FX168财经网_全球视野外汇黄金加密货币NFT资讯网

定制化AI新篇章：OpenAI发布GPT-3.5 Turbo微调功能或将超越GPT-4

编程语言，以确保ChatGPT始终提供Python解决方案。此外，OpenAI还推荐了其他个性化选项，如位置、爱好、目标和首选语气等。自定义指令使用户能够将ChatGPT打造成适合其独特需求的个性化数字助理。每次对话都将遵循这些个性化准则，消除了由于偏好重复造成的困扰。可以说，这次升级不仅仅是一个全新的车型，更是一种以不同“思维方式”来提升的创新。为了确保微调功能的负责任使用，OpenAI采取了相应的措施。他们解释道：“为了保持经过微调的模型的安全特性，微调训练数据将经过我们的审核API以及GPT-4支持的审核系统。”这一系统旨在识别和清除不安全的训练数据，以确保即使是定制的输出也符合OpenAI的安全标准。然而，这也暗示着OpenAI在一定程度上对用户输入模型的数据进行了控制。尽管如此，这一举措有助于确保生成的内容是安全和合适的。总之，OpenAI通过推出微调和自定义指令等功能，为用户提供了更多的控制权和定制化选择。然而，目前这些功能主要针对付费客户，随着生成式人工智能领域的竞争不断升级，定制化有望成为OpenAI在这场竞争中脱颖而出的关键因素。声明：本文来自潮外音创作者，内容仅代表作者观点和立场，且不构成任何投资建议，请谨慎对待，如文章/素材有侵权，请联系官方客服处理。来源：金色财经

金色财经2023-08-29

刘庆峰：讯飞星火大模型明年赶上GPT4，将实现中文超越、英文相当

试集HumanEval，星火V1.5 Python语言的效果只有41分，V2.0已经到了61分，接近ChatGPT。 “讯飞星火大模型的代码生成和补齐能力已经超过了ChatGPT，其他各项能力正在快速追赶。当前代码能力的逻辑、算法、方法体系、数据准备已就绪，所需要的就是时间和算力。”刘庆峰称，讯飞定了一个目标，到今年10月24日，星火认知大模型将对标ChatGPT，实现中文超越、英文相当。明年上半年将对标GPT4。

金融界2023-08-26

Com2000 前海Web3Hub落地前海链接香港辐射全球

詢業務。我們的服務包括互聯網軟件開發、Python、Java、區塊鍊和智能合約系統開發、電子商務支付解決方案、雲和分佈式計算系統開發以及 Web3 相關的IT諮詢服務。此外，公司計劃成為基礎設施電子商務和解決方案提供商。憑藉我們的管理層和程序員共同擁有的 30 年互聯網編程經驗，我們相信我們可以使用可用的最新技術為客戶提供可靠的Web3 解決方案。 Com2000 公司招股书成功取得美国证监会 SEC 批准网站链接 S1A4: https://www.sec.gov/Archives/edgar/data/0001886086/000166357722000267/com2000_s1a.htm 来源：金色财经

金色财经2023-08-18

NFTScan NFT API 在 DID Protocol 开发中的应用

择编程语言，如 JavaScript、Python、Java 等，使用该语言的 HTTP 请求库向接口地址发送构造好的请求，筛选必要的头信息和参数。整个调用过程快速便捷，开发者可以完全根据文档说明来实施。例如，我们请求一个钱包地址的 NFT 统计数据： “/v2/statistics/overview/{account_address}”， HTTP GET 请求访问 NFTScan 的 API 端点，使用 Python 的 requests 库，可以这样构建请求：在上面的代码中，我们首先定义了 NFTScan API 的基本 URL，然后指定要查询的钱包地址。通过将钱包地址拼接到基本 URL 上，我们构建了完整的请求 URL。接着，我们使用 requests 库的 get 方法发起了 HTTP GET 请求，并根据响应状态码来处理返回的数据。以上示例代码仅用于说明如何使用 Python 的 requests 库构建 HTTP GET 请求，以访问 NFTScan 的 API 端点。实际使用中，开发者可能还需要考虑错误处理、身份验证、参数传递等更多细节。在使用 API 时，请查阅 NFTScan 的官方文档以获取准确的 API 端点和参数信息，并遵循最佳实践来保障数据的安全和准确性。 About NFTScan NFTScan 成立于 2021 年 4 月份，总部位于中国香港，是全球领先的 NFT 数据基础设施服务商，目前已支持 Bitcoin、Ethereum、BNBChain、Polygon、Solana、Linea、Arbitrum、Optimism、zkSync、Aptos 等在内的 16 条主流区块链网络。NFTScan 团队致力于为数以亿计的 Web3 用户提供简洁高效的 NFT 检索服务，为新一代金融科技公司提供安全稳定的多链 NFT 索引服务，用数据来推动 NFT 生态的繁荣发展！目前，NFTScan 在为包括 CMC、Binance NFT、Bybit Web3、KuCoin、HashKey Group 、SafePal、Mask、imToken、Enjin、Coin98、OneKey、TokenPocket、AlienSwap 等在内的 4000+ 开发者提供多链 NFT 数据支持！欢迎关注 NFTScan 官方推特获取最新动态，有关 NFT 数据服务等商务合作请联系 Telegram: @Rose_NFTScan 来源：金色财经

