FX168财经网_全球视野外汇黄金加密货币NFT资讯网

开盘领涨，表现强劲，计算机ETF（512720）涨幅超1.1%，纳思达涨超5.8%

，成交额超800万元。首创证券表示，网络安全板块业绩有望持续改善。21年以来，板块受到公共卫生防控及行业竞争加剧等多因素影响，业绩持续疲软，主要表现为收入增速不及预期、研发及销售费用投入较多、部分公司毛利率下滑、利润与收入增速不匹配等。未来随着经济逐渐复苏及安全重要性不断提升，板块收入同比增速有望恢复，且随着竞争缓和，费用投入回归理性及毛利率改善，板块利润端也有望同步恢复。

有连云2022-10-13

比特币继续震荡继续横还有横多久？注意这些细节变化

被盗资金总额的69%。这一进展还发生在网络安全公司Bitdefender披露了一个加密劫持活动的细节，该活动利用微软OneDrive中已知的DLL侧向加载漏洞，建立持久性并部署加密货币矿工软件。在一个相关的发展中，趋势科技透露，一个被称为Water Labbu的恶意行为者针对其他犯罪分子经营的45个基于加密货币的欺诈网站，将受害者的资金转移到他们控制的钱包。" 10/10 据多个消息来源称，伊朗的比特币倡导者Ziya Sadr上个月被伊朗安全部队逮-bu。Nima Yazdanmehr说他是Sadr的朋友，他告诉CoinDesk，逮-bu发生在9月19日的德黑兰街头，Sadr还没有被释放。逮-bu发生在对国家杀害22岁的Mahsa Amini的广泛反政府抗议中，尽管没有提供逮-bu的原因。萨德尔是一个受欢迎的比特币教育者和Youtuber，也是该技术的倡导者。他将比特币内容翻译成波斯语，并推广注重隐私的比特币个人交易方式。据报道，萨德尔目前被关押在Fashafouyeh监yu，并与他的家人和密友保持联系。萨德尔只是在抗议活动后的几周内被伊朗政-fu拘-留的数千名伊朗公民和活动人士之一。目前还不知道伊朗政-fu对萨德尔的兴趣是否与他的比特币主张有关。多个消息来源告诉，萨德尔在被捕时没有参加抗议活动。据称，萨德尔原定于周日获得保释，但抗议活动中的大规模-bu捕导致伊朗各地的保释请求被推迟。萨德尔的推特账户最近被萨德尔认识和信任的一方停用。这是一个发展中的故事。 10/09 自2009年成立以来，比特币已被预测为许多东西。然而，最受关注的方面是未来货币的可替代形式和通货膨胀的对冲。上一个比特币减半周期（大约每四年发生一次的区块奖励减半事件）恰逢COVID-19大流行病肆虐，这巩固了许多人的信念，即新生的技术是对冲通货膨胀和世俗混乱的真正对冲。然而，一年下来，BTC已经损失了75%的市值，没有多少人会同意通货膨胀对冲理论。在去年的牛市周期中，像Microstrategy、Tesla和其他众多的上市公司通过将比特币加入到他们公司的国债中，对比特币的通货膨胀保值方面进行了加倍的宣传。当顶级加密货币的价格在10000美元以下的价格范围内交易时，Microstrategy开始购买BTC，并继续购买，直到市场达到顶部，BTC价格接近69,000美元。这个决定在开始时看起来非常有利可图，因为BTC价格每个月都在触及新高，加密货币社区的许多人称赞微策略公司的CEO是比特币"通货膨胀对冲"案例的讨伐者。然而，随着熊市的到来，社区的情绪很快发生了变化，随着乌克兰战争等各种地缘政治问题以及随后的食品供应和能源危机导致的通货膨胀飙升，情况只会变得更糟。目前，世界各地的通货膨胀率已经触及新高，许多国家正在努力避免衰退。有人说，比特币和其他大多数资产一样，正在努力保持一个有利可图的投资选择，但这并不一定意味着它作为通胀对冲工具已经完全失败。量化加密货币交易公司Musca Capital的首席执行官Kasper Vandeloock认为，尽管经济下滑，BTC仍然属于表现最强劲的资产，但这取决于人们如何看待它。原文链接：https://mp.weixin.qq.com/s/1i1IhgGSVF3T-lzqzswsCA 来源：金色财经

金色财经2022-10-12

10月12日中国长城涨10.04%，国泰中证军工ETF基金重仓该股

、数字经济、东数西算、云计算数据中心、网络安全、国产操作系统、国产芯片、华为产业链、芯粒Chiplet、量子通信、钠离子电池、光伏、百度概念股、人工智能、新能源汽车、区块链、锂电池、军民融合、军工、军工集团、互联网医疗、高铁轨交、海工装备、央企改革、国企改革、双百行动概念热股。资金流向数据方面，10月12日主力资金净流入9032.23万元，游资资金净流出4685.68万元，散户资金净流出4346.55万元。融资融券方面近5日融资净流入2217.92万，融资余额增加；融券净流出28.98万，融券余额减少。重仓中国长城的前十大公募基金请见下表：该股最近90天内共有3家机构给出评级，买入评级2家，增持评级1家。根据2022半年报公募基金重仓股数据，重仓该股的公募基金共173家，其中持有数量最多的公募基金为国泰中证军工ETF。国泰中证军工ETF目前规模为118.63亿元，最新净值1.0697（10月11日），较上一交易日上涨0.44%，近一年下跌14.29%。该公募基金现任基金经理为艾小军。艾小军在任的基金产品包括:国泰上证180金融ETF联接A，管理时间为2014年1月13日至今，期间收益率为69.54%；国泰上证180金融ETF，管理时间为2014年1月13日至今，期间收益率为77.34%；国泰黄金ETF，管理时间为2014年1月13日至今，期间收益率为54.12%；国泰中证计算机主题ETF联接A，管理时间为2015年3月26日至今，期间收益率为-31.4%。国泰中证军工ETF的前十大重仓股如下：以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-12

