全球数字财富领导者
客户端
|
旧版
|
北美站
|
FX168 全球视野 中文财经
首页
资讯
速递
行情
日历
数据
社区
视频
直播
点评旗舰店
商品
财富汇
登录 / 注册
搜 索
综合
行情
速递
日历
话题
168人气号
文章
OKX Web3、BlockSec:@所有巨鲸 DeFi世界最新避险攻略
go
lg
...
或下溢。 4)价格操纵:攻击者通过操纵
预
言
机价格实施攻击。 5)精度损失:由于浮点数或整数精度问题,导致计算错误。 6)缺乏输入验证:未对用户输入进行充分验证,导致潜在的安全问题。 第四类:治理风险。治理风险涉及到项目的核心决策和控制机制,如果被恶意利用,可能会导致项目偏离预期目标,甚至导致严重的经济损失和信任危机。常见的风险类型包括: 1)私钥泄漏 某些DeFi项目的特权账户由EOA(Externally Owned Accounts)或者多签钱包控制,如果这些私钥被泄漏或盗取,攻击者可以随意操纵合约或资金。 2)治理攻击 某些DeFi项目虽然采用了去中心化的治理方案,但仍然存在以下风险: ·借用治理代币:攻击者通过借用大量治理代币,在短时间内操纵投票结果。 ·控制多数投票权:如果治理代币高度集中在少数人手中,这些人可以通过集中投票权控制整个项目的决策。 Q3:有哪些维度或者参数,可以初步评估DeFi项目的安全性和风险等级? BlockSec安全团队:在参与一个 DeFi 项目之前,对项目进行一个整体的安全评估非常有必要的。特别是对于资金体量比较大的参与者来说,必要的安全尽职调查可以最大程度保障资金安全。 第一,建议对项目的代码安全进行全面评估,包括项目方是否经过审计以及是否具有良好安全声誉的审计公司审计,是否有多家审计公司参与,最新的代码是否经过审计等。通常来说,如果线上运行的代码经过多家具有良好安全声誉的安全公司的审计,会大幅降低被安全攻击的风险。 第二,要看项目方是否部署实时的安全监控系统。安全审计保证的安全是静态的,并不能解决项目上线后引发的动态安全问题。比如,项目方不适当地调整了项目的关键运行参数、增加了新的 Pool 等。项目方如果采用了一些实时的安全监控系统,那么其运行时的安全系数比没有采用这样方案的协议会更高一些。 第三,要看项目方是否具有紧急情况下的自动响应能力。这个能力长期被社区忽视。我们发现在多个安全事件中,项目方都没有能做到自动的功能熔断(或者资金敏感操作的熔断)。项目方在紧急情况下大多采用手动的方式来处理安全事件,而这样的方式被证明是低效甚至是无效的。 第四,要看项目方的外部依赖以及外部依赖的鲁棒性。一个 DeFi 项目会依赖第三方项目所提供的信息,如价格、流动性等。因此需要从外部依赖数量、外部依赖项目的安全性、是否有对外部依赖异常数据的监控和实时处理角度来评估项目等安全性。通常来说,外部依赖的项目方是头部项目方、并且对外部项目异常数据有容错和实时处理的项目会更安全。 第五,项目方是否具有比较良好的社区治理结构。这包括项目方对于重大的事件是否具有社区投票机制,敏感操作是否是多签完成,多签钱包是否引入了社区中立的参与,是否具有社区安全委员会等。这一些治理结构能提高项目透明性,降低用户在项目中的资金被 rugpull 的可能性。 最后,项目方过往的历史也非常重要。需要对项目团队和项目核心成员进行背景调查。如果项目方核心成员过往项目有过多次被攻击或者 rugpull 等不良历史记录,那么这样的项目的安全风险也会相对比较高。 总之,在参与 DeFi 项目前,用户特别是大额资金参与者要做好研究工作,从项目上线前的代码安全审计到项目上线后的实时安全监测和自动响应能力构建方面,考察项目方的安全投入和安全性,并且要从外部依赖、治理结构以及项目方过往历史等角度做好被调工作,保障投入到项目中的资金安全。 OKX Web3 钱包安全团队:虽然无法100%保证DeFi项目的安全性,但用户可以通过以下维度的交叉结合,来初步评估DeFi项目的安全性和风险等级。 一、项目技术安全性 1、智能合约审计: 1)检查项目是否经过多个审计公司的审计,审计公司是否具有良好的声誉和经验。 2)检查审计报告中报告的问题个数和严重性,确保所有问题都已修复。 3)检查项目部署的代码是否跟审计的代码版本一致。 2、代码开源: 1)查看项目的代码是否开源,开源代码允许社区和安全专家进行审查,有助于发现潜在的安全问题。 2)开发团队背景:了解项目开发团队的背景和经验,特别是他们在区块链和安全领域的经验,以及该团队的透明度和公开信息程度。 3)漏洞赏金计划:项目是否有漏洞赏金计划,以激励安全研究人员报告漏洞。 3、财务和经济安全性 1)资金锁定量:检查智能合约中锁定的资金量,较高的锁仓可能意味着项目具有较高的信任度。 2)交易量和流动性:评估项目的交易量和流动性,低流动性可能增加价格操纵的风险。 3)代币经济模型:评估项目的代币经济模型,包括代币分配、激励机制和通胀模型。比如,是否存在过度集中的代币持有情况等等。 4、操作和管理安全性 1)治理机制:了解项目的治理机制,是否有去中心化治理机制,并且社区能否对重要决策进行投票、并分析治理代币的分配和投票权的集中程度等等。 2)风险管理措施:项目是否有风险管理措施和应急预案,如何应对潜在的安全威胁和经济攻击。另外,在项目透明度和社区沟通方面,可以看看项目方是否定期发布项目进展报告和安全更新、以及是否积极与社区沟通并解决用户问题等等。 5、市场和社区评价 1)社区活跃度:评估项目的社区活跃度和用户基础,活跃的社区通常意味着项目有广泛的支持。 2)媒体和社交媒体评价:分析项目在媒体和社交媒体上的评价,了解用户和行业专家对项目的看法。 3)合作伙伴和投资方:查看项目是否有知名的合作伙伴和投资方支持,信誉良好的合作伙伴和投资方可以增加项目的可信度,但这并能成为判断其安全的决定性因素。 Q4:用户该如何看审计报告,以及开源状态等等? BlockSec安全团队: 被审计过的项目,项目方通常会在官方渠道主动向社区公布审计报告。这一些审计报告通常在项目方的文档、Github 代码库等渠道中。