金色财经2023-08-17

Vitalik Buterin：社交媒体实验Community Notes极具加密精神

。总而言之，你会得到一些相当复杂的 Python 代码，共计 6282 行，分布在 22 个文件中。但是这一切都是开放的，你可以下载 Notes 和评分数据并自行运行，看看输出结果是否与 Twitter 上的实际情况相符。那么在实践中，这是什么样子呢？这个算法与简单地从人们的投票中取平均分数的方法最大的不同之处，可能是我称之为“极性”值的概念。算法文档将它们称为 fu 和 fn，使用 f 表示因子，因为这两个术语会相互相乘；更通用的术语部分是因为最终希望使 fu 和 fn 成为多维的。极性被分配给用户和 Notes。用户 ID 与底层的 Twitter 账户之间的链接被有意地保密，但 Notes 是公开的。实际上，至少对于英语数据集，算法生成的极性与左右派非常密切相关。以下是一些极性约为 -0.8 的 Notes 示例：请注意，我在这里并没有精选；这些实际上是我在本地运行算法时生成的 scored_notes.tsv 电子表格中的前三行，它们的极性得分（在电子表格中称为 coreNoteFactor 1）小于 -0.8 。现在，这里有一些极性约为 + 0.8 的 Notes。事实证明，其中许多要么是用葡萄牙语谈论巴西政治的人，要么是特斯拉的粉丝愤怒地反驳对特斯拉的批评，所以让我稍微挑选一下，找到一些不属于这两类的 Notes：再次提醒一下，"左派与右派的划分"并没有以任何方式硬编码到算法中；它是通过计算发现的。这表明，如果你将这个算法应用于其他文化背景中，它可以自动检测出它们的主要政治分歧，并在这些分歧之间建立桥梁。与此同时，得到最高有用性的 Notes 看起来是这样的。这次，因为这些 Notes 实际上在 Twitter 上显示出来，我可以直接截屏一个：还有另一个：对于第二个 Notes，它更直接地涉及高度党派的政治主题，但它是一个明确、高质量且信息丰富的 Notes，因此得到了高评分。总的来说，这个算法似乎是有效的，并且通过运行代码来验证算法的输出似乎也是可行的。我对该算法有什么看法？当分析这个算法时，让我印象最深刻的是它的复杂性。有一个"学术论文版本"，它使用梯度下降找到五项向量和矩阵方程的最佳拟合，然后是真实版本，一个复杂的算法执行的系列，其中包含许多不同的执行，并且沿途有很多任意的系数。即使是学术论文版本也隐藏了底层的复杂性。它优化的方程是一个负四次程（因为预测公式中有一个二次方的 fu*fn 项，并且成本函数衡量的是误差的平方）。虽然在任意数量的变量上优化二次方程几乎总是有唯一解的，你可以用相当基本的线性代数计算出来，但是在许多变量上优化四次方程通常有许多解，因此多轮梯度下降算法可能会得出不同的答案。微小的输入变化可能会导致下降从一个局部最小值翻转到另一个局部最小值，从而显著改变输出结果。这与我参与开发的算法（如二次融资）之间的区别，对我来说就像是经济学家的算法和工程师的算法之间的区别。经济学家的算法在最佳情况下，注重简单性，相对容易分析，并具有清晰的数学特性，说明它为所要解决的任务是最优（或最不差的），理想情况下还能证明在试图利用它时，某人能造成多大的损害。另一方面，工程师的算法是通过迭代的试错过程得出的，看看在工程师的操作环境中什么有效，什么无效。工程师的算法是务实的，能够完成任务；而经济学家的算法在面对意外情况时不会完全失控。或者，正如受人尊敬的互联网哲学家 roon（又名 tszzl）在相关主题中所说的那样：当然，我会说加密货币的“理论美学”方面是必要的，因为它能够准确区分那些真正无需信任的协议和那些看起来不错、表面上运行良好，但实际上需要信任一些中心化参与者，甚至更糟的是，可能是彻头彻尾的骗局。深度学习在正常情况下是有效的，但它对各种对抗性机器学习攻击具有不可避免的弱点。如果能够做得好，技术陷阱和高度抽象的阶梯可以对抗这些攻击。因此，我有一个问题：我们能否将 Community Notes 本身转变成更像是一种经济学算法的东西？为了实际了解这意味着什么，让我们探讨一种我几年前为类似目的设计的算法：Pairwise-bounded quadratic funding（新的二次融资设计）。 Pairwise-bounded quadratic funding 的目标是填补“常规”二次融资中的一个漏洞，即即使有两个参与者相互勾结，他们也可以为一个虚假项目贡献非常高的金额，将资金返还给他们，并获得耗尽整个资金池的大额补贴。