收评：沪指重返3000点，创业板指涨3.6%创逾4个月最大单日涨幅

汽车一体化压铸、东数西算、钙钛矿电池、网络安全、OLED、国产芯片、国产软件等概念均有出色表现。　　风能板块受关注，联德股份、天顺风能、恒润股份、通达动力、五洲新春、振江股份、远东股份、大金重工涨停；　　光伏概念升温，宝馨科技、通灵股份涨停，联泓新科、芯能科技、宝胜股份、阳光电源等大涨；　　汽车产业链午后爆发，爱柯迪、瑞鹄模具、科博达、德宏股份、双环传动、广东鸿图、征和工业等集体涨停；　　半导体板块强势反弹，盈方微、赛腾股份、华亚智能、纳思达、亚威股份、格林达、朗迪集团涨停；　　军工板块回暖，旭光电子、贵绳股份、英维克等涨停；　　信创概念活跃，中国软件、南天信息、竞业达、榕基软件、恒为科技、南威软件、久远银海涨停；　　数字经济概念亦有出色表现，中国长城、神州数码涨停，京北方、中富通、卫士通等涨超5％；　　5G概念震荡上行，国脉科技、英飞拓、中通国脉、华脉科技等涨停；　　OLED概念崛起，彩虹股份、亚世光电、金钼股份涨停，TCL科技触及涨停；　　三季报预增股较为活跃，祥鑫科技、众兴菌业、兴瑞科技、云南铜业、望变电气涨停，另外剑桥科技在公布三季报后已连续两日涨停；　　保险板块表现出色，中国人寿涨超4％，中国人保、中国太保、新华保险、中国平安等纷纷上涨；　　【机构策略】　　中原证券：未来股指总体预计将维持震荡格局，同时仍需密切关注政策面、资金面以及外部因素的变化情况。建议投资者保持六成仓位，短线关注新能源、电网设备以及汽车等行业的投资机会。　　山西证券：A股整体估值已经进入显著低估区间，近期的下跌带有一定的非理性，以1年期维度看，流动性和企业盈利均有望逐步好转，经过Q3悲观预期的集中宣泄，随着四季度国内经济基本面验证回暖迹象，A股正在逐步企稳，布局窗口已经开启，结构转型中有望延续高景气逻辑的赛道+基本面修复弹性较大的行业有望收获较优表现。

金融界2022-10-12

异动快报：纳思达（002180）10月12日14点13分触及涨停板

上涨。领涨股为龙芯中科。该股为半导体，网络安全，国产芯片概念热股，当日半导体概念上涨2.83%，网络安全概念上涨2.56%，国产芯片概念上涨2.53%。资金流向数据方面，10月11日主力资金净流出1047.33万元，游资资金净流出2562.6万元，散户资金净流入3609.93万元。近5日资金流向一览见下表：纳思达主要指标及行业内排名如下：纳思达（002180）个股概况：以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-12

异动快报：中国软件（600536）10月12日13点48分触及涨停板

为科远智慧。该股为信创，国产操作系统，网络安全概念热股，当日信创概念上涨3.05%，国产操作系统概念上涨2.12%，网络安全概念上涨1.94%。资金流向数据方面，10月11日主力资金净流出4258.85万元，游资资金净流入2881.85万元，散户资金净流入1377.0万元。近5日资金流向一览见下表：中国软件主要指标及行业内排名如下：中国软件（600536）个股概况：以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。