另外,还需要对审计报告的真假和鉴别,鉴别的方法包括检验审计报告的数字签名、联系审计公司进行二次确认等。 那么拿到这样的审计报告,投资者如何去研读这样的审计报告呢? 第一,要看审计报告是否被一些安全声誉比较高的安全公司审计过,比如 Open Zeppelin, Trail of Bits, BlockSec 等头部审计公司。 第二,要看审计报告中提到的问题是否都已经修复,如果没有修复,要看项目方不修复的理由是否充分。这里也需要区分审计报告中的有效漏洞报告和无效漏洞报告。由于审计报告暂无统一的行业标准,因此安全审计公司会根据自己的安全认知来进行项目漏洞风险评级和报告。因此,对于审计报告中发现的漏洞,要重点关注有效漏洞报告。这个过程最好能有自己的安全咨询团队引入进行第三方独立评估。 第三,要看项目方公布的审计报告中的审计时间和最近项目的升级更新时间是否一致(或者接近),另外也需要注意审计报告中的项目方代码是否覆盖了项目方当前在线的所有代码。项目方出于经济成本和时间成本的考虑,通常会进行部分代码审计。因此在这种情况下,需要判断经过审计的代码是否是核心协议代码。 第四,要看项目方线上运行的代码是否经过验证(开源),经过验证的代码是否和审计报告中一致。通常审计会基于项目方的 Github 上代码(而不是已经部署到线上的代码)。如果项目最终部署到链上代码没有开源,或者和被审计代码具有较大差异,都是需要引起重视的点。 总之,阅读审计报告本身是一个专业性比较强的事情,建议在过程中引入独立的第三方安全专家来提供咨询意见。 OKX Web3 钱包安全团队:用户可以通过DeFi项目官网或者第三方网站,例如OKLink查看智能合约的审计报告和开源状态,下面介绍常见的查看项目审计报告和开源状态的步骤: 第一,查找官方公告或网站。大多数可信的DeFi项目都会在其官方网站展示其相关的文档信息,在项目文档页面,通常会有一个“安全”、“审计”或者“合约地址”等页面链接到审计报告及项目方部署的合约地址。除了在项目方官方网站,通常其还会在官方的社交媒体如Medium、Twitter等展示审计报告和部署的合约地址信息。 第二,在阅读项目方官方网站以后,可以通过OKLink浏览器,查询项目方给出的部署的合约地址信息,并在“合约”一栏中查看该地址部署合约的开源代码信息。 第三,在拿到项目方的审计报告和部署合约的开源代码信息后,可以开始阅读项目方的审计报告,阅读审计报告的时候有以下注意点: 1)理解审计报告的结构,对审计报告的内容有个总体的概念,审计报告大致分为简介、发现的问题、解决方案和建议和审计结果。 2)在阅读简介相关内容时,我们需要关注审计报告审计的范围和目标,通常审计报告会标注审计文件提交的Github Commit Id,我们需要对比审计报告审计的文件是否和链上部署的开源代码一致。 3)在阅读发现的问题、解决方案和建议和审计结果部分时,我们需要重点关注项目团队是否已经按照建议修复了发现的漏洞,以及项目方是否对修改的内容进行了后续审计,以确保所有问题都得到妥善处理。 4)对比多份报告。如果项目进行了多次审计,查看每次审计报告之间的差异,了解项目的安全改进情况。 Q5:黑客攻击历史、赏金计划,对DeFi项目安全性的参考价值? OKX Web3 钱包安全团队:黑客攻击历史和赏金计划,对于DeFi项目的安全性评估提供了一定的参考价值,主要体现在以下几个方面: 第一,黑客攻击历史 1)揭示历史漏洞:攻击历史可以展示项目曾经存在的具体安全漏洞,让用户了解过去哪些安全问题被利用过,以及这些问题是否得到了彻底的修复。 2)评估风险管理能力:项目如何响应历史上的安全事件,能够体现出其风险管理和危机处理的能力。一个积极响应、及时修复漏洞并赔偿受影响用户的项目,通常被视为更可靠和成熟的投资选择。 3)项目信誉:频繁的安全问题可能减损用户对项目的信任,但如果项目能展示出从错误中学习并加强安全措施的能力,这也能够构建其长期的信誉。 第二,赏金计划 赏金计划在DeFi及其他软件项目中的实施,是提高安全性和挖掘潜在漏洞的重要策略。这些计划对项目的安全性评估带来了多方面的参考价值: 1)增强外部审计:赏金计划鼓励全球的安全研究者参与到项目的安全审计中。这种“众包”方式的安全测试能够揭露内部审计可能忽视的问题,从而增加了发现和解决潜在漏洞的机会。 2)验证安全措施的有效性:通过实际的赏金计划,项目可以在实战中测试其安全措施的有效性。如果一个项目的赏金计划历时较长但报告的严重漏洞较少,这可能是一个表明项目相对成熟和安全的指标。 3)持续的安全改进:赏金计划提供了一种持续改进的机制。随着新技术和新攻击手段的出现,赏金计划帮助项目团队及时更新和强化其安全措施,确保项目能够应对最新的安全挑战。 4)建立安全文化:项目是否设立赏金计划,以及该计划的严肃性和活跃度,能够反映出项目团队对安全的态度。一个积极的赏金计划显示了项目对建立坚实的安全文化的承诺。 5)提升社区和投资者信心:赏金计划的存在和效果可以向社区和潜在投资者证明项目对安全的重视。这不仅可以增强用户信任,还可能吸引更多的投资,因为投资者倾向于选择那些显示出高度安全责任感的项目。 Q6:参与DeFi时,用户如何构建监控感知能力 BlockSec安全团队: 以巨鲸用户为例,巨鲸主要是指个人投资者或小团队的投资机构,这些用户的资金规模较大,但通常没有非常强的安全团队,也没有自研安全工具的能力。因此,目前为止,实际上大部分巨鲸都没有足够的风险感知能力,否则就不会遭受如此巨大的损失了。 由于面临巨大损失的风险,一些巨鲸用户开始有意识地依赖一些公开的安全工具来监控和感知风险。现在,有很多团队在做监控产品,但是如何选择非常关键。这里有几个关键点: 首先,是工具的使用成本。许多工具虽然非常强大,但需要编程,使用成本并不低。对于用户来说,搞清楚合约的架构,甚至收集地址都不是容易的事情。 其次,是精准度。没有人希望在晚上睡觉时连续收到几个警报,结果发现是误报,这样会让人心态炸裂。因此,准确度也非常关键。 最后,是安全性。特别是在这种资金规模下,不能忽视工具研发及其团队的各种安全风险。最近的 Gala Game 被攻击事件,据说就是由于引入了不安全的第三方服务商。