在 Pairwise-bounded quadratic funding 中，我们为每对参与者分配一个有限的预算 M。算法遍历所有可能的参与者对，如果算法决定向某个项目 P 添加补贴，因为参与者 A 和参与者 B 都支持它，那么这个补贴就从分配给该对（A，B）的预算中扣除。因此，即使 k 个参与者勾结，他们从机制中窃取的金额最多为 k *（k-1）* M。这种形式的算法对于 Community Notes 的背景并不适用，因为每个用户只投出很少的票数：平均而言，任何两个用户之间的共同票数都是零，因此仅仅通过单独查看每对用户，算法无法了解用户的极性。机器学习模型的目标正是尝试从非常稀疏的源数据中“填充”矩阵，这种数据不能直接以这种方式进行分析。但这种方法的挑战在于，为了避免在面对少数不良投票时结果高度不稳定，需要额外的努力。 Community Notes 是否真的能够抵制左派右派吗？我们可以分析一下 Community Notes 算法是否实际上能够抵制极端，也就是说，它是否比一个天真的投票算法表现得更好。这种投票算法已经在一定程度上抵制了极端：一个帖子如果有 200 个赞和 100 个踩，比起只有 200 个赞的帖子，它的表现要差。但是 Community Notes 是否做得更好呢？从抽象的算法来看，很难说。一个平均评分很高但具有两极分化的帖子为什么不能获得强烈的极性和高有用性呢？想法是，如果这些投票是相互冲突的，极性应该“吸收”导致该帖子获得大量投票的特性，但它是否真的做到了呢？为了检查这一点，我运行了自己简化的实现 100 轮。平均结果如下：在这个测试中，“好”Notes 在同一政治派别的用户中获得 + 2 的评分，在相反政治派别的用户中获得 + 0 的评分，“好但更具极端倾向”的 Notes 在同一派别的用户中获得 + 4 的评分，在相反派别的用户中获得 -2 的评分。虽然平均分数相同，但极性不同。而且实际上，“好的”Notes 的平均有用性似乎比“好但更具极端倾向”的 Notes 更高。拥有更接近“经济学家算法”的算法将有一个更清晰的故事，说明算法是如何惩罚极端化的。在高风险情况下，这一切有多有用？我们可以通过观察一个具体的情况来了解其中的一些情况。大约一个月前，Ian Bremmer 抱怨说，一条推文添加了一条高度批评的 Community Note，但该 Notes 已被删除。这是一项艰巨的任务。在一个以太坊社区环境中进行机制设计是一回事，那里最大的抱怨可能只是 20000 美元流向一个极端的 Twitter 影响者。而在涉及影响数百万人的政治和地缘政治问题时，情况就完全不同了，每个人往往都会合理地假设最坏的动机。但是，如果机制设计师想要对世界产生重大影响，与这些高风险环境进行互动是必不可少的。幸运的是，该算法是开源且可验证的，所以我们实际上可以深入了解！让我们来做这件事。原始推文的 URL 是 https://twitter.com/MFA_China/status/1676157337109946369。末尾的数字 1676157337109946369 是推文的 ID。我们可以在可下载的数据中搜索该 ID，并确定电子表格中具有上述 Notes 的特定行：在这里，我们得到了 Notes 本身的 ID， 1676391378815709184 。然后我们在运行算法生成的 scored_notes.tsv 和 note_status_history.tsv 文件中搜索该 ID。我们得到了以下结果：第一个输出中的第二列是该 Notes 的当前评分。第二个输出显示了该 Notes 的历史记录：它的当前状态在第七列（NEEDS_MORE_RATINGS），而它之前收到的第一个不是 NEEDS_MORE_RATINGS 的状态在第五列（CURRENTLY_RATED_HELPFUL）。因此，我们可以看到算法本身首先显示了该 Notes，然后在其评分稍微下降后将其删除-似乎没有涉及中心化的干预。我们还可以通过查看投票本身来以另一种方式来看待这个问题。我们可以扫描 ratings-00000.tsv 文件，以分离出所有针对该 Notes 的评分，并查看有多少评为 HELPFUL 和 NOT_HELPFUL：但是，如果按时间戳对它们进行排序，并查看前 50 个投票，你会发现有 40 个 HELPFUL 投票和 9 个 NOT_HELPFUL 投票。因此，我们得出了相同的结论：Notes 的最初受众对 Notes 的评价更为积极，而 Notes 的后来的受众对其评价更低，因此其评分从一开始就较高，随着时间的推移下降得更低。