证券之星2022-10-12

昨夜今晨 | 纳指年内二度跌入熊市！华尔街大佬：美股可能再跌10%

用网站的乘客带来不便。美国国土安全部网络安全与基础设施安全局（CISA）的一位发言人称，已得知针对多个美国机场网站的DDoS攻击报告，正与可能受到影响的实体协调，并根据需要提供援助。美国交通部则拒绝置评此事。 7、欧盟发行110亿欧元债券当地时间10月11日，欧盟发行了两笔债券，总额达110亿欧元，其中7年期债券总额50亿欧元，20年期债券总额60亿欧元。此次发债所筹集的资金中，20亿欧元将通过宏观金融贷款计划提供给乌克兰。 8、人类历史首次太空防御测试取得成功行星轨道改变幅度大超预期美国国家航空航天局（NASA）周二举行新闻发布会宣布，过去两周获得的观测数据显示，使用航空器撞击小行星的确能改变其运行轨迹，这也是人类历史上首次主动改变天体运动。 NASA局长比尔·尼尔森表示，我们每一个人都有责任保护唯一的地球家园，而这项任务也展现NASA正试图为宇宙向地球扔过来的任何东西做好准备。这也是行星防御和全人类的分水岭时刻。 9、“鸡荒”缓解！马来西亚自周二起分阶段解除活鸡出口禁令马来西亚农业和食品工业部部长Ronald Kiandee表示，该国将从周二开始分阶段取消对活鸡的出口限制。出口限制的放松有望缓解严重依赖进口的新加坡当地的鸡肉紧缺状况。 Kiandee周一在一份声明中表示，马来西亚将允许每月出口180万只活鸡，这是360万只活鸡总出口限制的50%。俄乌局势 1、俄方宣布“不对称”反制据俄新社报道，俄副外长里亚布科夫11日警告华盛顿和其他西方国家“局势不受控升级的危险性”。他再次指责西方“持续不断给基辅大规模援助，在北约国家境内培训乌克兰军人，实时提供情报”等行为，因此，“俄罗斯将被迫采取反制措施，包括不对称措施”。 2、乌克兰在基础设施遭打击后再次请求美国提供ATACMS导弹美国杂志《外交政策》报道，乌政府在俄罗斯袭击其基础设施后，再次呼吁美国提供射程达300公里的“陆军战术导弹系统（ATACMS）”弹道导弹，以及“灰鹰”无人机和F-15、F-16战斗机。 3、G7加大干预，“对抗将继续” 路透社11日称，G7领导人当天举行线上紧急峰会，泽连斯基通过视频发表演讲，他呼吁G7领导人给予乌克兰足够的防空能力、对莫斯科实施新的严厉制裁，并再次排除了与俄总统普京举行会谈的可能性。他还呼吁G7支持乌克兰在白俄罗斯边境的防御任务。 4、波兰呼吁在白俄罗斯公民离境据路透社和美国《华尔街日报》10月10日报道，波兰政府在其网站上发布的旅行者指南中说，建议在白俄罗斯的波兰公民“利用可用的商务和私人手段”离境。波兰还建议本国公民不要前往白俄罗斯。公司新闻 1、Meta公布全新元宇宙头显起售价达到1500美元当地时间周二，Meta平台举办年度Connect大会，向外界展示其“元宇宙”愿景的软硬件建设情况。作为发布会最重要的环节，最新旗舰MR设备Meta Quest Pro也在今天登场。根据官网介绍，Meta Quest Pro上附带10个先进的VR/MR传感器、配置12GB RAM以及高通骁龙XR2+处理器。起售价也达到1499.99美元，将于10月25日发售，10月28日开始发货，目前在官网已经可以预定。资本市场对这款设备也反应平平，Meta全天收跌3.92%。而从去年Connect大会宣布改名以来，公司的股价累计下跌近60%。 2、股价从最高点跌去80%，“特斯拉劲敌”Rivian还有戏吗？在美国新能源汽车资本市场，Rivian虽然车卖得不多，但因一直被视为“特拉斯劲敌”而受到追捧，然而近日，Rivian股价暴跌超过7%至3个月低点，距离刚上市几天内达到的最高点179.47美元跌去了超80%。该公司股价短线暴跌的原因在于，终于开始交付的Rivian，如今几乎要召回全部车辆。具体而言，根据 Rivian向美国国家公路交通安全管理局提交的一份文件，这家总部位于加利福尼亚的公司正在召回大约12200辆汽车，原因是“车辆前悬架上的紧固件松动”。据悉，自2021年底开始生产以来，Rivian生产了约13000辆卡车。据估计，该缺陷存在于其1%的车辆中，可能会导致噪音和振动，并在最极端的情况下导致驾驶员失去转向控制。 3、英特尔、谷歌云发布E2000数据中心芯片 10月11日，英特尔与Alphabet旗下谷歌云发布了一款专门为数据中心设计的E2000芯片，帮助昂贵的CPU承担打包数据的工作，从而增加数据中心的安全和效率。 4、美国劳工部提议调整承包商定义优步等零工经济公司暴跌美国劳工部周二发布提案，拟将“经济上依赖公司”的劳动者定义为雇员，而不是独立承包商，新规有望在明年落地。受此影响，原本盈利能力就很有限的优步、Lyft收盘时跌幅均超过10%。 5、谷歌与Coinbase达成合作周二盘前，谷歌宣布与加密货币交易平台Coinbase达成合作，预计从明年开始部分用户可以使用加密货币购买云服务。作为合作的一部分，Coinbase同意将部分业务转移到谷歌云上。受此影响，Coinbase周二上涨4.65%。 6、迪士尼延后多款电影上线时间据媒体报道，娱乐业巨头迪士尼周二确认延后多款热门大作的上映时间。其中《复仇者联盟：秘密战争》延后半年至2026年5月1日，新的死侍电影也推后两个月至2024年11月，神奇四侠电影则推后三个月至2025年2月。

老虎证券2022-10-12

安博通拟定增募资1.35亿元，财通基金、诺德基金参与认购

个月。公开资料显示，安博通主营业务为网络安全核心软件产品的研究、开发、销售以及相关技术服务。2022年上半年实现主营业务收入14,403.77万元，较2021年同期增长24.06%;归属于上市公司股东的净利润-3267.84万元。公司解释营业收入变动原因主要系2022年半年度订单量增加，导致业务量增加，收入增加。