因此,可靠的团队和可信的产品至关重要。 截至目前,也有许多巨鲸找到我们,我们会为其推荐专业的资管方案,从而使巨鲸用户既能保证资金的安全,又能兼顾日常的资金管理如“挖提卖”,感知风险,甚至在紧急状态下的资金撤退。 Q7:参与DeFi的安全建议、以及如何处理安全风险 BlockSec安全团队:对于大额资金参与者,参与 DeFi 协议首要是要保证本金安全,在对可能的安全风险进行了比较充分的研究后进行投资。通常可以从以下几个方面保证资金安全。 首先,要多方位判断项目方的安全重视和投入程度。包括上面说的是否经过比较彻底的安全审计、项目方是否具有项目安全风险监控和自动响应能力、是否具有比较好的社区治理机制等。这一些都能反映出项目方对于用户资金安全是否放在比较重要的方面,是否对用户的资金安全具有高度负责的态度。 其次,大额资金的参与者也需构建自己的安全监控和自动响应系统。在投资的协议发生安全事件后,大额资金的投资人应该第一时间能感知并且能撤退资金,尽可能地挽回损失,而不是将所有的希望都寄托在项目方身上。在 2023 年我们能看到多个知名项目都被攻击过,包括 Curve、KyberSwap、Euler Finance 等。很遗憾的是,我们发现在攻击发生的时候,大额投资者往往缺乏及时、有效的情报,也没有自己的安全监控和应急撤退系统。 另外,投资人需要选择比较好的安全合作伙伴来对投资的项目标的安全进行持续的关注。无论是对项目方代码的升级、重要的参数改变等都需要能及时感知并且评估风险。而这样的事情没有专业安全团队和工具的参与是很难完成的。 最后,需要保护好私钥安全。对于需要经常交易的账户,最好通过线上多签和线下私钥安全解决方案相结合的方法来进行,杜绝单个地址和单个私钥丢失后的单点风险。 如果一旦投资的项目面临安全风险,又该如何处理 ? 相信对于任何巨鲸和投资者而言,遭遇安全事件的第一反应一定是先保本,尽快撤资是最优先的动作。但是攻击者的速度通常很快,手动操作往往来不及,因此最好能够根据风险自动撤资。当前,我们提供相关的工具,可以实现发现攻击交易后自动撤资,帮助用户优先撤离。 其次,如果真的遭遇了损失,除了吸取教训,还应该积极推动项目方寻求安全公司的帮助,对受损资金进行追溯和监控。随着整个 Crypto 行业对安全的重视,追回资金的比例在逐步提升。 最后,如果是大户,还可以请安全公司盘点投资的其他项目是否有类似问题。很多攻击的 Root cause 是一致的,例如 Compound V2 的精度损失问题,去年许多项目都存在相似的问题并被连续攻击。因此,可以请安全公司分析投资组合中其他项目的风险,如果发现风险,应该尽快与项目方沟通或撤出。 OKX Web3 钱包安全团队:参与 DeFi 项目时,用户可以通过采取多种措施来更安全地参与 DeFi 项目,降低资金损失的风险,享受去中心化金融带来的收益。我们分别从用户层面、以及OKX Web3 钱包2个层面来展开。 第一,对于用户而言: 1)选择经过审计的项目:优先选择经过知名第三方审计公司(如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉宾BlockSec)审计的项目,审阅其公开的审计报告,了解潜在风险和漏洞修复情况。 2)了解项目背景和团队:通过研究项目的白皮书、官方网站和开发团队背景,确保项目具有透明性和可信度。关注团队在社交媒体和开发社区中的活动,了解其技术实力和社区支持。 3)分散投资:不要将所有资金投入到单一 DeFi 项目或资产中,分散投资可以降低风险。选择多个不同类型的 DeFi 项目,如借贷、DEX、Farming等,以分散风险敞口。 4)小额测试:在大额交易前,先进行小额测试交易,确保操作和平台的安全性。 5)定期监控账户及应急处理:定期检查自己的 DeFi 账户和资产,及时发现异常交易或活动。使用工具(如 Etherscan)监控链上交易记录,确保资产安全。检测到异常后及时采取应急措施,比如撤销账户的所有授权,联系钱包安全团队获取支持等。 6)谨慎使用新项目:对于刚上线或未经验证的新项目,保持谨慎态度。可以先投入少量资金进行试验,观察其运行情况和安全性。 7)使用主流Web3钱包进行交易:仅使用主流的Web3钱包与DeFi项目交互,主流Web3钱包提供更好的安全防护。 8)防范钓鱼攻击:谨慎点击陌生链接和不明来源的电子邮件,不要在不受信任的网站输入私钥或助记词,确保访问的链接是官方网站。使用官方渠道下载钱包和应用程序,确保软件的真实性。 第二,从OKX Web3 钱包层面而言: 我们提供了很多安全机制以保护用户资金安全: 1)风险域名检测:在用户访问DAPP时,OKX Web3钱包会在域名层面进行检测分析,如用户访问的是恶意DAPP,则会进行拦截或提醒,防止用户上当受骗。 2)貔貅盘代币检测:OKX Web3钱包支持完善的貔貅盘代币检测能力,在钱包中主动屏蔽貔貅盘代币,避免用户尝试跟貔貅盘代币交互。 3)地址标签库:OKX Web3钱包提供了丰富完善的地址标签库,在用户跟可疑地址交互时,OKX Web3钱包会及时给予告警。 4)交易预执行:在用户提交任何交易前,OKX Web3钱包都会模拟执行该交易,并将资产和授权变化结果展示给用户参考。用户可根据该结果评判是否符合预期,以便决定是否继续提交该交易。 5)集成DeFi应用:OKX Web3钱包已经集成了各类主流的DeFi项目的服务,用户通过OKX Web3钱包可以放心与集成的DeFi项目进行交互。另外OKX Web3钱包也会对DEX,跨链桥等DeFi服务进行路径推荐,以便给用户提供最优的DeFi服务和最优的Gas方案。 6)更多安全服务:OKX Web3钱包还在逐步增加更多安全功能,建设更多先进的安全防护服务,将更好更高效地保障OKX钱包用户安全。 Q8:不仅是用户,DeFi项目方面临的风险类型以及如何防护? BlockSec安全团队:DeFi项目方面临的风险类型包括:代码安全风险、运营安全风险和外部依赖风险。 第一,代码安全风险。即DeFi项目在代码层面可能存在的安全隐患。