不幸的是，关于 Notes 如何改变状态的确切情况很难解释：它不是一个简单的问题，即“之前评分高于 0.40 ，现在评分低于 0.40 ，所以它被删除了”。相反，大量的 NOT_HELPFUL 回复触发了异常条件之一，增加了 Notes 需要保持在阈值以上的有用性分数。这是另一个很好的学习机会，教会我们一个教训：使一个可信的中立算法真正可信需要保持简单。如果一个 Notes 从被接受到不被接受，应该有一个简单明了的故事来解释为什么会这样。当然，还有另一种完全不同的方式可以操纵这个投票：Brigading。看到一个他们不赞同的 Notes 的人可以呼吁一个高度参与的社区（或更糟糕的是，一大批假账户）来给它评为 NOT_HELPFUL，而且可能不需要太多的投票就能将 Notes 从“有用”变为“极端”。要正确地减少该算法对这种协调攻击的脆弱性，需要进行更多的分析和工作。一个可能的改进是不允许任何用户对任何 Notes 进行投票，而是使用“为您”算法推荐的方式将 Notes 随机分配给评分者，并且只允许评分者对他们被分配到的那些 Notes 进行评分。 Community Notes 不够“勇敢”吗？我看到对 Community Notes 的主要批评基本上是它做得不够。我看到了两篇最近的文章提到了这一点。引用其中一篇文章：该程序受到了一个严重的限制，即要使 Community Notes 成为公开的，必须得到各个政治派别的人们的共识的普遍接受。 “它必须有意识形态共识，”他说。“这意味着左翼人士和右翼人士必须同意该注释必须附加到该推文中。” 他说，从本质上讲，它需要“就真相达成跨意识形态的一致意见，而在党派之争日益加剧的环境下，达成这种共识几乎是不可能的。” 这是一个棘手的问题，但最终我倾向于认为，宁愿让十条错误信息的推文自由传播，也不愿意让一条推文被不公正地附加注释。我们已经见证了多年的事实核查，这是勇敢的，并且从“实际上我们知道真相，我们知道一方比另一方更经常撒谎”的角度来看。结果会怎样呢？老实说，对事实核查的概念存在相当普遍的不信任。在这里，有一种策略是说：忽略那些批评者，记住事实核查专家确实比任何投票系统更了解事实，并坚持下去。但是全力以赴采取这种方法似乎有风险。建立至少在某种程度上受到所有人尊重的跨部落机构是有价值的。就像 William Blackstone 的格言和法院一样，我觉得要保持这种尊重，需要一个系统，它犯的错误是遗漏而不是主动犯错。因此，对我来说，至少有一个主要组织采取这种不同的路径，并将其罕见的跨部落尊重视为一种珍贵的资源，这似乎是有价值的。我认为 Community Notes 保守一点是可以的另一个原因是，我不认为每条错误信息的推文，甚至大多数错误信息的推文，都应该收到纠正性的注释。即使不到百分之一的错误信息推文得到提供背景或纠正的注释，Community Notes 仍然作为一种教育工具提供了极其有价值的服务。目标不是纠正一切；相反，目标是提醒人们存在多种观点，某些看起来在孤立状态下令人信服和引人入胜的帖子实际上是相当错误的，而你，是的，你通常可以进行基本的互联网搜索来验证它是错误的。 Community Notes 不能成为，也不是旨在成为，解决公共认识论中所有问题的灵丹妙药。无论它解决不了什么问题，都有足够的空间供其他机制填补，无论是像预测市场这样的新奇小工具，还是雇佣具有领域专业知识的全职员工的老牌组织，都可以尝试填补这些空白。结论 Community Notes 不仅是一个引人入胜的社交媒体实验，也是一种引人入胜的新兴机制设计类型的实例：有意识地试图识别极端，并倾向于促进跨界而非延续分歧的机制。我所了解的这个类别中的另外两个例子是：（i）Gitcoin Grants 中使用的成对二次融资机制，以及（ii）Polis，一种讨论工具，它使用聚类算法来帮助社区识别普遍受欢迎的声明跨越通常有不同观点的人。这个机制设计领域很有价值，我希望我们能在这个领域看到更多的学术工作。 Community Notes 提供的算法透明度并不完全是完全去中心化的社交媒体——如果你不同意 Community Notes 的工作方式，就没有办法通过不同的算法查看相同内容的观点。但这是未来几年内超大规模应用程序将达到的最接近的结果，我们可以看到它已经提供了很多价值，既可以防止集权操纵，也可以确保不参与此类操纵的平台能够得到应有的认可。我期待着在未来十年里看到 Community Notes 以及许多类似精神的算法的发展和壮大。来源：金色财经

