FX168财经网_全球视野外汇黄金加密货币NFT资讯网

Portal Ventures：BTC生态现状与潜在领域

地说，这不是大多数用户关心的，除非发生黑客攻击。在大多数rollup/L2中保持信任假设恒定的情况下，将会有一系列低速度的用例（如高价值收藏品交换、借贷、原生收益、质押等），用户和开发者更倾向于在基层实现同等级别的可编程性（通过像Arch Network这样的解决方案），而无需桥接到另一个L2。当然，这里的权衡是速度，因为交易将受到BTC区块时间的限制。但是，并非所有操作都需要在链上非常快速。无桥解决方案将在基层解锁新的“慢而稳定”的用例段，如稳定币、借贷、预测市场等。 2.通过跨各种L2的状态编排统一基础设施（更适合第二层的用例）：提供“一站式”开发者/消费者体验，解决当今比特币生态系统中泛滥的流动性和功能碎片化问题。Auran Network是该领域的先锋，我们对其感到兴奋。 “初创公司成功的公式：找到一个大而高度分散的行业，具有低NPS；垂直整合解决方案以简化价值产品” - Keith Rabois, 创始人基金（Founders Fund） 3.BTC流动性输出到其他L1：许多高知名度的新/现有的其他L1正在探索利用BTC的流动性来促进自己的生态系统增长。像Zeus Network这样在Solana和BTC之间创建消息层的解决方案可能会受到关注。 4.稳定币的赢家：已经有超过10个稳定币项目。与主流可编程性和互操作性解决方案形成深入合作将是市场主导地位的关键。 5.OP CAT：OP_CAT (BIP-347)是一项旨在简化并扩展比特币功能的比特币改进建议，以便启用逻辑循环和条件语句。它将允许在比特币如何被消费的规则或条件上的创造，为包括第二层、智能合约等在内的许多开发可能性打开了大门。预计时间表将超过12个月。 6.原生Ordinals交易平台：如果历史重演，正如我们在SOL和ETH上所见，大部分交易量将由像Blur或Tensor这样的原生专业交易平台所主导。到目前为止，大部分的Ordinals交易活动都在Magic Eden和OKX上进行。随着NFT寒冬的消退，我们预计像Ordinal Hive这样的原生Ordinals交易平台将蓬勃发展。 7.BitVM 的替代方案，以实现无需信任，或至少最小化 L2 <> 基础层桥接 8.面向机构的链上 BTC-on-BTC 收益产品：鉴于 STX 的 BTC 收益能力和符合监管规定的特点，它可能会成为赢家。 9.比特币上的流动性质押：拟物化 ETH，但Lorenzo 协议等 LST-on-BTC 项目有其优点，可以优化 BTC Defi 的流动性来源：金色财经

金色财经2024-06-05

师爷陈6.5：多空预埋再次完美拿下大盘上攻阻力位蓄势待发？

因此比特币出现了上涨。尽管日本发生了黑客攻击的负面消息，但ETF的持续流入使得即使出现短暂下跌，重要的支撑位也得到了保持。如果你看了师爷这几天的图表分析，你会发现师爷一直保持着看多的观点。而上涨伴随着回调也是再正常不过现象了，目前K线与均线的距离也在拉大。所以回调的概率较高，但回调后仍能维持看涨的观点。阻力位参考：第一阻力位：71500 第二阻力位：72000 首先第一阻力位是前高点，在测试后可能会进入短暂的调整区间。而短期高点70500的阻力位已被突破，按当前走势来看，可以期待测试72000的高点。支撑位参考：第一支撑位：70450 第二支撑位：69700 目前来看师爷认为币价回调至第一支撑位是完全有可能的，相比回调的情况下，重新测试71500后再回调会更有优势。目前K线与均线的距离较大，所以随着K线走势更新。如果均线朝上并缩小距离，则可以期待进一步上涨。在今日交易中，比特币突破了短期箱体区间上沿。并突破了三角收敛形态的上沿，所以表明近期的趋势和方向已定。在今日可以继续保持看涨的观点，并设置70500为短期的重要支撑位。如果当前K线在其上方保持企稳，则可以期待阶梯式的上涨出现。请在交易时参考这些建议 6.5师爷短线预埋单：做多入场位参考：69300-69700区间分批做多防守500点目标70500-71500 做空入场位参考：71100-71500区间分批做空防守500点目标70500-69700 来源：金色财经

金色财经2024-06-05

比特币再次冲击72000 以太坊维持箱体等待突破

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。昨晚纽交所出现了故障导致包括巴菲特老爷子的伯克希尔哈撒韦在内的多只股票出现暴跌甚至归零，以前我们常常自嘲币圈项目方都是草台班子，你以为高大上的项目方、机构、交易所其实都是几个刚毕业的大学生，合约代码都是一周之前刚学会的，只不过他们发掘了正确的商业模式并且通过信息差才成为割韭菜的庄家而已，而纽交所事件告诉我们，整个世界可能都是一样的，纽交所本周已经发生三起交易故障了，只不过之前没有众多明星股票瞬间归零这么严重的事故所以大家不知道而已，而之所以故障频出只是因为美国交易所正处在T+2向T+1转换之际，就这么一个小小的变化，世界第一大所都能频频出错，这再次告诉我们千万不要对你不了解的任何公司付出100%的信任。市场方面，昨晚老美公布的5月制造业PMI指数不仅预期并创近三月的新低一下就浇灭了老美经济强劲的幻想，降息预期大大提升，昨晚CME预期9月降息概率已经增加至62%了，比前天的54%有上涨了8个百分点，这在币市肯定是利好，昨晚大饼也再次冲破7w点，不过好玩的是，纽交所事故突然传来，美股没怎么着，大饼吭哧吭哧的下跌，不知道的还以为大饼出啥利空了呢，下跌的无厘头；以太坊和其他山寨走势相比大饼更惨，昨晚大饼突破之前，市场就出现了被吸血行情，而当大饼回调后，山寨市场反而加速下跌，这就是所谓的跟跌不跟涨吧。比特币维持昨天的分析不变，短期底部支撑验证结束，将重新进入上攻阶段，昨天拉升到71000后没能有效站稳，不过后续还会继续上攻，直至站稳且创新高。以太坊本周相比大饼走势偏弱，也没有最新的ETF消息出来，而且上周五拜登变相支持SAB121法案后，也让大家再次看不懂他到底支不支持加密，这个可能一定程度的会影响大家对ETF短期上市的信心，另外就是木头姐推出以太坊ETF的申请队列，对ETH也有一定负面影响，不过关于后市，我还是维持我之前的看法，在6月底之前还会有一波不错的行情。文/我是周悦盈感谢阅读来源：金色财经