对DeFi项目而言,智能合约是其核心业务逻辑(前后端处理逻辑等属于传统的软件开发业务,相对而言比较成熟),也是我们关注和讨论的重点,包括: 1)首先,从开发角度来说,需遵循业界公认的智能合约安全开发实践,比如对于用于防止重入漏洞的Checks-Effects-Interactions模式等等;此外,常用的功能尽可能选择可靠的第三方库来实现,避免因为重复发明轮子带来的不可知风险。 2)其次是做好内部测试,测试是软件开发中的重要环节,能够帮助发现很多问题。但对于DeFI项目而言,仅通过本地测试并不足以暴露问题,更需要在贴近实际上线的部署环境中做进一步测试,这方面可以通过使用类似Phalcon Fork这样的工具来帮助实现。 3)最后,在测试完成之后,接入口碑良好的第三方审计服务。审计虽然不能确保100%不出现问题,但系统性的审计工作能够在很大程度上帮助项目方定位已知常见的各类安全问题,而这些往往是开发者不熟悉或者因为思维方式的不同而较难触及的部分。当然,由于各家审计公司在专业和方向上存在差异,如果预算允许,在实践中也推荐2家或者多家审计公司参与。 第二,运营安全风险。即项目上线后在运营过程中的产生的安全风险。一方面,代码依旧可能存在未知漏洞。即便代码已经经过良好的开发、测试和审计,依旧可能存在未被发现的安全隐患,这一点在软件开发数十年的安全实践中得到了广泛证明;另一方面,在代码层面的问题之外,项目上线后面临更多挑战,比如私钥泄漏、系统重要参数错误设置等等,均可能造成严重的后果和巨大的损失。运营安全风险的应对策略建议包括: 1)建立健全私钥管理:采用可靠的私钥管理方法,比如可靠的硬件钱包或基于MPC的钱包解决方案等。 2)做好运行状态监控:监控系统实时感知特权操作和项目运行中的安全状态。 3)构建针对风险的自动化响应机制:比如采用BlockSec Phalcon,可以在遭遇到攻击的时候自动实施阻断,避免(进一步)的损失。 4)避免特权操作的单点风险:如用Safe多签钱包来执行特权操作。 第三,外部依赖风险是指项目存在的外部依赖带来的风险,比如依赖于其它DeFi协议提供的价格
预
言
机,但
预
言
机出现问题导致价格计算产生错误的结果。针对外部依赖风险的建议包括: 1)选择可靠的外部合作伙伴,如业界公认的可靠的头部协议等。 2)做好运行状态监控:类似运营安全风险,但这里的监控对象是外部依赖。 3)构建针对风险的自动化响应机制:类似运营安全风险,但处置方式可能有所区别,比如切换备用依赖而非直接pause整个协议。 此外,对于希望构建监控能力的项目方,我们也给出一些监控建议 1)准确地设置监控点:确定协议存在哪些关键的状态(变量)、在哪些位置需要监控,这是构建监控能力的第一步。但监控点的设置很难覆盖全面,特别是在攻击监控方面,建议采用外部专业第三方、经过实战检验的攻击检测引擎。 2)确保监控的精准性和及时性:监控的精准性是指不能有太多的误报(FP)和漏报(FN),缺乏精确性的监控系统实质上是不可用的;及时性是做出响应的前提(比如能否在可疑合约部署后、攻击交易上链前检测到),否则只能用于事后分析,这对监控系统的性能和稳定有极高的要求。 3)需要自动化响应能力:基于精准和实时的监控可以构建自动化的响应,包括pause协议阻断攻击等等。这里需要有可定制、可靠的自动化响应框架支持,可根据项目方的需求灵活地定制响应策略并自动触发执行。 总体而言,监控能力的构建需有专业的外部安全供应商参与建设。 OKX Web3 钱包安全团队:DeFi 项目方面临着多种风险,其中主要包括以下几类: 1)技术风险:主要包括智能合约漏洞和网络攻击。防护措施包括采用安全开发实践、聘请专业的第三方审计公司对智能合约进行全面审计、设置漏洞赏金计划以激励白帽黑客发现漏洞,以及做好资产隔离来提高资金的安全性等。 2)市场风险:主要包括包括价格波动、流动性风险、市场操纵和组合性风险。防护措施包括使用稳定币和风险对冲防范价格波动,利用流动性挖矿和动态费用机制应对流动性风险,严格审查DeFi协议支持的资产类型和使用去中心化
预
言
机防止市场操纵,并通过持续的创新和优化协议功能来应对竞争风险。 3)运营风险:主要包括人为错误和治理机制风险。防护措施包括建立严格的内部控制和操作流程以减少人为错误的发生、使用自动化工具提升操作效率,以及设计合理的治理机制,确保去中心化与安全性平衡,如引入投票延迟和多签机制。并对上线的项目做好监控和应急预案,一旦出现异常可以立即采取措施,将损失降到最低。 4)监管风险:法律合规要求和反洗钱(AML)/了解你的客户(KYC)义务。防护措施包括聘请法律顾问确保项目符合法律和监管要求、建立透明的合规政策以及主动实施 AML 和 KYC 措施以提升用户和监管机构的信任。 Q9:DeFi项目方,如何判断并选择好的审计公司? BlockSec安全团队:DeFi项目方如何判断并选择好的审计公司,这里有一些简单标准的可供参考: 1)是否审计过知名项目:这表明该审计公司被这些知名项目所认可。 2)审计过的项目是否被攻击过:固然从理论上来讲审计并不能保证100%的安全,但实践经验表明口碑良好的审计公司所审计的大部分项目未曾有过被攻击记录。 3)通过过往审计报告判断审计质量:审计报告是衡量审计公司专业程度的重要标志,尤其是在同样的审计项目、同样的审计范围可作对比的情况下,可重点关注漏洞发现的质量(危害程度)和数量等,漏洞发现是否通常被项目方采纳。 4)专业从业人员:审计公司的人员构成,包括学历和从业背景等,系统性的教育和从业经验对于确保审计质量有很大的帮助。 最后,感谢大家看完OKX Web3钱包《安全特刊》栏目的第05期,当前我们正在紧锣密鼓地准备第06期内容,不仅有真实的案例、风险识别、还有安全操作干货,敬请期待! 免责声明: 本文仅供参考,本文无意提供 (i) 投资建议或投资推荐;(ii) 购买、出售或持有数字资产的要约或招揽;或 (iii) 财务、会计、法律或税务建议。 持有的数字资产(包括稳定币和 NFTs)涉及高风险,可能会大幅波动,甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。 来源:金色财经
lg
...