金色财经2023-08-17

开源证券：给予科大讯飞买入评级

市场的全场景开放。（2）升级代码能力，Python能力接近ChatGPT。讯飞星火2.0代码能力显著升级，根据测试对比，讯飞星火2.0Python能力已接近ChatGPT，其中代码生成、代码补齐已超过ChatGPT，预计10月24日其他代码能力超越ChatGPT，2024年上半年对标GPT-4。同时，公司推出面向开发人员的智能编程助手iFlyCode1.0，可以以插件的形式集成在IDE开发环境中，经过内部测试，代码采纳率达38%，编码效率、综合效率分别提升30%、15%。（3）升级多模态能力，推出讯飞智作2.0等产品。讯飞星火V2.0多模态能力包括图像描述、图像理解、图像推理等方面。基于多模态能力，公司推出讯飞智作2.0（视频分析、AI主播）、星火语拌2.0（口语陪练）、星火教师助手等产品。（4）联合华为发布讯飞星火一体机，支持私有化部署。星火一体机基于华为鲲鹏CPU+昇腾GPU，拥有2.5PFP16智能算力，支持训练和推理，拥有130亿、650亿、1750亿三种尺寸模型可选，支持十余种场景开箱即用。　　AI监管办法开始施行，公司有望步入规模化商业变现红利期　　《生成式人工智能服务管理暂行办法》于8月15日开始施行，标志着AI产业落地，大模型即将步入规模化商用阶段。公司AI能力已在多个C端产品应用，并推动销售量质齐升，B端也积极探索私有化部署、订阅付费等多种商业模式，大模型价值持续验证。本次星火大模型2.0版本发布，代码能力和多模态能力均实现突破，应用场景将进一步拓宽，公司有望步入规模化商业变现红利期。　　风险提示：教育订单不及预期；大模型商业落地不及预期；业务拓展不及预期。证券之星数据中心根据近三年发布的研报数据计算，华泰证券郭雅丽研究员团队对该股研究较为深入，近三年预测准确度均值为69.9%，其预测2023年度归属净利润为盈利10.56亿，根据现价换算的预测PE为140.35。最新盈利预测明细如下：该股最近90天内共有33家机构给出评级，买入评级27家，增持评级6家；过去90天内机构目标均价为78.52。以上内容由证券之星根据公开信息整理，由算法生成，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2023-08-16

基金早班车|市场最关心三个现实问题，中证2000指数到底值不值得配置？

试集上的效果对比来看，星火V2.0基于Python和C++进行代码写作能力已高度逼近ChatGPT，目标是明年上半年正式对标GPT4。另据，Canalys报告显示，2023年第二季度，全球智能手机市场同比下降10%，达2.58亿部，市场衰退有所放缓。三星以5300万部出货量稳居榜首。苹果以17%的市场份额和4300万部出货量保持第二。小米以3320万部的出货量，排名第三。茶百道向港交所递交上市申请。2022年，茶百道门店的零售额达133亿元，收入42.32亿元，近三年年复合增长率分别为139.7%和97.9%。茶百道在全国共有7117家门店。腾讯音乐二季度总收入为72.9亿元，同比增长5.5%；净利润同比增长48.6%，为15.3亿元。在线音乐付费用户数首次突破1亿人。贝特瑞与澳大利亚Evolution签署合作协议，双方将在天然鳞片石墨资源项目开发、生产和销售天然鳞片石墨精矿、制造和向全球市场供应优质下游负极产品方面进行合作。杭州开网约车政策宣贯会，要求各公司对“一口价”“特惠价”等运价规则进行一次全面清理规范，不得强制司机接单，不得将“一口价”“特惠价”接单结果和司机日常考核、赋分等挂钩。五、基金人事据金融界统计，截至8月15日，年内公募基金公司高管变更已达221人次，涉及92家公司。且这些公司里，中小型公募公司占比居多，超过三分之二的公司管理规模不足千亿。六、新发基金