金色财经2024-06-05

区块链动态2024年6月5日早参考

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。 26. 金色财经报道，由华尔街巨头贝莱德(BlackRock)和Citadel Securities支持的机构正计划在得克萨斯州成立一家新的全国性证券交易所，旨在对抗他们认为纽约证券交易所和纳斯达克的监管不力。德克萨斯证券交易所(Texas StockExchange)首席执行官James Lee告诉《华尔街日报》，该交易所已经从个人和大型投资公司筹集了约1.2亿美元，计划今年晚些时候向美国证券交易委员会提交注册文件，目标是在2025年开始促进贸易，并在20)6年举办第一次上市。德克萨斯证券交易所将完全采用电子交易方式，但计划在达拉斯市中心设立实体机构。德克萨斯证券交易所还希望吸引ETF产品上市。来源：金色财经

金色财经2024-06-05

巴菲特“爱股”闪崩99%！纽约证交所曝光事发原因斯诺登发表“大胆声明”……

xchange)报告称，没有迹象表明有黑客攻击。针对这一事件，斯诺登在推特上简单地表示，“比特币解决了这个问题。” (来源:Twitter) 他的简短评论强调了他相信去中心化金融系统比传统的中心化交易所更具优势。 Bitcoinist报道，比特币是一种去中心化的数字货币，在点对点网络上运行，没有中央权威。这种结构与传统证券交易所形成鲜明对比，传统证券交易所的集中控制可能导致系统性风险，例如最近纽约证券交易所的故障所表明的风险。比特币的设计旨在确保透明度、不变性和安全性，从而降低因技术问题或集中错误而发生此类灾难性故障的可能性。斯诺登在此背景下对比特币的支持凸显了加密货币对传统金融系统可能存在的漏洞的抵御能力。斯诺登指出“比特币解决了这个问题”，暗示比特币的去中心化性质可能会防止金融系统出现类似的混乱，为传统交易平台提供更可靠的替代方案。值得注意的是，自诞生以来，比特币的正常运行时间高达 99.989%。这种非凡的可靠性证明了其底层区块链技术的稳健性。比特币早期只发生过两次事件：第一次发生在2010年，被称为“价值溢出事件”，当时一个漏洞凭空创造了数十亿比特币。第二次发生在2013年，涉及由于不兼容的软件升级导致的临时区块链分叉。核心开发人员迅速解决了这两起事件，增强了比特币的弹性。

颜辞2024-06-05

金色百科 | 什么是去中心化应用程序 (dApp)？

在点对点网络上运行，这使得它们不易受到黑客攻击和数据泄露。然而，由于整个区块链网络的批准，dApp 可能很难更新和维护，这使得它们容易受到攻击和黑客攻击。金融交易、供应链管理、房地产销售、医疗数据存储和跟踪、教育、社交媒体平台和预测市场等各个行业都在使用 dApp。各行业可以使用它们来建立去中心化的学习平台和去中心化的预测市场。他们还帮助医疗保健专业人员、学生和教师在社交媒体上进行交流和协作。 Web3 和 dApp 有什么不同？ Web3 和 dApp是两种不同的技术，旨在使用区块链技术创建一个超安全、无需信任和自治的网络。加密生态系统的万维网被称为 Web3，Web3 应用程序是连接到加密钱包的任何基于区块链的应用程序。它包括游戏以及DeFi 和 NFT平台。 Web3拥有广泛的 dApp，例如游戏、金融服务以及社交和内容共享功能，创建了一个融合社交媒体和去中心化网络的生态系统。基于区块链技术的 dApp 或“去中心化应用程序”使服务提供商能够收集和监控用户的在线数据和浏览习惯。然后，消费品牌利用这些信息来制作更相关的广告。 DApp 的工作方式与常规应用程序类似，但如果没有中央服务器，任何实体都无法对其拥有更大的权力。用户在使用dApp之前通常需要购买代币，帮助构建区块链环境。它们包括智能合约和实用代币，这是使用服务或购买数字商品的主要区块链支付方式。 dApp 是短暂的趋势还是长期的答案？去中心化应用程序是在去中心化网络或区块链上运行的计算机系统，为用户提供不受公司控制的未来。这些应用程序为区块链游戏、交易 NFT 以及在平等对待每个人的网络上投资去中心化金融(DeFi) 提供了新的机会。它们依靠计算机网络而不是单个实体来执行其功能。这使得它们不易受到黑客攻击或信息违规等漏洞的影响。它们可以更加透明和安全，因为任何人都可以看到区块链上的代码和交易。凭借所有这些优势，dApp 作为未来金融的长期解决方案而广受欢迎，因为它们提供隐私保护和对数字财产的控制。虽然一些人认为当前围绕 dApp 的热潮只是一种短暂的趋势，但另一些人则认为早期采用者和加密货币爱好者主要使用它们。尽管存在一些怀疑，但仍有许多人认为dApp是解决当今技术行业面临的各种问题的最终解决方案，因为它们提供了更大的隐私和个人控制，允许人们保持对其信息的控制并选择访问它。 dApp将如何改变区块链行业？去中心化应用程序正在彻底改变区块链行业，支持新的业务模式，减少中介机构，并通过在区块链上存储用户数据来增强隐私，防止未经授权的访问和数据泄露。例如，音乐流媒体 dApp Audius 将艺术家与粉丝直接联系起来，并在区块链上创建他们的作品的不可变记录，允许表演者将他们的作品货币化。 DApp 还提供增强的隐私性，通过仅共享用户想要的内容来减少停机时间并减少中央数据存储。他们使用区块链网络进行去中心化，并且通常包含用于资产和数据传输的智能合约。此外，它们还提供广泛的其他用途，包括点对点金融交易、供应链管理、身份验证、财产所有权跟踪和医疗保健相关活动。此外，去中心化应用程序通过记录和轻松证明交易来保证金融交易的透明度。因此，dApp 可以利用智能合约创建新的商业模式，使其透明、防篡改和自动化，并借助区块链技术的力量减少对中介机构的需求。来源：金色财经