有连云2022-10-12

探讨Uniswap的最佳形态：应用链是比DApp更好的选择吗？

获得一组特殊的验证者，原本受益于以太坊网络安全性的 Uniswap ，其安全级别将显著降低。 Uniswap 的 TVL 高是因为它是最安全的以太坊网络的 DEX。如果支持 Uniswap 的应用链安全级别降低，资金庞大的用户可能无法使用 Uniswap应用链。不过如果想以应用链的形式向前发展，但又担心安全问题，AppRollUp 可以解决这个问题。由于 AppRollup 在依赖以太坊安全的同时可以有一定的自由度，所以我认为 Uniswap 如果去应用链，通过采用AppRollup是一个更好的解决方案。当然，如果以AppRollup的形式进行，将不得不在以依赖以太坊安全性的同时，提交状态路线和交易数据，将Gas费作为一种税收。第三是可组合性。上述文章的作者认为，随着跨链桥技术和用户体验方面的发展，可组合性会自然而然地解决，但我认为现在还为时过早。可组合性是指一个智能合约可以读取和写入另一个智能合约状态的程度。例如，如果一个 DApp 可以自动化 Uniswap v3 的流动性头寸，那么这两个 DApp 被称为是可组合的。有两种类型的可组合性：同步可组合性和异步可组合性。前者意味着交互发生在给定的有限时间内，同一网络上的 DApp 通常是同步可组合的。后者意味着交互发生在未知的时间内，不同网络上的 DApp 通常具有此特性。为了让A链上的A' DApp与B链上的B' DApp交互，必须通过跨链桥发送消息，可以说是异步可组合的。 Uniswap 是以太坊网络上最大的 DEX，与 1inch 和 gelato 等众多 DApp 交互，以太坊网络上的许多 ERC-20 代币在 Uniswap 都有流动资金池。如果 Uniswap 从 DApp 切换到应用链，与以太坊网络中各种 DApp 的可组合性将从同步变为异步，这将极大地改善用户与其他 DApp 交互的体验。三、Uniswap 的最佳形式是什么？以 Uniswap 为例，我们分析了 Dan Elitzer 对于应用链的支持观点和我对应用链的批评。那么究竟哪种类型的 Uniswap 最好？在研究该问题前，我们先了解应用程序的各种形式及其特征。 1、DApp（以太坊）优点——占据绝对优势的DApp生态、同步可组合性、最大的社区、最高的安全级别、开发难度低。缺点——交易费用昂贵，速度慢，应用自由度低，MEV没有价值积累。 2、 DApp（以太坊rollup）优点 — 交易费用低、速度快、可同步组合（在rollup中的 DApp 之间）、安全级别高、信任最小化的跨链桥、开发难度低。缺点——应用自由度低，消息桥接不足，MEV没有价值积累。 3、Cosmos 应用链优点 — 交易费用低、速度快、应用程序自由度高、信任最小化的跨链桥（使用跨链安全时依赖 Cosmos 的安全性）、链之间的消息桥接是最先进的（例如 IBC、ICA）。缺点 — 需要验证器集和需要自己构建安全性，异步可组合性，（使用跨链安全时必须向 ATOM 生态系统支付安全费），开发难度大。 4、 Polkadot 平行链优点——安全级别高、交易费用低、速度快、应用自由度高、信任最小化跨链、MEV依赖Polkadot中继链积累价值。缺点——生态系统不足、Polkadot中继链需支付安全费、异步可组合性、开发难度大。 5、Avalanche 子网优点——交易费用低、速度快、应用自由度高、依赖部分Avalanche验证者的安全性、为MEV积累价值。缺点——代币桥接和消息水平不足、异步可组合性、要支付给验证者的安全费、开发难度大。 6、Polygon Supernets 优点——交易费用低，速度快，依赖于部分多边形验证者的安全性，应用自由度高，无需向验证者支付原生代币，为 MEV 积累价值。缺点——消息桥接层次不足、异步可组合性、开发难度大。 7、 App Rollup（例如 Stark X）优点 — 交易费用低、速度快、安全级别高（依赖于以太坊）、应用程序自由度高、信任最小化的跨链桥、为MEV 积累价值。缺点——依赖以太坊安全gas费用高，（在EIP-4844之后会很便宜），消息桥接差，异步可组合性，开发难度大。 8、 Uniswap 的最佳形式是什么？到目前为止，已经查看了各种选项的优劣势。那选择哪种类型的Uniswap最好？首先除了Swap交易费用之外，还有Gas交易费用和 MEV，Uniswap 目前在协议中积累的价值很少。为了解决这个问题，可以首选 DApp（以太坊 rollup）的形式（ Uniswap 已经在 Optimism 和 Arbitrum 上线）。在这种情况下，可以享受以太坊的安全级别并具有快速的可扩展性，同时保持与rollup中的 DApp 的同步可组合性。换句话说，即使交易费用没有累积在代币价值中，它也会变得更便宜，而低费用是吸引更多用户的动力。但是，即使选择了一个 DApp（以太坊 rollup），仍然无法为 MEV 积累价值，而在同步可组合性方面，只有在 rollup 中的 DApp 才有可能，但很难充分享受以太坊庞大的生态系统和 MEV 带来的好处。