金融界2023-08-16

厉害！安省3名华裔学生跻身黑客大联盟Top50！万锦渔人村中学17岁学生上榜

母语。当他六年级时，父亲向他介绍了 Python，他当时已经能够自己编写基本程序，例如披萨制作器和选择自己的冒险游戏。自从第一次参加黑客马拉松以来，Jeffrey 继续参加 Hack the North 比赛，并在 Harvest Hacks 和 Give Back Hacks 上提交获奖项目。万锦市渔人村中学17岁学生 Jeremy Su 同样跻身50强。去年夏天，在参加了他的第一次黑客马拉松 SimpliHacks 2.0 后，苏同学开始了提高编程技能，重点关注人工智能 (AI) 和机器学习项目。参加黑客马拉松比赛，让苏同学获益良多，苏说，在 48 小时的黑客马拉松比赛过程中，虽然他没有睡觉或洗澡，但他学到的东西比他想象的要多，而且玩得很开心，他几乎忘记了吃饭！苏是 React 语言的新手，但仍然负责其项目 Nourpact 的功能，该项目旨在帮助消除食物浪费，并赢得了Best Domain Name第一名和College Division第二名。 2023 年 MLH 前 50 名获奖者中，42% 的人表示， Python 是他们最喜欢的计算机语言。 22% 获奖者表示，阅读是他们最喜欢的爱好，其次才是电子游戏和现场体育比赛。最后看看2023年这50名上榜的完整名单：作者：丁其

超级生活2023-08-09

SocialFi 的开发中如何利用 NFTScan API 获取 NFT 数据

P 请求，例如 Requests 库（Python）、Axios 库（JavaScript）等。例如，构建一个请求获取 BoredApeYachtClub 的 Collection Top Holder 数据 API 请求，查找 NFTScan API 的文档或参考文档后，这里使用接口 “/v2/statistics/collection/holder/{contract_address}” 使用 HTTP GET 请求访问 NFTScan 的 API 端点，并传递所需的参数。例如，使用 Python 的 requests 库，可以这样构建请求：上述代码中，首先构建了完整的 API 请求 URL，其中使用了 .format() 方法来替换占位符 {contract_address} 为实际的合约地址。然后，使用 requests.get() 方法发送 HTTP GET 请求，获取 API 响应。最后，根据 API 响应的状态码判断请求是否成功，并处理响应数据。随着区块链的发展，对于构建创新和前沿的 Web3 应用来说，获取高质量的 NFT 数据是非常关键的一环。NFTScan 将不断扩展和优化其 NFT API，为开发者提供丰富、全面的 NFT 数据。不仅是 SocialFi，通过利用 NFTScan NFT API，开发者可以无缝集成 NFT 数据到他们的应用中，API 的易用性和灵活性使其成为构建 Web3 Dapp 的强大工具。关于 NFTScan NFTScan 成立于 2021 年 4 月份，总部位于中国香港，是全球领先的 NFT 数据基础设施服务商，目前已支持 Bitcoin、Ethereum、BNBChain、Polygon、Solana、Linea、Arbitrum、Optimism、zkSync、Aptos 等在内的 16 条主流区块链网络。NFTScan 团队致力于为数以亿计的 Web3 用户提供简洁高效的 NFT 检索服务，为新一代金融科技公司提供安全稳定的多链 NFT 索引服务，用数据来推动 NFT 生态的繁荣发展！目前，NFTScan 在为包括 CMC、Binance NFT、Bybit Web3、KuCoin、HashKey Group 、SafePal、Mask、imToken、Enjin、Coin98、OneKey、TokenPocket、AlienSwap 等在内的 4000+ 开发者提供多链 NFT 数据支持。欢迎关注 NFTScan 官方推特获取最新动态，有关 NFT 数据服务等商务合作请联系 Telegram: Shier1992 来源：金色财经