金色财经2024-06-04

OKX Web3、BlockSec：@所有巨鲸 DeFi世界最新避险攻略

差异，了解项目的安全改进情况。 Q5：黑客攻击历史、赏金计划，对DeFi项目安全性的参考价值？ OKX Web3 钱包安全团队：黑客攻击历史和赏金计划，对于DeFi项目的安全性评估提供了一定的参考价值，主要体现在以下几个方面：第一，黑客攻击历史 1）揭示历史漏洞：攻击历史可以展示项目曾经存在的具体安全漏洞，让用户了解过去哪些安全问题被利用过，以及这些问题是否得到了彻底的修复。 2）评估风险管理能力：项目如何响应历史上的安全事件，能够体现出其风险管理和危机处理的能力。一个积极响应、及时修复漏洞并赔偿受影响用户的项目，通常被视为更可靠和成熟的投资选择。 3）项目信誉：频繁的安全问题可能减损用户对项目的信任，但如果项目能展示出从错误中学习并加强安全措施的能力，这也能够构建其长期的信誉。第二，赏金计划赏金计划在DeFi及其他软件项目中的实施，是提高安全性和挖掘潜在漏洞的重要策略。这些计划对项目的安全性评估带来了多方面的参考价值： 1）增强外部审计：赏金计划鼓励全球的安全研究者参与到项目的安全审计中。这种“众包”方式的安全测试能够揭露内部审计可能忽视的问题，从而增加了发现和解决潜在漏洞的机会。 2）验证安全措施的有效性：通过实际的赏金计划，项目可以在实战中测试其安全措施的有效性。如果一个项目的赏金计划历时较长但报告的严重漏洞较少，这可能是一个表明项目相对成熟和安全的指标。 3）持续的安全改进：赏金计划提供了一种持续改进的机制。随着新技术和新攻击手段的出现，赏金计划帮助项目团队及时更新和强化其安全措施，确保项目能够应对最新的安全挑战。 4）建立安全文化：项目是否设立赏金计划，以及该计划的严肃性和活跃度，能够反映出项目团队对安全的态度。一个积极的赏金计划显示了项目对建立坚实的安全文化的承诺。 5）提升社区和投资者信心：赏金计划的存在和效果可以向社区和潜在投资者证明项目对安全的重视。这不仅可以增强用户信任，还可能吸引更多的投资，因为投资者倾向于选择那些显示出高度安全责任感的项目。 Q6：参与DeFi时，用户如何构建监控感知能力 BlockSec安全团队：以巨鲸用户为例，巨鲸主要是指个人投资者或小团队的投资机构，这些用户的资金规模较大，但通常没有非常强的安全团队，也没有自研安全工具的能力。因此，目前为止，实际上大部分巨鲸都没有足够的风险感知能力，否则就不会遭受如此巨大的损失了。由于面临巨大损失的风险，一些巨鲸用户开始有意识地依赖一些公开的安全工具来监控和感知风险。现在，有很多团队在做监控产品，但是如何选择非常关键。这里有几个关键点：首先，是工具的使用成本。许多工具虽然非常强大，但需要编程，使用成本并不低。对于用户来说，搞清楚合约的架构，甚至收集地址都不是容易的事情。其次，是精准度。没有人希望在晚上睡觉时连续收到几个警报，结果发现是误报，这样会让人心态炸裂。因此，准确度也非常关键。最后，是安全性。特别是在这种资金规模下，不能忽视工具研发及其团队的各种安全风险。最近的 Gala Game 被攻击事件，据说就是由于引入了不安全的第三方服务商。因此，可靠的团队和可信的产品至关重要。截至目前，也有许多巨鲸找到我们，我们会为其推荐专业的资管方案，从而使巨鲸用户既能保证资金的安全，又能兼顾日常的资金管理如“挖提卖”，感知风险，甚至在紧急状态下的资金撤退。 Q7：参与DeFi的安全建议、以及如何处理安全风险 BlockSec安全团队：对于大额资金参与者，参与 DeFi 协议首要是要保证本金安全，在对可能的安全风险进行了比较充分的研究后进行投资。通常可以从以下几个方面保证资金安全。首先，要多方位判断项目方的安全重视和投入程度。包括上面说的是否经过比较彻底的安全审计、项目方是否具有项目安全风险监控和自动响应能力、是否具有比较好的社区治理机制等。这一些都能反映出项目方对于用户资金安全是否放在比较重要的方面，是否对用户的资金安全具有高度负责的态度。其次，大额资金的参与者也需构建自己的安全监控和自动响应系统。在投资的协议发生安全事件后，大额资金的投资人应该第一时间能感知并且能撤退资金，尽可能地挽回损失，而不是将所有的希望都寄托在项目方身上。在 2023 年我们能看到多个知名项目都被攻击过，包括 Curve、KyberSwap、Euler Finance 等。很遗憾的是，我们发现在攻击发生的时候，大额投资者往往缺乏及时、有效的情报，也没有自己的安全监控和应急撤退系统。另外，投资人需要选择比较好的安全合作伙伴来对投资的项目标的安全进行持续的关注。无论是对项目方代码的升级、重要的参数改变等都需要能及时感知并且评估风险。而这样的事情没有专业安全团队和工具的参与是很难完成的。最后，需要保护好私钥安全。对于需要经常交易的账户，最好通过线上多签和线下私钥安全解决方案相结合的方法来进行，杜绝单个地址和单个私钥丢失后的单点风险。如果一旦投资的项目面临安全风险，又该如何处理？相信对于任何巨鲸和投资者而言，遭遇安全事件的第一反应一定是先保本，尽快撤资是最优先的动作。但是攻击者的速度通常很快，手动操作往往来不及，因此最好能够根据风险自动撤资。当前，我们提供相关的工具，可以实现发现攻击交易后自动撤资，帮助用户优先撤离。其次，如果真的遭遇了损失，除了吸取教训，还应该积极推动项目方寻求安全公司的帮助，对受损资金进行追溯和监控。随着整个 Crypto 行业对安全的重视，追回资金的比例在逐步提升。最后，如果是大户，还可以请安全公司盘点投资的其他项目是否有类似问题。很多攻击的 Root cause 是一致的，例如 Compound V2 的精度损失问题，去年许多项目都存在相似的问题并被连续攻击。因此，可以请安全公司分析投资组合中其他项目的风险，如果发现风险，应该尽快与项目方沟通或撤出。 OKX Web3 钱包安全团队：参与 DeFi 项目时，用户可以通过采取多种措施来更安全地参与 DeFi 项目，降低资金损失的风险，享受去中心化金融带来的收益。我们分别从用户层面、以及OKX Web3 钱包2个层面来展开。第一，对于用户而言： 1）选择经过审计的项目：优先选择经过知名第三方审计公司（如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉宾BlockSec）审计的项目，审阅其公开的审计报告，了解潜在风险和漏洞修复情况。 2）了解项目背景和团队：通过研究项目的白皮书、官方网站和开发团队背景，确保项目具有透明性和可信度。关注团队在社交媒体和开发社区中的活动，了解其技术实力和社区支持。 3）分散投资：不要将所有资金投入到单一 DeFi 项目或资产中，分散投资可以降低风险。选择多个不同类型的 DeFi 项目，如借贷、DEX、Farming等，以分散风险敞口。 4）小额测试：在大额交易前，先进行小额测试交易，确保操作和平台的安全性。 5）定期监控账户及应急处理：定期检查自己的 DeFi 账户和资产，及时发现异常交易或活动。使用工具（如 Etherscan）监控链上交易记录，确保资产安全。检测到异常后及时采取应急措施，比如撤销账户的所有授权，联系钱包安全团队获取支持等。 6）谨慎使用新项目：对于刚上线或未经验证的新项目，保持谨慎态度。可以先投入少量资金进行试验，观察其运行情况和安全性。 7）使用主流Web3钱包进行交易：仅使用主流的Web3钱包与DeFi项目交互，主流Web3钱包提供更好的安全防护。 8）防范钓鱼攻击：谨慎点击陌生链接和不明来源的电子邮件，不要在不受信任的网站输入私钥或助记词，确保访问的链接是官方网站。