FX168财经网_全球视野外汇黄金加密货币NFT资讯网

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

记词存到了网上。比如，用户经常使用到的Google文档、腾讯文档、百度云盘、微信收藏、备忘录等云存储服务进行私钥或者助记词存储，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。第二，用户下载虚假APP后，引发了私钥泄露。比如，多重签名骗局是最为典型的案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后立即修改该用户钱包的账户权限：将钱包账户权限由用户本人，变成用户本人和欺诈者共同持有，从而抢占该钱包账户的控制权。这类欺诈者往往会保持耐心，等待用户账户积累了一定加密资产后，一次性转走。 OKX Web3安全团队：慢雾已经概述了私钥被盗的2类主要情况，而第2种，欺诈者利用虚假APP盗取用户私钥的本质是木马程序，这类木马程序通过获取访问用户输入法、照片等权限，从而盗取用户私钥。相对于IOS用户而言，安卓用户遭遇到的木马病毒攻击更多。这里简单分享两个案例：案例一，用户反馈钱包资产被盗，经过我们团队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经2024-05-16

巴菲特持仓曝光：重仓安达保险67亿美元，抛售苹果1.1亿股！

投资慧眼Insights - 巴菲特旗下伯克希尔2024年一季度买入了2592万股安达保险，同时减持苹果1.16亿股，持仓占比从50%降至40%。 5月15日，巴菲特旗下伯克希尔哈撒韦向美国证券交易委员会（SEC）提交2024年第一季度末的持仓报告（即13F）。 13F报告显示，伯克希尔购入了保险公司Chubb（CB）2592万股，持股价值达到67亿美元，成为其第九大重仓股。目前，伯克希尔持有的Chubb股份占其总股权的6.4%。【图源：whalewisdom；伯克希尔前十大重仓股】安达保险（Chubb）是一家怎样的公司？前景如何？ Chubb是一家总部在瑞士的美国保险公司，保险业务覆盖全球55个国家和地区，几乎涉及所有的保险类别，包括财产、人寿和再保险。其市值在保险上市公司中排名第五。 2023年，公司的营收为497.4亿美元，运营利润为95.3亿美元。公司的市净率通常为1.2-1.3倍，已经连续25年发分红，而且是每一年都会提高分红，目前的股息率在1.4%。在保险行业里面，Chubb的表现非常突出，公司的Combined Ratio综合比率（损失赔偿加上费用除以保费），过去1

投资慧眼2024-05-16

Auki Labs CEO：DePIN将解决AI最大痛点

助复杂的三角测量，Skyhook 和 Google 等公司已经成功创建了低分辨率地图，显示世界上许多 WiFi 路由器的位置。这就是为什么 Google 地图等导航应用程序会要求您打开 WiFi 以获得更好的结果。在过去的十年中，批评者提出了许多与 WiFi 三角测量相关的隐私问题和诉讼。公平地说，不幸的是，隐私输掉了这场战斗。或许，令人安慰的是，WiFi 三角测量仍然只能帮助普通用户将自己定位在几米之内——这不足以让我们的取番茄酱的机器人正确地理解它所在的过道。因此，大型科技公司已经转向地理定位领域下一个有希望的进步：视觉定位系统。在 Niantic 和 Snap 等公司的带领下，视觉定位系统 (VPS) 将机载摄像头看到的世界与存储在中央控制云中的外部存储器中的世界进行比较。简而言之，VPS 是一种交易，您可以告诉大型科技公司您正在寻找什么，以便他们可以知道您在哪里。视觉定位系统在理想情况下精确到厘米，在许多城市公共空间中精确到一米以下。正是由于这种无与伦比的精度，大型科技公司才将赌注押在 VPS 上，以实现机器人和 AR 眼镜的未来。但这应该让我们停下来。还记得过去移动社交媒体时代的许多隐私侵犯行为吗？当大型科技公司可以通过我们的眼睛看到世界，通过我们的机器伴侣看到我们的家庭和私人空间时，我们将如何应对？企业也需要隐私如果您走进一家杂货店并开始拍摄货架，您很快就会发现自己被护送出商店。放置在视线高度的产品更有可能被拿起和购买，零售商会仔细考虑如何放置产品以最大限度地提高销量。因此，商店的视觉营销布局是严格保守的竞争秘密。简而言之，商店无意与中央服务共享其商店的产品布局。期望我们的机器人能够简单地出现在商店并立即知道每件产品在哪里是不合理的，因为这会损害商店的知识产权。相反，我们所能期望的最好结果是，商店拥有自己的自托管安全系统，可以回答机器人有关个别产品的问题，并引导人工智能和增强现实眼镜到达它们需要去的地方，而不会损害公司的安全。细心的读者已经发现 DePIN 有望在哪些方面超越 Web2 时代的巨头，并以保护隐私的方式为我们提供番茄酱。与人类不同，机器人和计算机可以相互交换空间数据，共同感知世界。协作空间计算将允许机器通过连接到其他外部信息源来更好地导航世界。在 Web3 DePIN 范式中，这种交换既可以得到经济激励，又可以得到加密安全。去中心化机器感知网络想象一下我们的杂货购物机器人可以更快地找到番茄酱而不损害公司安全，这是一个可爱的例子。但去中心化的机器感知的影响是惊人的。一旦自动驾驶汽车能够相互协调并交换实时交通信息，交通将会发生根本性的转变。在北京，路上的汽车数量比洛杉矶的人口还多。分散的机器感知将使这些汽车能够相互协调地更快地移动，从而释放数百年的日常生产力。去中心化的机器感知有一天将允许具有更小外形尺寸的隐私保护 AR 眼镜，因为眼镜可以将一些繁重的空间计算下载到本地定位服务器，并以与书写或计算机的发明一样深远的方式改变人类交流。随着我们的文明在未来 20 年发展到超过 1000 亿智能决策者，去中心化的机器感知网络将帮助他们中的每一个人找到自己在世界上的位置，无论是在地球上还是在其他地方。来源：金色财经