金色财经2023-08-04

Curve这次遭遇的漏洞利用或许为黑客们打开了新思路

度不如 Solidity，但对于熟悉 Python 的开发人员来说是理想的选择，因为 Vyper 能将类 Python 的代码转译成以太坊智能合约编程语言。根据 github 的信息显示，Vyper 的 github 代码库贡献第一的开发者，也是 Curve 开发者。这也不难解释 Curve 为什么采用的是 Vyper 而不是 Solidity。 Vyper 重入锁为什么会失效？那在这次攻击事件里，Vyper 的问题究竟出在哪里？重入锁为什么会失效呢？是因为没有进行测试吗？BlockBeats 采访了智能合约开发者 Box 826.eth（@BoxMrChen），据他透露，Vyper 重入锁是做过用例测试的。但失效的原因是，测试用例是结果导向，也就是测试用例也是错的。简而言之，Vyper 重入锁失效最大的原因在于，编写测试用例的人是根据结果来编写的测试用例，而没有思考过为什么 slot 会莫名其妙跳过 1 。在 Box 后续分享出来的这几段 Vyper 代码中，可以明显看出问题。当锁名称第二次出现的时候，storage_slot 的数量会被覆盖，也就是说，在 ret 中，第一次获取锁的 slot 为 0 ，但是再次有函数使用锁后，锁的 slot 被加一。编译后使用错误的 slot，导致重入锁无法生效。左为被攻击代码，右为修复后代码「预计错误的测试结果，当然验证不出错误。举个简单的例子，现在我们在做计算题， 1+ 1 = 2 ，但给定的标准答案错了，说 1+ 1 = 3 。而这时做题的同学答错了，回答了 1+ 1 = 3 ，但却和提前给定的标准答案相同，程序就自然没办法判定出测试结果出错。」Box 在和 BlockBeats 的采访中这么说道。悬了两年的「达摩克利斯之剑」在有所记录的史上第一次重入攻击事件中，WETH Attack 韦斯攻击的攻击者，正是为了让开发者重视重入攻击而故意制造攻击的白客，目的是使更多项目免受重入攻击的可能性。在智能合约的情境下，开发者应该采用不同的触发机制，例如调用某个状态改变函数来实现保护。这就要求开发人员在设计合约时充分考虑可能的攻击场景，采取适当的预防措施。为了深入了解 Vyper 编辑器，BlockBeats 采访了 BTX 研究员 Derek（@begas_btxcap），他表示，对于熟悉 Python 的开发人员来说，Vyper 是比 Solidity 更理想的选择，UI 界面更舒服，上手更快。但显然，一些版本的 Vyper 编辑器代码并没有经过可靠的第三方审计。甚至有的审计工作，可能是开发者自己完成的。「传统 IT 行业就不会发生这种事，因为一个新的语言出来后，会有无数的审计公司往死里找你的漏洞。」更不用说，能让一个错误堂而皇之的存在两年之久。 Vyper 贡献者 fubuloubu 也表示：编译器并没有像大家想象的那样受到审查或审计。大多数编译器都会进行重大且频繁的更改，这使得审核变得不利。即使有完整的代码库审核，在此之后添加的版本越多，它也会过时。审核编译器并不是一个很好的方式，因为审核最终用户使用该工具生成的最终产品（即原始 EVM 代码）更有意义。所有这些都指向最后一个问题：激励。也就是说没有人有动力去寻找编译器中的关键漏洞，尤其是旧版本。fubuloubu 此前提出过一个提案，提议将通过添加由用户共同赞助的赏金计划来帮助改进 Vyper，但没有被通过。黑客们正在回归「第一性原理」对协议和项目的开发人员而言，这是合约安全开发实践的又一次鲜活案例。但最重要的是，Curve 事件给了我们所有人一个警示，底层编译器的安全性问题被严重忽略了，回归「第一性原理」的黑客们在更底层的编译器上找到了一个完美的切入口。事后，Aave 及 Lens 的创始人 Stani（@StaniKulechov）也在社交媒体发布了长文表达自己的感想：这次 Curve 被攻击事件意味着，DeFi 风险一直涉及整个底层堆栈、编程语言、EVM 等。这警示了我们应更加谨慎和敏感，尤其是将来使用定制的 EVM 和应用程序链时。来自更底层的攻击对于编译器的漏洞，仅通过对合约源码逻辑的审计，是很难发现的。仅仅是研究版本和版本之间的差异也是一个大工程。需要结合特定编译器版本与特定的代码模式共同分析，才能确定智能合约是否受编译器漏洞的影响。