使用官方渠道下载钱包和应用程序，确保软件的真实性。第二，从OKX Web3 钱包层面而言：我们提供了很多安全机制以保护用户资金安全： 1）风险域名检测：在用户访问DAPP时，OKX Web3钱包会在域名层面进行检测分析，如用户访问的是恶意DAPP，则会进行拦截或提醒，防止用户上当受骗。 2）貔貅盘代币检测：OKX Web3钱包支持完善的貔貅盘代币检测能力，在钱包中主动屏蔽貔貅盘代币，避免用户尝试跟貔貅盘代币交互。 3）地址标签库：OKX Web3钱包提供了丰富完善的地址标签库，在用户跟可疑地址交互时，OKX Web3钱包会及时给予告警。 4）交易预执行：在用户提交任何交易前，OKX Web3钱包都会模拟执行该交易，并将资产和授权变化结果展示给用户参考。用户可根据该结果评判是否符合预期，以便决定是否继续提交该交易。 5）集成DeFi应用：OKX Web3钱包已经集成了各类主流的DeFi项目的服务，用户通过OKX Web3钱包可以放心与集成的DeFi项目进行交互。另外OKX Web3钱包也会对DEX，跨链桥等DeFi服务进行路径推荐，以便给用户提供最优的DeFi服务和最优的Gas方案。 6）更多安全服务：OKX Web3钱包还在逐步增加更多安全功能，建设更多先进的安全防护服务，将更好更高效地保障OKX钱包用户安全。 Q8：不仅是用户，DeFi项目方面临的风险类型以及如何防护？ BlockSec安全团队：DeFi项目方面临的风险类型包括：代码安全风险、运营安全风险和外部依赖风险。第一，代码安全风险。即DeFi项目在代码层面可能存在的安全隐患。对DeFi项目而言，智能合约是其核心业务逻辑（前后端处理逻辑等属于传统的软件开发业务，相对而言比较成熟），也是我们关注和讨论的重点，包括： 1）首先，从开发角度来说，需遵循业界公认的智能合约安全开发实践，比如对于用于防止重入漏洞的Checks-Effects-Interactions模式等等；此外，常用的功能尽可能选择可靠的第三方库来实现，避免因为重复发明轮子带来的不可知风险。 2）其次是做好内部测试，测试是软件开发中的重要环节，能够帮助发现很多问题。但对于DeFI项目而言，仅通过本地测试并不足以暴露问题，更需要在贴近实际上线的部署环境中做进一步测试，这方面可以通过使用类似Phalcon Fork这样的工具来帮助实现。 3）最后，在测试完成之后，接入口碑良好的第三方审计服务。审计虽然不能确保100%不出现问题，但系统性的审计工作能够在很大程度上帮助项目方定位已知常见的各类安全问题，而这些往往是开发者不熟悉或者因为思维方式的不同而较难触及的部分。当然，由于各家审计公司在专业和方向上存在差异，如果预算允许，在实践中也推荐2家或者多家审计公司参与。第二，运营安全风险。即项目上线后在运营过程中的产生的安全风险。一方面，代码依旧可能存在未知漏洞。即便代码已经经过良好的开发、测试和审计，依旧可能存在未被发现的安全隐患，这一点在软件开发数十年的安全实践中得到了广泛证明；另一方面，在代码层面的问题之外，项目上线后面临更多挑战，比如私钥泄漏、系统重要参数错误设置等等，均可能造成严重的后果和巨大的损失。运营安全风险的应对策略建议包括： 1）建立健全私钥管理：采用可靠的私钥管理方法，比如可靠的硬件钱包或基于MPC的钱包解决方案等。 2）做好运行状态监控：监控系统实时感知特权操作和项目运行中的安全状态。 3）构建针对风险的自动化响应机制：比如采用BlockSec Phalcon，可以在遭遇到攻击的时候自动实施阻断，避免（进一步）的损失。 4）避免特权操作的单点风险：如用Safe多签钱包来执行特权操作。第三，外部依赖风险是指项目存在的外部依赖带来的风险，比如依赖于其它DeFi协议提供的价格预言机，但预言机出现问题导致价格计算产生错误的结果。针对外部依赖风险的建议包括： 1）选择可靠的外部合作伙伴，如业界公认的可靠的头部协议等。 2）做好运行状态监控：类似运营安全风险，但这里的监控对象是外部依赖。 3）构建针对风险的自动化响应机制：类似运营安全风险，但处置方式可能有所区别，比如切换备用依赖而非直接pause整个协议。此外，对于希望构建监控能力的项目方，我们也给出一些监控建议 1）准确地设置监控点：确定协议存在哪些关键的状态（变量）、在哪些位置需要监控，这是构建监控能力的第一步。但监控点的设置很难覆盖全面，特别是在攻击监控方面，建议采用外部专业第三方、经过实战检验的攻击检测引擎。 2）确保监控的精准性和及时性：监控的精准性是指不能有太多的误报(FP)和漏报(FN)，缺乏精确性的监控系统实质上是不可用的；及时性是做出响应的前提（比如能否在可疑合约部署后、攻击交易上链前检测到），否则只能用于事后分析，这对监控系统的性能和稳定有极高的要求。 3）需要自动化响应能力：基于精准和实时的监控可以构建自动化的响应，包括pause协议阻断攻击等等。这里需要有可定制、可靠的自动化响应框架支持，可根据项目方的需求灵活地定制响应策略并自动触发执行。总体而言，监控能力的构建需有专业的外部安全供应商参与建设。 OKX Web3 钱包安全团队：DeFi 项目方面临着多种风险，其中主要包括以下几类： 1）技术风险：主要包括智能合约漏洞和网络攻击。防护措施包括采用安全开发实践、聘请专业的第三方审计公司对智能合约进行全面审计、设置漏洞赏金计划以激励白帽黑客发现漏洞，以及做好资产隔离来提高资金的安全性等。 2）市场风险：主要包括包括价格波动、流动性风险、市场操纵和组合性风险。防护措施包括使用稳定币和风险对冲防范价格波动，利用流动性挖矿和动态费用机制应对流动性风险，严格审查DeFi协议支持的资产类型和使用去中心化预言机防止市场操纵，并通过持续的创新和优化协议功能来应对竞争风险。 3）运营风险：主要包括人为错误和治理机制风险。防护措施包括建立严格的内部控制和操作流程以减少人为错误的发生、使用自动化工具提升操作效率，以及设计合理的治理机制，确保去中心化与安全性平衡，如引入投票延迟和多签机制。并对上线的项目做好监控和应急预案，一旦出现异常可以立即采取措施，将损失降到最低。 4）监管风险：法律合规要求和反洗钱（AML）/了解你的客户（KYC）义务。防护措施包括聘请法律顾问确保项目符合法律和监管要求、建立透明的合规政策以及主动实施 AML 和 KYC 措施以提升用户和监管机构的信任。 Q9：DeFi项目方，如何判断并选择好的审计公司？ BlockSec安全团队：DeFi项目方如何判断并选择好的审计公司，这里有一些简单标准的可供参考： 1）是否审计过知名项目：这表明该审计公司被这些知名项目所认可。 2）审计过的项目是否被攻击过：固然从理论上来讲审计并不能保证100%的安全，但实践经验表明口碑良好的审计公司所审计的大部分项目未曾有过被攻击记录。 3）通过过往审计报告判断审计质量：审计报告是衡量审计公司专业程度的重要标志，尤其是在同样的审计项目、同样的审计范围可作对比的情况下，可重点关注漏洞发现的质量（危害程度）和数量等，漏洞发现是否通常被项目方采纳。 4）专业从业人员：审计公司的人员构成，包括学历和从业背景等，系统性的教育和从业经验对于确保审计质量有很大的帮助。最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第05期，当前我们正在紧锣密鼓地准备第06期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！免责声明：本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经2024-06-04