其次，可以考虑AppRollup（以太坊）的形式。在享受以太坊的安全级别的同时，快速扩容，可以实现交易手续费的价值积累和MEV的价值积累。但是，如上所述，它在用户体验和可组合性方面可能会受到很大影响，并且是否需要为 MEV 积累交易费用和价值也是一个问题。可以考虑使用跨链安全的 Cosmos 应用链和 Polkadot平行链。首先由于Uniswap 需要处理巨大的流动性，所以它应该建立在一个强大的网络上，安全性稍差的 Avalanche 子网和Polygon超网被排除在外。 Cosmos应用链和 Polkadot 平行链具有相当高的安全性，且MEV 的交易费用和价值积累是可能的。此外，虽然它具有异步可组合性，但由于 IBC 和 XCMP 等跨链消息和资产传输功能已经相当发达，尽管还没有达到同步可组合性的水平，但它为桥接器提供了相当高的用户体验。但是，它们最大的缺点是生态系统的差异。Uniswap 由于在以太坊生态中，与以太坊 DApp 的交互最多，如果迁移到 Cosmos 或 Polkadot 生态，这将是一种几乎放弃在以太坊建立的规模经济，会很致命。 Uniswap 之所以成功是因为它在以太坊网络上。如果没有最大的生态系统和社区以及众多 DApp 的同步可组合性，就不会有今天的 Uniswap。为了享受这些好处，如果UNI代币不为MEV积累交易费用和价值，我认为应该放弃。正如 Dan Elitzer 所说，如果你以应用链的形式离开以太坊生态来积累价值，那么问题在于 Uniswap 离开后是否仍将是最好的 DEX。因此，我认为 Uniswap 以目前的形式保持作为以太坊的 DApp 或以太坊 rollup 是最佳的，如果它以应用链的形式出现，我认为 AppRollup 的形式是合适的。 9、尽管如此，应用链还是很有用处 Uniswap 还是作为以太坊的 DApp 会更好，但这只是 Uniswap 的情况，每个应用的最优形式可能会有所不同。区块链游戏——如果它是一款不需要与其他生态系统或 DApp 进行太多交互的游戏，则无需担心可组合性。此外，Cosmos 应用链、Avalanche 子网、Polygon Supernets和 AppRollup 可能是不错的选择，因为可以容忍更中心化的操作。但是，如果是需要与其他 DApp 进行大量交互的游戏（例如沙盒），我认为通用区块链上的 DApp 形式是合适的。高性能 DeFi——在通用区块链上运行需要订单簿的 DeFi 协议相当麻烦。当然也有尝试在高扩展性的网络中实现这一点，比如搭载了 Solara、Aurora、zkVM 的网络，但是如果网络的计算资源充分用于 Order Book DeFi 协议，用户体验会好很多。最有代表性的例子是dYdX，它已经从 AppRollup 转换为应用链，还有Injective Protocol 也是如此。对于 DeFi，还有一个介于通用区块链和应用链之间的区块链，代表性的例子就是 Sei 网络。 Sei Network 不是一个只针对一个应用程序的应用链，而是一个专门针对 DeFi DApp 的网络。Sei 网络内置了 DeFi 特有的功能，例如订单撮合引擎、MEV 预防、并行处理等以提供更优体验。跨链桥——在异构区块链之间传输代币或消息的情况下，可以考虑应用链的情况。在虫洞和多链等桥接的情况下，由于桥接交易经过第三方中心化实体验证，可能会出现单点故障等问题。但是，如果通过构建区块链来提供桥接服务，则可以构建更加透明和去中心化的桥接服务，因为节点会验证桥接交易。一个典型的例子是 Axela Bridge 或 Tor 链。当然，除了应用链方法之外，还有更安全的方法，例如使用轻客户端，因此应用链并不是跨链桥的唯一选择。结语我不同意区块链的未来会围绕应用链进行重组，由于每个服务的技术要求不同，所以有很多不同类型的服务可以利用区块链。天下没有免费的午餐。正如 Delphi Digital 的 jon Charbonneau 所评论的，如果飞行汽车技术成为可能，从核心地段到郊区的时间变得非常快，核心地段最好的餐厅才会在郊区做生意。也就是说，Uniswap 要想以应用链的形式离开以太坊生态，在代币和消息跨链方面的技术和用户体验都必须大幅提升，而这在近期似乎很难解决。但是无论选择哪一种方式各有优劣，未来将会有几种适合特定应用的服务。参考文献 https://medium.com/nascent-xyz/the-inevitability-of-unichain-bc600c92c5c4 https://medium.com/alliancedao/the-appchain-universe-the-risks-and-opportunities-9a22530e2a0c https://www.alexbeckett.xyz/composability-in-a-rollup-ecosystem/ 来源：金色财经