金色财经
06-04 15:10
Grayscale:5月表现最好的细分板块是什么?哪些因素会持续影响加密市场?
go
lg
...
LINK 的上涨似乎反映了以下消息:
预
言
机网络的联合创始人将与支付服务 SWIFT 的代表一起出席共识会议,以及 Chainlink 与美国存管信托和清算公司 (DTCC) 之间的试点计划结束——这两个迹象都可能是传统金融机构采用公共区块链的迹象。[13] 开发 ENS 软件的组织 ENS Labs 宣布了该项目的各种升级,包括计划过渡到以太坊Layer 2。[14] 最后,Livepeer 宣布了一个子网,旨在支持 GPU 共享和其他与人工智能 (AI) 行业相关的活动(请参阅我们的报告《人工智能和加密协同效应的出现》)。[15] 加密市场受益于各种顺风因素,包括稳定流入美国上市的现货比特币 ETF、国会两党为行业带来监管清晰度而做出的努力以及以太坊生态系统内活动的增长。只要宏观市场背景保持良好,Grayscale Research 认为估值可以在整个(北半球)夏季及以后继续攀升。然而,必须强调的是,金融市场已经为一帆风顺做好了准备:许多传统资产的隐含波动率已经下降(图 5)。因此,尽管有利的背景可能持续,但市场可能会受到经济前景、美联储货币政策和/或即将到来的美国总统大选的不利消息的影响。 图 5:隐含波动率跌至区间低端 参考资料 [1] 来源:StakingRewards.com。数据截至 2024 年 5 月 31 日。 [2] 来源:Axios、American Banker。 [3] 来源:Axios、The Block。 [4] 来源:众议院金融服务委员会。 [5] 5 月中旬,由于交易员 Keith Gill(又名 Roaring Kitty)的 X 账户重新激活,公开股票市场也出现了类似的情况。来源:纽约时报。 [6] 例如,IMX (+13%)、PRIME (+18%) 和 YGG (+24%)。来源:Artemis。数据截至 2024 年 5 月 31 日。 [7] 来源:Artemis。数据截至 2024 年 5 月 31 日。 [8] 来源:Bloomberg、Grayscale Investments。数据截至 2024 年 5 月 31 日。 [9] 来源:The Block。 [10] 来源:Arkham。数据截至 2024 年 5 月 31 日。该资产还持有约 141k 比特币现金。 [11] “PEOPLE”在 2024 年 5 月也为金融加密行业的回报做出了重大贡献。 [12] 来源:Artemis,Etherscan。数据截至 2024 年 5 月 31 日。 [13] 来源:Decrypt,CoinDesk。 [14] 来源:The Block。 [15] 来源:Livepeer。 来源:金色财经
lg
...
金色财经
06-04 15:09
斯诺登在伯克希尔·哈撒韦公司下跌99.97%时提供BTC系列意见
go
lg
...
link(LINK),表示它的去中心化
预
言
机网络通过提供防篡改数据馈送和实时验证来增强证券交易所的稳定性,从而提供了解决方案。 DTCC目前正在Chainlink上试用区块链技术,以加快共同基金的结算速度,但似乎股市对区块链的需求可能比它所知道的要多。Chainlink的去中心化
预
言
机网络可以通过提供准确可靠的数据馈送来解决这些问题。 Chainlink利用多个独立的数据提供商来确保数据的准确性和防篡改性,从而降低集中式系统中常见的单点故障风险。这种去中心化的方法增强了安全性和可靠性,这对于及时和准确数据至关重要的交易系统至关重要。 通过利用Chainlink的去中心化
预
言
机网络,证券交易所可以提高市场参与者之间的透明度和信任度。数据馈送的分散性确保没有单一实体控制数据,从而降低操纵风险并增强市场信心。 最终,区块链技术,特别是Chainlink的去中心化、防篡改数据馈送和实时验证能力,可以显著降低证券交易所出现故障和错误交易的风险,提高交易环境的整体可靠性和稳定性。 来源:金色财经
lg
...
金色财经
06-04 11:11
区块链动态2024年6月4日早参考
go
lg
...
ocol合作伙伴提供的一款全新的的主权
预
言
机架构的揭幕。 来源:金色财经
lg
...
金色财经
06-04 09:50
打造RWA第一公链?解读Algorand的复兴之路
go
lg
...