「目前只有两个编译器最佳，Vyper 的代码库更小，更容易阅读，对其历史进行分析的更改也更少，这可能就是黑客从这里下手的原因，Solidity 的代码库要更大一些。」fubuloubu 甚至怀疑国家支持的黑客可能参与这起 Curve 攻击事件：「找到该漏洞需要几周到几个月的时间，考虑到投入的资源，这也许是由一个小团体或团队进行的。」作为加密行业使用最广泛的编译语言，Solidity 的安全更是被用户所牵挂，毕竟如果这次是 Solidity 编译器出现了重入锁失效的问题，那么整个 DeFi 行业的历史或许都要被改写了。根据 Solidity 开发团队定期发布的安全预警，在多个不同版本的 Solidity 编译器中也都曾存在过安全漏洞。最近一次的编译器错误记录是 6 月 26 日，在调查与使用具有副作用的三元表达式的 abi.decode 作为类型参数相关的安全报告时，在 Solidity 编译器的旧代码生成管道中发现了一个错误。旧代码生成器没有评估复杂的表达式，如赋值、函数调用或条件，其 .selector 正在被访问。这会导致此类表达式未执行的副作用，因此使用旧管道编译的合约的行为可能不正确。我们也可以看到 Solidity 的Github 仓库中放置着一个文件，上面列出了 Solidity 编译器上一些已知的安全相关的 bug。该列表可以追溯到 0.3.0 版本，只在此版本之前存在的 bug 没有被列入。这里，还有另外一个 bugs_by_version.json 文件。该文件可用于查询特定的某个编译器版本会受哪些 bug 影响。幸运的是，也正是因为 Solidity 语言的广泛应用，以及以太坊基金会在背后的辅助，许多已存在的问题已经被项目和协议在部署的过程中被指出。因此 Solidity 比 Vyper 更快几步完成了修改和完善，从这个角度看，这也是 Solidity 更规范和更安全的原因之一。为了帮助 Solidity 开发者进行更好的测试，防止发生同样的事。UnitasProtocol 联合创始人 SunSec（@ 1 nf 0 s 3 cpt）在 Curve 被攻击事件后，发布了一份 DeFiVulnLabs Solidity 安全测试指南，支持 47 种漏洞，其中包括漏洞描述、场景、防御、漏洞代码、缓解措施以及如何测试。如何尽可能避免底层攻击？在这起 Curve 事件上，Box 认为所有开发者得到的启示是：不要贪图追随技术潮流选择不成熟的方案；不要在不写测试用例的情况下就认可自己的代码（Vyper 出问题的几个版本上，甚至连测试用例都是错误的）；永远不要自己批准自己的代码；有些财富，可能要数年才会被发现；不可升级是对自己的傲慢和对其他人的藐视。通常开发人员也不会想到这里面有什么坑，随手就选一个版本编译，可能会忽略版本之间的区别所带来的风险。即使是小版本升级也可能引入重大变化，这一点在开发去中心化应用程序时尤其重要。这起 Curve 事件对开发者的警示有：使用较新版本的编译器语言。保持最新的代码库、应用程序和操作系统非常重要，同时也要全方位搭建自身的安全防御机制。尽管新版本也可能引入新的安全问题，但已知的安全问题通常较旧版本要少。当然也要及时关注社区和官方的版本更新公告。了解每一个版本带来的变化，按需更新自己的代码库和运行环境。采取这些措施或许可以大大减少编译器错误导致的安全事件。此外，要完善代码的单元测试用例。大部分编译器级别的错误会导致代码执行结果不一致, 这很难仅通过代码 review 发现, 但在测试中就可以暴露出来。提高代码覆盖率有助于避免这类问题。以及要尽量避免使用内联汇编、多维数组编解码等复杂语言特性，除非有明确需求。历史上大多数 Solidity 语言漏洞都与这些高级功能相关。在没有特殊需求的情况下，开发人员应该避免为了炫技而使用实验性语言特性。对协议层以及安全人员而言，在进行代码审计时，也不能忽视编译器版本可能带来的风险。可以预见的是，黑客们已然打开了新思路，在未来一段时间里，更底层的漏洞被利用事件会越来越多。同时，作为更底层的基础设施，底层堆栈、编程语言、EVM 等更需要被好好审计。未来审计公司的市场会越来越大，白客赏金的市场也会越来越大。Vyper 团队也计划在事情正式结束梳理后，开启审查漏洞赏金的计划。当然我们也不用对底层基础设施存在的风险过度恐慌。目前大多数编译器 Bug 仅在特定代码模式下触发，还需要根据项目情况具体评估实际影响。定期升级编译器版本、充分的单元测试都能帮助预防风险。来源：金色财经

金色财经2023-08-03

24小时热点