币安（BINANCE）联合创始人何一：币安不存在安全漏洞!

联合创始人何一就价值 100 万美元的黑客攻击事件发表了公开声明，澄清此次入侵是由于用户设备被攻击，而非币安平台的安全漏洞所致。据报道，一名用户因安全漏洞损失了 100 万美元的加密货币，对此何一进行了回应。他强调，此次损失是由于用户的个人电脑被黑客入侵，而不是币安平台本身的安全问题。此前，加密货币交易员 Nakamao 声称其账户遭受了重大损失，并指责币安存在安全问题。币安没有错何一在详细的声明中否认了币安在此次黑客攻击中存在过错。他解释说，用户的账户是通过一台被入侵的电脑访问的，黑客在获得访问权限后出售了受害者的加密货币，导致交易损失。他强调币安的安全系统依然完好无损，漏洞并非源于平台本身。何一在公开声明中写道：“仔细看看；这个用户的账户被入侵是因为他们的电脑被黑客入侵；他们已经没救了。” 另一方面，Nakamao 提供了不同的视角，他表示黑客通过控制他的网络 Cookie 来操纵他的币安账户。“后来，安全公司告诉我，黑客通过劫持我的网络 Cookie 来操纵我的账户，”他解释道。他描述了黑客如何在流动性高的 USDT 交易对中执行交易，并在流动性较低的 BTC 和 USDC 等交易对中下达不合理的卖单。快速冻结被黑账户币安客服部门在收到冻结请求后迅速采取行动，在 1 分 19 秒内冻结了受影响的账户。客服部门表示，此次入侵是通过一个恶意插件进行的，该插件允许黑客冒充 Nakamao。币安的声明中写道：“我们同情您的经历，但根据我们目前掌握的信息，您资产损失的原因是您的相关设备因安装恶意插件而被操纵。” 尽管币安行动迅速，Nakamao 对币安的解释和处理方式提出了质疑。他声称币安事先知道这个恶意插件的存在，并指责平台没有提前采取行动警告用户。“事实证明，币安很早就知道这个插件的存在，甚至鼓励 KOL 从黑客那里获取更多信息，”Nakamao 说。何一建议用户注意保持安全登录习惯，尤其是对于活跃的 Cookie 插件。她重申，币安无法赔偿因用户行为而导致登录设备受损的用户。“币安无法赔偿用户的登录设备受损，”她敦促用户避免为了琐碎的便利而危及安全。来源：金色财经