金色财经2022-10-11

盘点固件安全赛道 a16z看到了什么？

leven Ventures 主要专注网络安全领域投资。而有意思的是，而 Eclypsium 的本轮和上一轮融资刚好也有 A16Z 这位合伙人 Martin Casado 的身影，除此之外，A 轮、B 轮的融资也包括 Intel Capital（英特尔的投资部）。不过，Eclypsium 这家公司，在国内并不是特别为人熟知，简单说一下就是他们主要是做基础安全 / 固件安全类别的，主要是为企业供应链中关键硬件、固件等等提供安全服务的供应商，主要专注于服务器、笔记本电脑和网络设备（交换机、路由器等）的固件层的检测和防护。公司成员中，Yuriy Bulygin 曾在英特尔工作 11 年（高级工程师），在 McAfee 工作了两个月（CTO）。Alex Bazhaniuk 和 John Loucaides 也来自英特尔，在此之前，这三位均负责英特尔的硬件、固件安全。Ron Talwalkar 在 McAfee 工作了 11 年，作为终端安全业务部产品管理高级总监，负责英特尔安全相关的业务。那么，他们到底发现了什么呢？特别是从领域专家和创业出身的投资人的角度来看，到底有什么新趋势、或者比较新的趋势出来？这也是笔者写这篇文章的主要原因。 3.是近期复盘过去 RSA 大会的时候观察到的之前比较少见的东西为了以终为始地观察，我先把前些年 RSA 大会（一个世界级别的顶级安全大会）的一些创新项目和演讲拿出来看看，发现 2017 年 BlackHat Asia（世界顶级安全大会）上也有研究员介绍了针对 UEFI（Unified Extensible Firmware Interface）固件的渗透测试工具集，2018 年，RSA 创新沙盒的入围公司中有一家叫做 Refirm Labs，专注于物联网设备的固件安全分析，这家公司的业务重点是：网络基础设施中除了包含物联网设备，还有服务器和路由器、交换机等网络设备，用户侧还有个人电脑，那么这些设备的底层和硬件的安全问题也是值得关注的。2018 同年美国的 BlackHat 上，也有安全研究员介绍了近三年 UEFI 固件的大量安全漏洞，包括一些 UEFI、bootloader 等底层启动代码的检测工具和攻击工具层出不穷。三、市场痛点&部分大企业的动向那么，到底固件安全能解决啥问题？随着行业的成熟度不断提升，软件安全性在逐步提升。但是与此同时，固件和硬件安全近年来已经成为攻击者的热门目标。基于固件的恶意软件很大程度上被安全团队忽略，这使服务器、存储和网络设备的固件成为企业安全的「软肋」。固件存储有证书、密钥等敏感信息，成为攻击者的重要目标。83% 的被调查企业在过去 2 年曾经遭遇过固件攻击。固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。企业对固件安全重视程度必须等同于操作系统和应用安全。继续看一个数据：Gartner 预测：到 2022 年，缺乏固件更新方案的机构，70% 将会因固件漏洞遭遇数据泄露。而近年来，固件漏洞的数量激增。固件漏洞可以在设备内部任何组件中存在，包括 UEFI 或者 BIOS 系统、驱动器、网络适配器、内存、处理器、显卡以及很多其它的集成或外围组件。2016 年之后，美国国家漏洞数据库中漏洞数量每年都创出新高。2019 年，暴露出的固件漏洞数量比 2018 年增加了 43％，比 2016 年增长了 7.5 倍。根据微软 2021 年委托进行的一项调查：83% 的被调查企业在过去两年曾经遭遇过固件攻击。美国国家标准技术研究院（NIST）国家漏洞数据库的数字则显示，过去 4 年中，针对固件的攻击增加了五倍以上。在硬件生命周期报告中，将安全作为优先事项的研究参与者，约有一半（52％）宣称，至少遭遇过一起恶意软件感染固件引入了公司系统的事件，而 17％的参与者表示，该事件带来了实质影响。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 目前安全问题的严峻性。 2021 年，报告显示，有 3000 万戴尔设备面临着远程 BIOS 攻击、RCE 攻击风险。也就是这类别的漏洞可以让远程攻击者在戴尔设备的预启动环境中获得任意代码执行的权限，预估这些漏洞会影响到了全球 3000 万个戴尔终端设备。这些漏洞允许有特权的网络黑客绕过安全启动保护，控制设备的启动过程，突破操作系统和更高层的安全控制。它们的累计 CVSS 评分为 8.3 分。具体来说，这些漏洞影响了 Dell SupportAssist（一种技术支持解决方案，预装在大多数基于 Windows 的戴尔机器上）中的 BIOSConnect 功能。BIOSConnect 用于执行远程操作系统中的恢复或更新固件的功能。研究人员在一份分析报告中指出：「各种类型的技术供应商正越来越多地实施云端更新程序，这样可以确保他们的客户尽可能使他们的固件处于最新版本。虽然这是一个非常优秀的功能，但如果这些程序中出现任何漏洞，如我们在戴尔的 BIOSConnect 中看到的那些漏洞，都会产生严重的后果。」这些特定的漏洞允许攻击者远程利用主机的 UEFI 固件，并获得该设备上的最高控制权。这种远程攻击和高权限相结合进行利用，很可能使远程更新功能在未来成为攻击者的最青睐的目标。从智能手机到服务器，几乎所有设备都包含固件。计算机包含许多固件，从 USB 键盘到图形和声卡，应有尽有；即使是计算机电池也包含固件。考虑到固件的广泛普遍性，人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是，这距离事实很遥远。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。另外，对于指定的设备，人们并不总是清楚其内部是否安装了最新固件，有漏洞的固件是否已经被正确地更新。这就给 CISO 们和安全团队提出了挑战，他们需要具备确认产品固件状态的能力，而不是完全靠他们提供商的漏洞更新流程。基于固件的恶意软件很大程度上被安全团队所忽略，这使得服务器，存储和网络设备中的固件成为企业安全的「软肋」。根据微软的调查，企业对固件保护没有给予足够的投入，只有 29％的安全预算被用于固件保护；21％的被调查的决策者承认，公司的固件数据未受到任何监测。四、为什么关注固件安全领域？为什么要关注这个领域？固件安全赛道重要在哪？天花板多高？能用于哪些场景？解决什么问题？ 1.各国国家的导向以及不断攀升的针对固件攻击的安全事件频繁发生根据近期的报告，有 80% 的组织因供应链中的漏洞而遭遇网络攻击，2021 年，供应链攻击同比增长超过 100%。全球政府机构越来越多地发出警告和授权，如白宫 OMB 关于加强供应链安全的备忘录指出，设备软件和固件已成为主要来源，占网络安全和基础设施安全局（CISA）公布的已知已利用漏洞的近四分之一。图片来源：https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity 美国国家标准与技术研究院（NIST）于 2021 年 5 月 12 日发布了 EO 14028 行政命令）（如上图，其中最重要的概念之一就是 SBOM（Software Bill of Materials)，怎么理解这个 SBOM?