龙头项目 Wormhole 和去中心化
预
言
机 GoraNetwork 赞助本次黑客松 16,000 USDCa 奖金池。 黑客松的举办,将为 Algorand 带来更多优质生态项目,同时带来更多的用户和资金,走出Algorand 生态繁荣的第一步。 3.3 链接现实世界 Algorand 重点扶持以 RWA 为重点的生态应用。在实物资产代币化方面走在了整个加密市场的前列。 生态项目 Lofty,在房地产代币化领域已经有了突破性的尝试,用户可以在 Lofty 投资世界各地的房产。最低只需50美元,就可以马上获得租金收入。截至 2024 年 Q1,Lofty 推出 120 多处房产,总价值超过 3000 万美元,还通过新的房地产代币 AMM 引入了即时流动性。 TravelX 通过将航空公司库存从静态变为动态,从而实现了收入的提高和客户体验的全新应用场景。已经有超过500万名顾客使用其 NFT 机票。 Agrotoken 通过将大豆、玉米、小麦、咖啡等农产品代币化,用于为农民发放贷款,帮助实体农业的发展,在区块链上记录的大豆短时间内从1000吨增加到23万吨。 著名的加密钱包 Exodus 是第一个获得获得纽约证券交易所(NYSE)上市授权的美国公司,Exodus 的股票将在 Algorand 上进行代币化,并得到了 SEC 的充分验证。 通过将农产品、实物资产、机票、共同基金等现实世界资产代币化,将这些传统资产引入区块链生态系统,不仅能够提高资产的流动性和透明度,还能带来更高的效率和安全性。 打造 RWA 第一公链 全新的首席营销官,全球黑客马拉松,在巴塞罗那举办 Decipher 2024,邀请链上的活跃开发者参与,通过研讨会、大师研修班等活动帮助项目进行构建和运营。这种对开发者和生态项目的持续扶持展示了 Algorand 在生态发展上的投入和用心。 通过技术升级,采用开发人员友好的 Python 语言;为开发人员提供易于使用的开发工具包 AlgoKit 2.0 工具包;升级共识机制,增强网络安全性;采用 P2P gossip 网络,提升去中心化程度,Algorand 全面升级了协议的底层基础设施。底层基础决定上层建筑,基础设施的升级和迭代,将能更好的服务于生态系统的发展和繁荣。 Algorand 通过全面升级,已经做好了全面承接生态起飞的准备,不管是大家普遍关注的新领域 AI、RWA 和 DePIN,还是一直在创新的 DeFI、GameFi、SocialFi 等各种细分赛道,都能够在 Algorand 轻松构建。RWA 技术通过将现实世界的资产引入区块链生态系统,为 Web3 带来了深远的影响。它不仅提高了资产的流动性和交易效率,还推动了去中心化金融的发展和全球金融包容性的提升。 随着技术的不断进步和市场的成熟,RWA 将在未来发挥越来越重要的作用,推动 Web3 的广泛应用和创新。Algorand 在 RWA 赛道已经走在了整个加密市场的前列,或将成为 Algorand 的代表性生态应用,成为 RWA 第一公链。 来源:金色财经
lg
...
金色财经
06-03 22:42
五大黑马币种将引爆市场 你搭上牛市暴富的列车了吗
go
lg
...
上钉钉。 PYTH PYTH,作为二代
预
言
机的领军者,前几天刚刚完成一波解锁,日线级别走势呈现出完美的W底形态。最近一次解锁将在2025年5月18日,给予了市场充足的调整时间。其运营团队位于美国,背后的投资机构包括Multicoin Capital、Delphi Digital等顶级机构。在如此强大的背景下,PYTH的上涨潜力不容小觑。 BONK Bonk 被认为是 Solana 生态系统中第一个以狗为主题的加密货币。该代币在推出后引发了一场出色的反弹。这一涨势让这款 meme 代币在第一季度取得了惊人的涨势。尽管它的价格目前仅为 0.0065 美元,但其独特的定位让分析师预测它可能会在 2024 年底达到 1 美元大关。 ORDI Ordi币是基于比特币网络中的Ordinals协议创建的数字资产,代表了 BRC-20 代币标准的首个应用实例。简单解释,Ordi 币是一个建立在 BRC20 代币标准的比特币,而 BRC20 是比特币 Ordinals 协议上的一种。 Ordi币的交易所流通量逐步增加,市场需求也在不断上升。与此同时,Ordi币也在不断扩大其应用范围,涉及到支付、投资、金融衍生品等多个领域,为用户提供了更多元化的选择。可以预见,Ordi币有望成为未来数字货币市场中的一匹黑马,引领行业的发展潮流。 LINK LINK币是一种数字货币,它的目标是连接未来的世界。它的名字中的“LINK”代表着连接的意思。就像我们使用手机和电脑来连接互联网一样,LINK币希望能够连接人们的生活和数字世界。 link就是链上链下数据的中间人,与普通的数据搬运工不同的是link是去中心的,与多个数据提供方合作防止单一的数据方作恶。其次,链上智能合约执行,一旦数据确凿,自动执行。link的出现实现链上链下的信息孤岛,让现实世界和区块链世界不再遥远。 来源:金色财经
lg
...
金色财经
06-03 20:32
如何看待
预
言
机赛道黑马API3:开源协议+DAO治理有更广阔的商业空间?
go
lg
...