金色财经2024-06-04

5月区块链安全事件增长因黑客攻击等损失金额达1.54亿美元

涨。5月发生较典型安全事件超37起，因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.54亿美元，较4月增长约52.5%。其中攻击事件约5451万美元，增长约3.7%；钓鱼诈骗事件约9740万美元，增长约754%；Rug Pull事件约204万美元，下降约94.5%。此外，还有一些具体安全事件和新的消息，下面来为大家详细讲述。黑客攻击方面典型安全事件 11 起 (1) 5月5日，Fantom链上的GNUS遭到攻击，损失约127万美元。 (2) 5月9日，Blast生态Bloom项目遭到攻击，损失约54万美元。被盗资金已追回90%（扣除10%的漏洞赏金）。 (3) 5月10日，Web3游戏项目Galaxy Fox遭受攻击，损失约30万美元。 (4) 5月10日，Base生态Tsuru遭受攻击，损失约41万美元。 (5) 5月14日，Arbitrum链上DEX项目Predy Finance遭受攻击，损失约46万美元。 (6) 5月15日，比特币DeFi工具Alex Lab因私钥被盗在Stacks和BSC两条链上共损失约630万美元。 (7) 5月15日，Optimism链上Compound fork项目Sonne Finance因合约漏洞遭受攻击，损失达2000万美元。事件发生后，Seal 贡献者通过向市场添加价值约 100 美元的 VELO，挽救了约 650 万美元。此次攻击利用了新加入市场的漏洞，在市场创建后的两天内，攻击者利用多签钱包和时间锁功能执行关键交易，成功操纵了市场的抵押因子(c-factors)。 (8) 5月16日，Solana生态pump.fun项目遭到攻击，损失约190万美元。攻击者随后开始将资金空投到一些随机的钱包中。pump.fun 在推特发文表示，此次攻击是因为某位前员工利用其在公司的特权非法获取了提款权限，并借助借贷协议实施了闪电贷攻击。 (9) 5月20日，Web3 游戏平台 Gala Games 遭攻击，损失约 2180 万美元。攻击者铸造了 50 亿枚 GALA 代币，价值超过 2 亿美元，之后迅速抛售 5.92 亿枚 GALA，获得 5952 枚 ETH。5 月 22 日，根据链上记录和 Gala Games 在 Discord 的声明，黑客返还了 5913.2 枚 ETH。 (10) 5月21日，TON生态Launchpad平台TonUP因工程师错误配置脚本参数遭到攻击，损失约10.7万美元。 (11) 5月26日，Base生态Meme币Normie遭到攻击，损失约49万美元。 Rug Pull / 钓鱼诈骗典型安全事件 6 起 (1) 5月3日，某巨鲸地址遭遇地址中毒诈骗，损失达7200万美元。 (2) 5月14日，Polygon链上虚假Pii Park项目发生Rugpull，部署者获利约49万美元。 (3) 5月14日，某0xff49开头地址遭到Pink Drainer的钓鱼诈骗，损失约166万美元。 (4) 5月16日，某0x719e开头地址遭受钓鱼诈骗，损失约125万美元。 (5) 5月18日，某0xee6a开头地址遭受钓鱼诈骗，损失价值约560万美元的Pendle yield代币。 (6) 5月26日，某0x2154开头地址遭受钓鱼诈骗，损失约690万美元。加密犯罪方面典型安全事件 20 起 (1) 5月19日，重庆两江新区（自贸区）人民法院日前审结了一起备受关注的委托合同纠纷案，该案涉及委托传销组织成员购买虚拟货币的纠纷。法院审理后认定委托合同违反了国家法律、行政法规强制性规定，应当认定为无效。一审宣判后，周某不服，提起上诉。重庆市第一中级人民法院作出二审判决，驳回上诉，维持原判。目前，该判决已生效且已自动履行。 (2) 5月，天水麦积区警方辗转5省9市，全链条打掉一个虚拟货币洗钱团伙，抓获犯罪嫌疑人13名，追赃挽损百万余元。目前，13名犯罪嫌疑人已被依法采取刑事强制措施，案件正在进一步侦办中。 (3) 5月15日，成都市公安局公布一起特大涉虚拟货币地下钱庄案的侦破过程，该案涉案金额138亿元，共抓获犯罪嫌疑人193人，冻结涉案资金1.49亿元。该案于2022年11月获得相关线索，2023年6月1日，在公安部、公安厅的指挥下，抓获林某、翁某、陈某等25名犯罪嫌疑人，查获大量用于作案的银行卡、U盾等支付工具。 (4) 5月13日消息，吉林省磐石市公安局成功破获一起利用虚拟货币非法经营地下钱庄案，涉案金额约21.4亿元人民币，6名在中韩两国实施犯罪的嫌疑人落网。警方查明，该案犯罪团伙利用境内账户接收与转移资金、OTC买卖虚拟币、韩币结算等方式，非法从事外汇兑换业务，帮助韩国代购、跨境电商、进出口贸易公司等群体实现人民币与韩币的汇兑。 (5) 5月11日，福建明溪公安破获一起虚拟货币诈骗案。李某通过境外某聊天软件结识一名陌生男子，并在该陌生男子的诱骗下，欲通过购买“USDT”虚拟币再进行转卖赚取差价的方式赚钱。多次向该名男子转账用于购买“USDT”虚拟币，收到钱款后，该名男子却捏造各种理由拒绝向李某提供“USDT”虚拟币，最终李某被骗38.7万元。5月11日，明溪警方赴四川成功抓获诈骗嫌疑人赵某。 (6) 5月16日，黑龙江省黑河市孙吴县公安局反诈中心在工作中发现一起电信网络诈骗的线索后，民警立即组织警力开展工作。经了解，民警发现江西省某市居民吴某某涉嫌伙同他人利用虚拟币帮助电信诈骗分子洗钱，并迅速锁定犯罪嫌疑人。当天，民警在江西省某市一举将邬某源、陈某、刘某华、王某伟等 4名犯罪嫌疑人抓获归案。 (7) 5月16日消息，香港警方近日在一起涉嫌加密货币诈骗案中逮捕了3名本地男子。一名男子在尖沙咀一店铺内试图转售价值约100万元（港币）的泰达币（USDT），却被支付冥币诈骗。 (8) 5月14日，香港警方将一跨境洗黑钱团伙抓获。据悉，香港警方商业罪案调查科于2023年11月锁定一个跨境洗黑钱集团，调查发现集团于2023年9月至2024年3月期间，招揽内地人到香港开设傀儡银行户口，透过不同类型诈骗案去诈骗受害人。受害人根据骗徒指示，将骗款存入犯罪集团控制的傀儡户口，之后集团会从傀儡户口以现金方式提取骗款，并到加密货币场外交易所（OTC）购买加密货币，同时又会在海外加密货币平台上以虚假身份开设户口，并存入由骗款所购买的加密货币，再转移至多个加密货币钱包，以清洗犯罪得益。 (9) 美国司法部起诉并逮捕了卡地亚珠宝的一名继承人Cartier，罪名是罪名是涉嫌使用USDT洗钱，据称他与哥伦比亚贩毒集团有勾结。Cartier与五名哥伦比亚国民一起试图进口100公斤可卡因并洗钱数亿美元，大部分通过场外 (OTC) USDT 交易进行。他们在被捕前实际上已成功洗钱1450万美元。Cartier目前被关押在迈阿密拘留中心，而他的同谋则被关押在哥伦比亚监狱。 (10) 美国司法部逮捕了一名策划1.3亿美元网络诈骗的僵尸网络负责人，根据5月29日的起诉书，该犯罪嫌疑人涉嫌“创建并传播恶意软件，以入侵和聚集全球数百万台家用Windows计算机网络”，区块链分析公司Chainlysis的一项独立分析显示，与犯罪嫌疑人相关的钱包地址共持有通过非法佣金赚取的超过1.3亿美元的数字资产。 (11) 5月17日消息，加利福尼亚州中部地区的一份起诉书被公开，指控两名中国籍人士涉嫌在一个洗钱方案中扮演主要角色，涉及加密货币投资诈骗。他们被指控领导一项与国际加密投资骗局有关的洗钱计划，金额至少为7300 万美元。 (12) 5月1日消息，FBI破获以加密投资为诱饵的庞氏骗局Idin Dalpour，涉案金额4300万美元。 (13) 5月14日消息，Tornado Cash混币服务的开发者之一Alexey Pertsev被判犯有洗钱罪，并在荷兰被判处64个月监禁。 (14) 5月15日消息，加拿大“加密货币之王”及其同伙被捕，被指控通过加密货币和外汇投资计划诈骗投资者3000万美元。 (15) 5月21日消息，美国当局逮捕并指控一名台湾男子经营暗网毒品交易市场，涉嫌利用该网站以加密货币销售价值超过1亿美元的非法麻醉品，包括芬太尼。 (16) 巴拉圭当局在萨普凯市抓获了近400名比特币矿工。此次行动由警方和国家电力管理局（ADE）联合开展，是对涉嫌窃电行为进行调查的一部分。 (17) 5月月31日消息，土耳其当局在安卡拉的21个省开展了加密行动，拘留了127名涉嫌“通过庞氏骗局进行国际欺诈”和“犯罪及清洗犯罪所得资产”的嫌疑人。在此次行动中，当局查获了超过 177 件不动产和 61 件动产，价值 10 亿土耳其里拉。此外，他们还没收了一支无牌枪支、一支空包弹枪和一些加密资产。 (18) 5月26日消息，马来西亚执法部门近日逮捕了一个涉嫌利用加密货币洗钱的犯罪团伙，共有10人被捕。执法人员在5月13日至21日期间的突击行动中，查获了129辆总价值约380万美元（1800万马币）的车辆，以及价值超过390万美元的名牌手表、18辆豪车、摩托车和手袋，并冻结了总额约1080万美元的银行账户。此团伙涉嫌通过诈骗高档车牌号和奢侈品牌手表交易非法获利，并将资金通过未注册的兑换商和加密货币交易转移到马来西亚。 (19) 美国德克萨斯州证券委员会已向Arkbit Capital发出停止令，指控其从事欺诈性加密云挖矿活动。根据命令，德州证券委员会发现Arkbit Capital及其附属实体从事欺诈活动，包括使用欺骗性图像和视频处理技术来推广其投资计划。Arkbit 虚假声称运营位于阿肯色州的数据中心，用于云挖掘各种加密货币，承诺对50美元至49999美元之间的数字资产存款提供120天的每日1.6-2.8%的投资回报。 (20) 5月26日消息，印度公民Chirag Tomar已承认“通过欺骗 Coinbase 网站窃取超过3700万美元的联邦指控”，承认犯有电信欺诈罪，最高可判处20年监禁和25万美元罚款。Chirag Tomar及其同伙设计假冒Coinbase Pro网站诱骗用户输入登录凭据和双因素身份验证码，后于去年12月20日进入美国时在亚特兰大机场被捕，目前仍被联邦拘留。总结从上述多个事件分析来看，相较4月5月损失金额上涨，其中发生2起损失超过千万美元的黑客攻击事件：游戏平台Gala Games因私钥泄露损失2250万美元、Sonne Finance因合约漏洞损失2000万美元。零时科技安全团队建议项目方始终保持警惕，并做好内部安全培训和权限管理，提高员工的安全意识和避免内部作恶的情况。注：本文内容均来自公开的资料整理收集。重要提醒：本文只对行业信息进行整理，不构成任何投资建议和保证。来源：金色财经