也就是说，未来企业在交付客户软件使用时，需要根据情况应该向公众或者向客户公开其方案的组成部分的清单，长期目标是为了降低软件供应链的风险。 2021 年 5 月 26 日，CISA( 美国网络安全和基础设施安全局）在 RSA 2021 大会上公开了 VBOS 计划，目的是表明连同操作系统在内以及更底层的安全都需要防护，因为固件是拥有比操作系统更高的权限的软件，它会负责芯片 internal ROM 后硬件初始化的工作，这一特点也让它成为了一种特殊的软件，过去的 15 年中固件层面的安全对抗从未停止，只是这个层面的威胁对于普通企业难以理解所以并未受到行业的重视，但近年来固件安全问题越发严重，Google/AWS 等国际大厂为了对抗高级攻击为自己量身定制了固件安全方案，VBOS 计划是把固件安全推上的桌面，这也变相的把 SBOM 扩展到了固件层面。基于 EO 14028 的计划和框架，6 月 26 日美国国家标准与技术研究院（发布了了关键性软件的定义，其中操作系统，虚拟化，容器，中心化认证及权限管理系统，浏览器，终端安全（包含全盘加密，安全漏洞风险评估系统以及会搜集硬件，固件和操作系统基础信息的软件产品），网络协议（DNS，VPN，SDN，路由协议等），网络防护（传统防火墙，IDS/IPS 等产品）等软件包含其中。 7 月 11 日 NIST 发布了 EO- 关键性软件的安全度量，这份文档从高级防御的角度，阐述了关键性软件应该使用哪些现存的合规指南进行，7 月 11 日 NIST 同时发布了针对厂商出厂前安全测试的最低要求，其中对于模糊测试 (Fuzzing) 以及回归测试 (Regression test) 都提出了要求。 2021 年 10 月 28 日，CISA 和 NSA 发布了 5G、云基础设施安全指南、和 5G 基础设施潜在威胁，其明确提出单个节点必须具备防御已知和未知漏洞的能力以及重要 MEC 边缘节点高级防护能力必须覆盖到固件层。 2021 年 11 月 16 日，CISA 发布了联邦政府网络安全应急和漏洞响应手册，目的是持续标准化安全事件应急的的流程。 2.市场需求在哪？无论是 EO14028 与 VBOS，未来都会影响全球信息安全产业的走向，会有更多的国家跟进，各国都会逐步对 EO 14028 进行回应，并制定符合国家和行业实际情况的合规指南只是时间问题，对于企业而言，出海则可能会面临更复杂的合规要求以及审计，在亚太地区，日本和新加坡可能成为第一批参考 EO14028 的国家。并且随着勒索软件（RaaS) 的出现频率越来越高，企业将不得不将固件安全放在很重要的战略地位。我们国家对于保护关键性基础设施条例：2021 年 4 月 27 日通过了《关键信息基础设施安全保护条例》，并于 2021 年 9 月 1 日实施，条例中明确定义了关键信息基础设施的范畴包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。我们无法指望固件漏洞的增长速度会减弱：一方面，笔记本电脑，服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的 2020 年的安全漏洞中，93 个属于驱动和其他软件漏洞，66 个为固件漏洞，58 个为固件和软件组合漏洞。此外，从攻击者的角度来看，固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外，通过固件攻击，可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。 3.市场天花板有多高？根据 grandviewresearch 的研究，2020 年全球服务器市场规模为 836.6 亿美元，预计从 2021 年到 2028 年将以 7.8% 的年复合增长率（CAGR）增长。增长的原因主要来自于全球新数据中心数量的增加，包括一些云服务提供商和行业，如 IT 和电信，医疗保健，BFSI 以及政府和国防，正在升级其服务器以管理不断增长的数据量，因为 IT 基础架构的升级为管理更高的数据量提供了增强的安全性、存储和处理速度。资料来源：Grandviewresearch 为什么服务器市场会持续增长？首先从图上来看，亚太地区机架式服务器的销售激增，主要是受超大规模企业的持续需求推动对高容量服务器的需求增加，其次，支持大数据分析、软件定义解决方案和超融合基础设施的应用对高性能计算服务器的需求也在增加。还有就算，5G 网络技术的持续推出和公共云供应商对超大规模数据中心建设的积极投资也有利于服务器市场的增长。不断增长的市场，也为服务器等固件的安全提了更高的要求。五、近期部分固件安全赛道的融资情况 Eclypsium：2018 年 A 轮融资 880 美金；2022 年 10 月 4 日宣布，B 轮融资 2500 万美元； Cylus：铁路安全初创公司 Cylus2021 年底 B 轮融资 3000 万美元； Oxide Computer：2019 年底，Oxide Computer 种子轮融资 2000 万美金。 Binarly：2022 年 6 月，固件安全初创公司 Binarly 种子轮融资 360 万美元。六、商业模式的案例这部分讲几个笔者觉得值得关注的案例和它们的商业模式： 1.Eclypsium 主要业务：一方面主要是给 IBM 等大厂的固件做审计，帮助其企业和公共部门客户保护和确保硬件、固件和软件供应链的完整性。另一方面还是夯实行业安全研究的功底，及时向公众及企业披露安全风险。 Eclypsium 的投资人的评价：Eclypsium 解决了网络安全难题中关键而又经常被忽视的方面，确保每台设备都能持续地受到保护，免受供应链安全风险的影响。虽然设备安全在历史上更多地由原始设备制造商控制，但今天复杂的供应链和对第三方软件和组件的依赖已经成倍地扩大了攻击面，Eclypsium 进入市场的时机比较好，以其综合解决方案解决这些复杂问题。 2.Oxide（这个公司就更有意思了，中文互联网它的资料简直寥寥无几，但是种子轮就拿了 2000 万美金，神不神奇？） Oxide 是做什么的？商业模式又是什么？简单地说给 Oxide 钱，Oxide 就会卖给你一台电脑。问题来了，它们究竟是什么样的电脑？以及为什么大家会想买？在 90 年代末和 21 世纪初，网络服务的运行对应会有服务器放在数据中心的机架上，如果需要更多流量，数据中心就会升级，大家会买更大、更强的服务器，服务器又大又贵，而且难以管理，针对这样的情况，在 2006 年，像谷歌这样的公司会选择建立自己的服务器，这样一是可以节约成本，还有就是因为市场的标准产品无法完全满足业务的需求。谷歌这样的公司开始拒绝「服务器级」硬件的概念，而纯粹依靠更便宜的消费级硬件。但是，纯粹依靠消费级硬件就需要建立一堆软件，使服务器集群更加可靠。不过这种方法也有弊端：随着这些公司的发展，和数据中心逐步上云，一旦开始管理这么多的计算机，就发现，互联网和软件巨头开始设计甚至制造自己的硬件，以提高效率和建立竞争优势。比如说，谷歌定制了自己的服务器，用了英特尔的数百万个芯片，并在 5 月宣布，它已经设计了自己的特定应用集成电路（ASIC），用于神经网络。 