 DeFi 协议Parallel Finance团队推出。这是一个点对池 NFT 借贷协议，允许用户抵押和借出 NFT 和同质化代币。ParaSpace 允许用户利用未被充分使用的资金来进一步的投资，并从中赚取收益。简单来说，ParaSpace 允许用户能够将 ERC-721 代币或 ERC-20 代币的资产组合打包，然后将打包后的资产抵押并借贷，以改善用户链上资产资本效率不高的问题。该项目创始人阮宇博是一个高学历的连续创业极客，96年出生。该事件发生后，社区内出现了不同的声音，麻吉大哥黄立成在参加一场讨论该事件的TwitterSpace中称“要支持Founder”，熟悉阮宇博的赵晨称，阮宇博过于真诚和单纯，还没经历过太多社会的险恶。但也有用户指出，找回的资金被用于ETH/USDC 的波动和资本运作的优化是不应该的，而是应该将公司资金而不是用户资金用于这些目的。来源：金色财经

金色财经2023-05-11

金色Web3.0日报 | 欧盟批准新的加密货币法律框架

liz Labs 以及在全球举办一系列黑客马拉松来推动 Chiliz Chain 的发展。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经2023-05-10

晚间必读 | 一文了解ZKWasm及其最新进展

出，十分火热。与此同时，针对跨链桥的黑客攻击也层出不穷，其主要原因是随着跨链用户的增多，流动性不断增长，跨链桥合约中锁入大量资金，同时由于资产跨链逻辑的复杂性，大多跨链桥的安全性有待进一步加强。不断增加的总锁定价值(Total Value Locked，简称TVL)既让跨链桥项目因为用户量的增加而感到高兴，同时也对如何处置锁入的大量资金展开思考。点击阅读 5.一文了解ZKWasm及其最新进展 WebAssembly（WASM）是一种广泛采用的虚拟机，它彻底改变了 Web 开发。其卓越的效率、可移植性以及与流行编程语言的兼容性使其深受全球开发者喜爱。 WASM 由谷歌、Mozilla、微软和苹果共同开发，已经成为构建高性能 Web 应用程序的热门技术。通过编译并直接在硬件上执行，WASM 提供了显著的性能提升。点击阅读来源：金色财经

金色财经2023-05-10

24小时热点