金色财经2024-06-03

Vitalik：如果时间可以倒流我会这样重建以太坊

rey Wilcke 在旧办公室里进行黑客攻击、启动 Devcon Zero 以及庆祝 2022 年的 Merge 升级。然后 Schoedon 提出了一个问题。 “凭借你所知道的一切以及过去 10 年所学到的一切，如果你可以从头开始，你会如何以不同的方式构建以太坊？” Schoeden 问道。 Vitalik Buterin（中）在 ETHBerlin 的讨论中讨论了以太坊的愿景，包括过去和现在。图片来源：Liam Kelly/DL News。以太坊虚拟机 Buterin 的第一个疑虑与以太坊的虚拟机有关，虚拟机是使网络成为一种去中心化的巨型加密计算机的关键。他解释说，以太坊最初的 EVM 设计使用的是 256 位处理，而不是 64 位或 32 位。在计算机架构中，计算的大小以位为单位，位越大，效率越高，处理的数据越多。但 256 位对于大多数操作来说效率非常低，即使是简单的任务，也会给区块链带来大量臃肿。对于早期的网络来说，以太坊不需要为此进行优化。 “最初的设计太适合 256 位了，”Buterin 告诉观众。优化智能合约其次，Buterin 表示，早期的以太坊开发人员应该专注于让编写智能合约变得更容易，代码行数更少。原因是什么？增加透明度。他说，代码行数越少，“人们就可以正确地看到和检查合约内部发生的事情。” 志愿者和开发者在柏林黑客马拉松上演奏音乐。图片来源：ETHBerlin。切换到“更糟糕”的质押版本以太坊没有使用定制的计算机（称为矿工）不间断地运行以保护区块链网络，而是切换到了另一种模式。 Buterin 说，以太坊在 2022 年从工作量证明共识机制（区块链中的节点就交易数据状态达成一致的方式）切换到权益证明，这应该发生得更早。 “当我们切换到权益证明时，我们应该早点切换到一个稍微差一点的权益证明版本，”他说。“我们最终浪费了很多时间，试图让权益证明变得完美。” 现在，以太坊不再由矿工担保，而是由验证者担保，验证者质押了 32 个以太坊（价值约 124,000 美元）来做同样的事情，并因此获得奖励。例如，如果他们通过验证欺诈性交易而行为不当，就会受到惩罚。总之，这种转变用经济激励取代了原始的、能源密集型的计算能力。 “如果我们在 2018 年有一个更简单的权益证明，我们本可以拯救大量树木，”Buterin 说。从第一天开始发布日志从大额代币转账到后门蜜罐，用户可以很轻松地追踪加密货币中的资金。这在一定程度上要归功于自动记录。但随着行业的发展，尤其是从 MetaMask 等外部拥有账户转向 Safe 等智能钱包，某些关键记录方面已丢失。值得注意的是，Ether 传输的自动日志。 “它应该从一开始就在那里，”Buterin 说。“我、Gav 和 Jeff 本来可以花 30 分钟编写代码。相反，它是一个 EIP。” 以太坊改进提案是开发人员提出的改变以太坊网络某些方面的正式提案。 Buterin 于 5 月 17 日提交的 EIP-7708 将做出这一精确的改变。 0xbow 战略顾问、MolochDAO 和 Reflexer Finance 联合创始人 Ameen Soleimani 正在讨论 Tornado Cash 案例。图片来源：Liam Kelly/DL News。放弃 Keccak，使用 SHA-2 Buterin 还表示，他将使用 SHA-2 作为以太坊的哈希函数，而不是当前称为 Keccak 的函数。要理解其中的区别，必须深入了解一些密码学知识，特别是关于 SHA-3 如何成为标准的知识。请记住，在加密货币成为名人 memecoin 和九位数首次代币发行的代名词之前，它与复杂的数学有关。在构建以太坊时，它使用的哈希值是在“哈希函数竞赛”中——是的，这是一回事。美国国家标准与技术研究所组织了这次竞赛，以在 SHA-2 之外创建新的哈希标准。以前的标准曾受到攻击和揭穿。但 SHA-2 毫发无损，NIST 只是想要一个安全的替代方案。毕竟，多样性是生活的调味品（显然也是密码学的调味品）。 Keccak 只是参加比赛的几位参赛者之一。在比赛期间，该团队对其算法做了一些小改动，最终使他们成为冠军。然而，早期的以太坊团队已经实现了 Keccak 的非标准化版本。本质上，以太坊使用的是 SHA-3 之前的迭代。 ChainSafe 联合创始人兼首席产品官 Gregory Markou 和 Phylax Systems 创始人兼首席执行官 Odysseas Lamtzidis 在 ETHBerlin 上发表演讲。图片来源：ETHBerlin 很麻烦，对吧？嗯，这意味着以太坊开发人员需要一个自定义库（可重复使用的代码集合，无需从头开始重写）来同时适应 SHA-3 和 Keccak。 “我们与其他使用 SHA-3 的系统不兼容，”以太坊核心开发人员 Marius van der Wijden 告诉 DL News。“我们必须在 EVM 中支持这两种算法。” 这个问题基本上已经解决了。如今，大型库支持这两种加密机制。所以，是的，确实很麻烦。 “从大局来看，这并不重要，当前的开发肯定不会受到影响，”van der Wijden 说。以太坊的团队尽管有一系列小设计失误，但 Buterin 表示，任何项目都难免会有一些失误。 “我真的很高兴，我们的核心开发人员和他们的执行能力似乎每年都在不断提高，”他说。 “我们能够有效、安全地纠正其中一些错误。” 来源：金色财经

金色财经2024-06-03

24小时热点