Facebook 在其数据中心使用自己的交换机。公有云公司亚马逊网络服务公司不仅设计了自己的路由器、芯片、存储服务器和计算服务器，还设计了自己的高速网络。但是，企业们也会遇到扩展问题：解决办法很简单：雇用一些人建立基础设施。有人好奇，为什么不买现成的呢？因为目前的计算机公司真的是在垂直扩展的时代成长起来的，并没有可以买的现成产品，那么标准化的产品又存在问题，由于每个企业的计算需求不一定一样，就出现了这样的情况：在现成的服务器系统中，很多硬件，还有软件，在系统的各个部分都有大量浪费的部分。由于计算领域发展的专用性很强，这也意味着，如果不愿意建立自己的硬件，你能获得这种新技术的唯一途径就是租用。公共云的按使用量计费的模式是相当标准的，也是相当有利可图的。定制硬件有助于在帮助自己的业务挖出一条更深的护城河。 Oxide 正在做的是建造适合超大规模使用者的计算机，并将其出售，不过和公共云。这些计算机将由硬件和软件一起设计，创建优秀的、专用定制的安全的底层系统。 Oxide 的创业思考： Oxide 的 CEO Steve Tuck 写过一篇博客，尽管创办一家卖电脑公司，在这个阶段听起来可能很疯狂，但是他认为，硬件和软件在建造时都应互相考虑。这个信念可以追溯到它在 90 年代中期第一次来到 Sun Microsystems（很早的科技公司鼻祖）时的经验。除了不可避免的技术信念外，还有他提出的商业信念：即使世界正在（或已经）转向弹性的、API 驱动的计算，仍然有很好的理由在自己的设备上运行，此外，随着以云计算为基础的 SaaS 公司从严格意义上的以增长为中心走向以利润为中心，似乎更多的人将考虑购买数据中心或者自建数据中心，而不是总是租赁机器（成本太高）。他的创业想法开始形成：世界需要一家公司来开发并向更广泛的市场提供集成的、超级别的基础设施。七、固件安全在传统业务场景有什么应用模式？应用场景 1 ：服务器的加固 Eclypsium 的研究人员从 IBM 的 SoftLayer 云服务中租用了一台裸机服务器，该服务器使用 Maxmicro 的 BMC，这是一家具有已知固件漏洞的硬件供应商。在确认它具有最新的 BMC 固件可用后，研究人员记录了机箱和产品序列号，以帮助他们以后识别系统。然后，研究小组以单个位翻转的形式对 BMC 固件进行了「良性更改」。在将服务器释放回 IBM 之前，还创建了 BMC 的 IPMI 中的其他用户的帐户。研究人员总结道，使用易受攻击的硬件和不重新刷新固件的组合使得将恶意代码植入服务器的 BMC 固件成为可能。黑客想要做的事情包括窃取数据并从其他租户那里泄露一些秘密信息。另一个有趣的想法是通过有效地关闭这些机器来对基础设施造成实质性的破坏。如果黑客有权访问此固件层，则可以永久地「破坏」机器。针对这一发现，IBM 公司已经通过强制所有 BMC（包括那些已经报告最新固件的 BMC）在重新配置给其他客户之前使用工厂固件进行重新刷新来应对此漏洞。BMC 固件中的所有日志都被删除了，BMC 固件的所有密码都被重新生成。 IBM 发言人认为：「鉴于我们已采取的补救措施以及利用此漏洞所需的难度级别，我们认为对客户的潜在影响很小。」虽然该报告的重点是 IBM，但这实际上是所有云服务提供商的潜在全行业漏洞，感谢 Eclypsium 将其引起业界的关注。参考文献：https://www.techtarget.com/searchsecurity/news/252458402/Eclypsium-Bare-metal-cloud-servers-vulnerable-to-firmware-attacks 八、Web3 业务场景的应用随着数据中心越来越呈现分布式，以及部分大厂为了降本增效，选择自建数据中心，分布式数据中心也成为了新的潜在趋势之一。那么，这和 Web3 和区块链又有什么关系呢？已知常识是，区块链具备不可能三角，这个不可能三角指的是，去中心化、安全、可扩展性这三者是无法同时满足的，也就是说，任何系统的设计只能满足其中两个。比如极端的去中心化方案 BTC（比特币）和 XMR（门罗）都是以牺牲可扩展性为代价的，这导致 BTC/XMR 技术架构无法提供更复杂的业务，所以对于这类似这两种方案的业务来说，Layer 2 的存在是必然的，因为需要支持更复杂的业务。但是，Layer 2 对于安全主要有几个方面的挑战：首先，安全和可扩展性对于去中心化系统也至关重要，超级节点的引入会增加系统安全的风险。举个例子，PoW 的模式下，以前需要搞定几万个节点才能发起攻击比如 51%。但 PoS 时代，超级节点的诞生让需要掌控节点数量大大降低，安全存在的隐患也就更大。其次，跨链协议实现中存在缺陷。这个缺陷要怎么理解？其实就是目前例如跨链桥的实现中存在 bug，比如 A 到 B 链经过跨连桥 C，但 C 在没有完成 A 和 B 的检查就把 transaction 放行，那就可能被攻击者利用去进行无限制转账。第三就是供应链安全。主要包括开发人员是否会植入后门以及 build 基础设施的需要安全加固等考量因素。不过，如果牺牲一部分去中心化的特性，采用邦联化的架构，那这个三角就可以成为可能（也就是可以满足可扩展性和安全的特性）我们认为，Scalability 和 Security 是不能牺牲的，因为一旦这么做了，复杂业务也无法开展。不过，如果用分布式\邦联化替代 100 % 的完全去中心化，就会导致技术架构转变。因为完全去中心化指的是每个节点都有验证的权利，那即使某几个节点被攻击，也只是钱包安全的问题。但如果是 PoS 选出超级节点成为 validator 的节点受了攻击问题那严重性就非常高了。那么对于 Web3 领域来说，假设某项业务全球有几十个超级节点，一个节点放到德国的 Hetzner 数据中心，一个在法国节点放到 OVH 数据中心，然后日本的节点又是一个当地机房进行托管。如何保证这些服务器本身的运行状态是可信的，比如没有遭到机房管理人员或者其他 Evil Maid（邪恶女仆）的篡改，如果能做到这点那 web3 超级节点的物理服务器可以被扔进这个星球上任何一个数据中心并且放心大胆的运行，毕竟验证服务器是关系到钱的组件。另外一方面，不同超级节点之间可以使用邦联化协议或者跨链桥的方式进行通信，在这样的情况下，也会对底层的基础安全提出更高的要求。八、总结&后记笔者一位非常钦佩的 GP 前辈讲过一句话：要找到正确的「非共识」。这句话我一直记着，如何在大趋势开始之前观察到不一样的东西，是笔者每天都乐于探索的事情之一。回首我自己的经历，也在 2014 年前后看到 USV 合伙人对 Metaverse 的博客描述（他这篇文章是 2012 年写的，提到了推特和元宇宙）当时也突然觉得眼前一亮：如下图图片来源：Twitter and the Metaverse - AVC 也有 2019 年 USV 合伙人 Fred 博客写道他对 NFT 和虚拟人的关注之时，引发了我的思考（不过当时周围可以找到的能交流 NFT 的朋友并不多：）（如下图）。图片来源：Twitter and the Metaverse - AVC 这篇文章的写作，主要也是想给大家一个思考的新领域，新方向。来源：金色财经

金色财经2022-10-10

24小时热点