金色财经2024-05-16

迷因币FLOKI即将销毁152亿枚！价格暴涨16%，预计将继续飙两位数涨幅！

投資慧眼Insight -5月16日，以马斯克（Elon Musk）宠物狗命名的迷因币FLOKI发文表示，FLOKI DAO已经投票销毁提案——销毁152亿枚FLOKI代币，赞成率高达99.84%。【FLOKI官方发布的推文，来源：X】销毁虚拟货币相等于减少流通量，因此会降低其卖出压力。根据硬币市值数据显示，代币FLOKI总流通量9.5兆亿美元，目前销毁152亿美元相当于总流通量减少1.5%。受该利好消息驱动，FLOKI币过去24小时迅速飙升16%，最高涨至0.000226美元，目前报价0.000221美元。【FLOKI价格走势图（分钟线），来源：CoinMarketCap】从日线图来看，FLOKI保持稳步上升趋势，呈现多头排列，预计上涨行情将延续。不过，FLOKI将面临0.000260美元的阻力位，较当前价格水平还有15%的上行空间。【FLOKI价格走势图（日线），来源：TradingView】

投资慧眼2024-05-16

每日重要事件点评：5月16日

传媒：传媒ETF（SZ159805） Google召开2024年I/O大会，公司对旗下的多款AI产品进行了更新，如大模型Gemini、Astra、Veo、Imagen3等。化工：化工ETF（SZ159870）工业级磷铵多停报停签，由于下游拿货积极，导致供应端货源紧缺，目前主流企业主发预收。市场点评：昨日市场整体调整，港股休市缺少外资流入，两市成交额也萎缩至7600亿。除地产链收到相应事件刺激有所上涨外，其余板块呈现普跌。有机构认为，近期业绩因子持续保持强势，且外资集中回流，预计短期风格偏好高质量龙头。数据来源：财联社，数据截至日期：2024年5月16日基金有风险，投资需谨慎以上内容与数据，与界面有连云频道立场无关，不构成投资建议。据此操作，风险自担。

有连云2024-05-16

购买超1亿美元BTC！前职业跆拳道选手放弃法币，积极拥抱加密货币！

投资慧眼Insight - 5月16日，前职业跆拳道选手及网红Andrew Tate发文表示，已经与银行决裂，放弃法定货币转而拥抱比特币，并将投入1亿美元以上的的资金购买BTC。【Andrew Tate发布的推文，来源：X】 Andrew Tate目前的这种行为可能被视为极端，但是多年之后或许就是一个很普遍、很正常的行为，因为因为作为第三方中介，不仅收取高额手续费，而且能够随意控制储蓄账户，使得用户对自己的资产只有名义控制权。与此相反，比特币作为一个去中心化的系统，赋予用户对自己的账户及资产具有实际性的控制权，任何链上活动无需经过第三方的同意，同时也不受时间、地域等方面的限制，gas费用在非拥堵情况下远远低于银行的收费要求。正是如此悬殊，才有可能使人们逐渐放弃银行与法币，转向拥抱加密货币。截止发稿，比特币突破6.6万美元，报价66,094美元。【比特币价格走势图（日线），来源：TradingView】

投资慧眼2024-05-16

美4月CPI指数符合预期回落！美股续涨、美联储鲍威尔「不升息」更坚定

投资慧眼Insights - 周三（5月15日），美国劳工部公布的数据显示，美国4月生产者物价指数CPI年率和月率整体符合预期，通胀粘性出现缓和迹象，这似乎进一步加强了美联储鲍威尔近日明示「不升息」的论调。数据显示，美国4月CPI年率升3.4%，符合预期3.4%，较上月前值3.5%回落；CPI月率升0.3%，低于预期0.4%和前值0.4%。【美国生产者物价指数CPI年率，来源：Trading Economics】剔除食品和能源的美国4月核心CPI年率升3.6%，持平预期3.6%，低于前值3.8%；核心CPI月率升0.3%，持平预期0.3%，低于前值0.4%。同时公布的另一项数据也同样支持美国强劲经济形势有所降温的情境：美国4月零售销售月率仅录得成长0%，低于预期0.4%和修正后前值0.6%（原0.7% ）；核心销售月率0.2%，更是远低于修正后前值0.9%（原1.10%）。在2024年前三个月通胀基本超预期之后，这份四月CPI报告终于呈现出市场期盼已久的通胀放缓迹象，这也与周二（14日）美联储主席鲍威尔的偏「鸽」派讲话相呼应。鲍威尔近日表示，今年第一季的通胀数据削减了其对于