X,@tmel0211 如何看待被誉为
预
言
机赛道黑马的 @API3DAO ?最近,DWFlabs领投API3 400万美元的消息又引起了市场对于API3增长潜力的讨论。和Chainlink、Pyth等
预
言
机服务商比,API3协议“轻量化”集成方式,以及API3 Market +OEV Network等DAO治理模型,让其展现出了更广阔的商业想象空间。接下来,说说我的看法: 1)简单来说,API3是一个由开源协议驱动、DAO经济体激励的直接连接API数据提供方和DApp智能合约数据需求方的Oracle连接器。区别于Chainlink的“中间件”节点服务第三方网络,API3的第一方
预
言
机,免去了第三方网络的“信任”环节。 以开源协议集成的方式切入Oracle市场,意味着:更轻量化和定制化,API3的Airnode让满足基本运维能力的“节点”都能以轻量化的方式部署
预
言
机服务,尤其是一些直接拥有数据源的API提供方可以通过Airnode直接将原始数据供给DApp智能合约需求方。 比如:一些新锐公链的主网、甚至测试网等都可以集成一些Price数据信息。若想成为Chainlink的数据源,API节点只能被动等待,而通过API3协议就可以主动甚至定制专属的Oracle价格服务。理论上,只要API3节点符合Airnode协议的集成框架且遵循API3 DAO的质押治理流程,就能快捷、低成本、高效地加入Oracle服务网络中。 如果说Chainlink等
预
言
机随着品牌强化会逐渐偏好中、头部DApp应用项目提供
预
言
机服务,API3切中的是一个更广阔的长尾DApp应用市场。 有人说,开源协议在当中不也要收集、聚合并适配数据,也应该被视为一个“中间件”,没错,问题在于,这个中间协议重在提供集成到Oracle服务中的集成方法和治理标准和规范,都是开源透明的标准,可由API数据提供方“主动”选择接入。而其他第三方Oracle中间服务网络,有自主的节点和治理机制,筛选什么数据,如何给合约喂价,如何处理潜在清算套利机会等完全由第三方网络控制。这种中间件网络的“高效率”和“可靠性”服务宗旨和开源协议追求的“透明性”和“免信任”存在本质差异。 2)API3基于Polygon CDK构建的API3 Market和OEV Network对改变Oracle
预
言
机市场格局至关重要,相当于把
预
言
机业务流程中潜在的“套利”蛋糕以更公开、透明且有序的治理规则摆上了明面。 API3 Market目标为开发者提供便捷、低成本的的数据集成服务,可以快速与新网络集成,相当于一个Oracle Stack堆栈服务,为开发者提供无缝且友好的工具服务。这会降低数据源成为API数据供应方以及数据需求方DApp的门槛,进一步扩大API3在长尾Oracle市场的规模效应。 OEV Network作为一条layer2
预
言
机公链,目前还未正式落地上线,但其目标则是要通过一套公开透明的治理机制,把原本Oracle数据供应方可通过数据清算权获取“套利”机会的大蛋糕,以公开拍卖及利润分配的方式返还给用户。 在我看来,这是Oracle
预
言
机市场必然要演变的趋势,也是改变MEV市场商业格局的关键。 要深刻理解OEV Network这类Oracle破局者的的意义,可以细品下Vitalik最新说的一句话:“DAO”意味着项目,“Official”则意味着骗局。去中心化治理机制存在的意义就是要把潜藏的利润以更公平的机制分配出去,而不能让其成为个别节点滋养腐败扰乱正常市场秩序的“动机”。试想,若Oracle节点给DApp喂价势必会存在清算机会,有清算资格的节点供应方和清算人可以串谋起来共同博取MEV利润,这就不可能存在公平。 而若把清算资格公开成“拍卖”机制,出价最高这可获得下一次
预
言
机数据的Update权即MEV利润,然后OEV Network再把从中所得的利润分配给DApp用户,相当于从用户身上攫取的利润,又返还给了用户。这样一来,即不影响API节点做清算人的动力,也不会伤害用户,一举两得。 3)单纯从商业视角看,API3在
预
言
机赛道的天花板会更高。因为它以开源协议+无缝集成工具的低门槛切入,只要有基础节点运维能力的“节点Operator”就可以选择加入API3提供的Oracle去中心化治理网络中参与“挖矿”。这意味着,以太坊生态AVS(主动验证服务)节点服务方,这类“增强型”节点,完全可以接入API3的
预
言
机网络中,为其AVS网络拓展新的业务增长方向,进而巩固其底层的Restaking经济模型。 逻辑也不难理解,选择了开源协议的轻量化集成方式,其商业前景一定会更广阔。况且,Chainlink和Pyth等主要Oracle竞品都选择了偏向DeFi金融场景,对他们而言选择了占据绝大多数流动性的DeFi客户,也同时限制了在更广阔应用场景的商业触角延展能力,而这些都是API3可以展开联想的地方。除了DeFi之外,在RWA、外汇、股票、期货、智能交通、智能医疗、智能家居,甚至大模型数据的实时喂送和训练等方面都能发挥作用。 总之,做开源技术协议和DAO治理框架确实会更有商业想象空间,
预
言
机、zkVM、ZK跨链桥等任何亟需“免信任”的领域都可以用此种方式破局。 来源:金色财经
lg
...
金色财经
06-03 19:02
LINK社区激励计划活动开启 持续助力Chainlink网络成长
go
lg
...
) 才得以成为区块链行业应用最广泛的
预
言
机网络。我们在智能合约的创新和发展中发挥了关键作用,将智能合约连通所有环境,并不断拓宽智能合约的应用场景。 目前,Chainlink网络的流量、规模和技术,社区都进入了新的快速增长期,因此我们认为很有必要推出Chainlink社区激励计划 ,持续助力Chainlink网络的成长。 Chainlink的目标是加速智能合约的应用,将智能合约发展成主流的数字协议,并覆盖所有应用场景。要实现这一目标,就必须依附于我们强大的社区。Chainlink社区成员极富创意,并付出了汗水和努力将这些创意变成现实。整个社区都致力于开发通用连接型智能合约,并基于此实现经济公平性。 为智能合约提供安全保障,使其能够管理几亿甚至几万亿美元的用户和企业资金,这需要提升
预
言
机的安全性和可靠性。 随着智能合约覆盖越来越多的市场和应用场景,Chainlink
预
言
机节点的收入池也将扩大。 节点或节点网络的历史服务记录可以通过加密技术证明,这决定了其是否能够被分配到智能合约数据传输和验证任务,并赚取服务费。 随着Chainlink节点和节点网络在规模和整体安全性上不断提升,这些
预
言
机保障的价值也将相应升高。 保障的价值升高了,节点的服务费也会上涨,因此加速了循环。 社区激励计划的申请人应致力于在项目中使用Chainlink开发具有通用连接性的智能合约,并提升Chainlink网络的功能,为更多区块链环境提供更多优质数据。社区激励用于节点结算将以LINK通证的形式发放。 如果你有兴趣参与Chainlink激励计划,请与社区上级联系。 我们想再次感谢社区给予我们的支持,并很高兴能够为全世界各地的开发者提供帮助,打造具有通用连接性的智能合约,并在未来成为新的行业标杆。 Chainlink官方 来源:金色财经
lg
...
金色财经
06-03 09:34
全新范式的Layer1-Partisia BlockChain 向 RWA、DeFi 等领域布局
go
lg
...