投资慧眼2024-05-15

标普500指数走到关键位，小摩看空、高盛看平、瑞银继续看多美股！

投资慧眼Insights - 5月以来，美股企业财报季盈喜、通胀前景改善、美联储降息前景等因素推动美股标普指数反弹至5200点，这是多数华尔街大行较乐观的预测关键位。行已至此，大型机构对未来美股走势看法不一。截至撰稿，标指交投在5246.68点，已经从4月中下旬的低点反弹至与3月底达到的历史最高点附近，标普指数再次来到了5200点关口。 2024年迄今，该指数上涨约10%。【标准普尔500指数价格走势图，来源：Mitrade】展望接下来美股行情，高盛分析师认为接下来难有显著表现，该行维持标普500指数2024年年底目标5200点的预测。周二（5月14日），高盛首席美国股票策略师David Kostin接受采访时表示，「从现在开始到今年年底，回报率大致持平。」 Kostin指出，通过将经济、盈利、估值和资金流纳入该行的预测模型中，该模型显示美国基准股指没有进一步上涨的空间。高盛团队预计，今年美国实际GDP增长率将在3%左右，2024年的盈利成长率约为8%。 Kostin认为，美股前景面临的一个上行风险是，美联储官员们是否会比市场目前预测的更积极地降息，但他表示「这不是我们的基本情

投资慧眼2024-05-15

痛失“ChatGPT之父”！IIya与OpenAI分道扬镳，保守派的大溃败？

15年离开谷歌人工智能研究部门之一的 Google Brain ；同年，和奥特曼、马斯克等人共同创立了OpenAI 。长期以来，这家初创公司一直处于人工智能研究的最前沿。在2022 年底，OpenAI发布 ChatGPT 一举惊艳世界，此后 OpenAI 便成了炙手可热的“当红炸子鸡”。去年11月，OpenAI一场魔幻“宫斗大戏”上演，举世震惊。 Ilya出于对公司大模型安全性的忧虑，曾联合董事会成员发起了罢免奥特曼的行动。不过，在遭到“排山倒海”般的强烈反对后，仅仅五天后，董事会又把奥特曼请了回来。对此，Ilya当时表示，对“参与董事会行动”表示遗憾。在奥特曼重新回归的几个月后，OpenAI董事会人数扩大到七人，奥尔特曼重新获得了董事会席位。自此后，Ilya 虽仍然是 OpenAI 的员工，但再也没有出现在大众的视线。这也一度引发人们猜测：Ilya或许可能已经离开了OpenAI。现在，一切已经成真。那么在离开OpenAI后，Ilya会有什么新动作？据本人透露，他正在启动一个新项目，不过没有详细说明。 “我很期待接下来的计划——这个项目对我个人来说意义重大，我会在适当的时候分享细节。” 事实上，一路过来，AI圈里“斗来都去”都是同一批人。许多从OpenAI出来的研究员，

格隆汇2024-05-15

日本外汇干预再出大招？美国银行：下一步通过出售国债干预日元

投资慧眼Insights - 美国银行称，日本未来为支撑日元而采取的任何外汇干预措施都可能涉及动用其持有的美国国债。最近日本当局两次出手支撑日元汇率，因为日元兑美元汇率已达到几十年来的最低水平，而且他们很可能动用了现金储备来实现这一目标。日本央行账户显示，第一次干预花费了约350亿美元，第二次干预花费了230亿美元。【图源：TradingView；干预后美元/日元（USD/JPY）先下跌后反弹】美国银行表示，在已经花费了数百亿美元的官方存款后，日本下一次试图提振日元很可能需要动用其持有的美国国债，此举将对美国的融资和债务市场产生影响。对美国国债需求的减少可能会推动利率小幅上升，并收窄担保隔夜融资利率（SOFR）的利差，SOFR是与隔夜回购协议挂钩的参考利率。美国银行表示，国债曲线的前端最有可能受到冲击。到目前为止，也许是因为日本当局动用其储备存款而不是债券，国债市场受到的的影响微乎其微。但包括美国银行在内的许多市场观察家预计，随着美国政府减少国债发行量，未来几个月国债供应量将下降。这可能会与日本需求的减少相结合。 “日本通过减持国债的方式进行干预，应该会对债券市场产生一定

投资慧眼2024-05-15

24小时热点