特的去中心化消息验证系统,由小型和大型
预
言
机组成,其角色是验证请求。这个验证系统由Partisia Blockchain的MPC方案提供安全支持。值得一提的是,Partisia Blockchain 目前运行着世界上最大的MPC集群,这个集群保护着跨链之间转移的资产,MPC节点的会质押$MPC通证,为资产跨链转移提供保险。 Partisia Blockchain的独特方案正在成为构建DeFi的最佳底层,包括为DeFi应用提供强大的底层支持,同时基于其MPC方案,也能进一步实现订单簿DEX中进行抢跑等的保护、对AMM进行单个流动性池启用交易对的价格保证等等。此外,Partisia Blockchain的MPC方案也将为构建基于隐私的DEX订单簿方案提供基础。 在2024年,Partisia Blockchain正在向DeFi领域深入的布局,并推出了规模为1亿$MPC通证生态拓展计划,这将推动该生态DeFi规模在短时内迎来迅速的扩张。 RWA领域的深入探索 RWA代表着现实资产的通证化,当前的解决方案只是解决了实物资产的通证化问题。但实物资产需要的远不止通证化资产。从目前绝大多数区块链底层的范式看,缺乏隐私正在降低RWA的可行性。事实上,RWA代表着现实世界资产的链上拓展,但但现实世界中的交易需要的不仅仅是一个简单的透明账本。它需要购买者或买方的隐私和认证,将资产验证回通证本身,以及能够追踪这些实物资产移动的供应链解决方案,在许多情况下,比如供应链物流中隐私就是一项极为严苛的要求。 另一方面,RWA的部署同样需要满足合规、可审计的情况下进行,一些完全链上隐私的方案在并不满足可审计要求,所以从RWA的部署,仍有大量的潜在阻碍需要克服。 Partisia Blockchain正在成为为RWA提供支撑的重要底层设施。Partisia Blockchain使用的密码学是多方计算即MPC方案。这是一种隐私增强技术,专注于使来自多个用户的数据计算在不泄露用户自身的私人数据的情况下进行。 Partisia Blockchain在该方案的基础上,正在提供一个任何区块链都可以利用的通用安全和隐私层。从更安全的DID解决方案,到超越当今现有的DeFi,到解决现有解决方案目前面临的所有差距的RWA解决方案,Partisia Blockchain使这种从透明不安全网络到安全网络的演变成为可能,同时在Web3行业中平衡隐私和透明度。其既可以做到链上可审计,还能保证数据的隐私安全。 而随着Partisia Blockchain的MPC协议不断发展,其很快将能够处理系列技术,如创建量子证明区块链和使用私有数据的联邦学习AI模型,以及将TEE(阈值执行环境)与其MPC和FHE功能集成,确保Partisia Blockchain在区块链领域的密码学解决方案中始终设定新的标准,以成为RWA领域最佳基建设施。 Partisia Blockchain正在成为Web3时代最具未来性与趋势性的基建设施,并将成为未来一系列现实场景融入Web3的重要驱动力。 来源:金色财经
lg
...
金色财经
06-03 09:15
Partisia BlockChain 将向 RWA、DeFi 等领域布局,进入全新市场阶段
go
lg
...
特的去中心化消息验证系统,由小型和大型
预
言
机组成,其角色是验证请求。这个验证系统由 Partisia Blockchain 的 MPC 方案提供安全支持。值得一提的是,Partisia Blockchain 目前运行着世界上最大的 MPC 集群,这个集群保护着跨链之间转移的资产,MPC 节点的会质押 $MPC 通证,为资产跨链转移提供保险。 Partisia Blockchain 的独特方案正在成为构建 DeFi 的最佳底层,包括为 DeFi 应用提供强大的底层支持,同时基于其 MPC 方案,也能进一步实现订单簿 DEX 中进行抢跑等的保护、对 AMM 进行单个流动性池启用交易对的价格保证等等。此外,Partisia Blockchain 的 MPC 方案也将为构建基于隐私的 DEX 订单簿方案提供基础。 在 2024 年,Partisia Blockchain 正在向 DeFi 领域深入的布局,并推出了规模为 1 亿 $MPC 通证生态拓展计划,这将推动该生态 DeFi 规模在短时内迎来迅速的扩张。 RWA 领域的深入探索 RWA 代表着现实资产的通证化,当前的解决方案只是解决了实物资产的通证化问题。但实物资产需要的远不止通证化资产。从目前绝大多数区块链底层的范式看,缺乏隐私正在降低 RWA 的可行性。事实上,RWA 代表着现实世界资产的链上拓展,但但现实世界中的交易需要的不仅仅是一个简单的透明账本。它需要购买者或买方的隐私和认证,将资产验证回通证本身,以及能够追踪这些实物资产移动的供应链解决方案,在许多情况下,比如供应链物流中隐私就是一项极为严苛的要求。 另一方面,RWA 的部署同样需要满足合规、可审计的情况下进行,一些完全链上隐私的方案在并不满足可审计要求,所以从 RWA 的部署,仍有大量的潜在阻碍需要克服。 Partisia Blockchain 正在成为为 RWA 提供支撑的重要底层设施。Partisia Blockchain 使用的密码学是多方计算即 MPC 方案。这是一种隐私增强技术,专注于使来自多个用户的数据计算在不泄露用户自身的私人数据的情况下进行。 Partisia Blockchain 在该方案的基础上,正在提供一个任何区块链都可以利用的通用安全和隐私层。从更安全的 DID 解决方案,到超越当今现有的 DeFi,到解决现有解决方案目前面临的所有差距的 RWA 解决方案,Partisia Blockchain 使这种从透明不安全网络到安全网络的演变成为可能,同时在 Web3 行业中平衡隐私和透明度。其既可以做到链上可审计,还能保证数据的隐私安全。 而随着 Partisia Blockchain 的 MPC 协议不断发展,其很快将能够处理系列技术,如创建量子证明区块链和使用私有数据的联邦学习 AI 模型,以及将 TEE(阈值执行环境)与其 MPC 和FHE 功能集成,确保 Partisia Blockchain 在区块链领域的密码学解决方案中始终设定新的标准,以成为 RWA 领域最佳基建设施。 Partisia Blockchain 正在成为 Web3 时代最具未来性与趋势性的基建设施,并将成为未来一系列现实场景融入 Web3 的重要驱动力。 来源:金色财经
lg
...
金色财经
06-03 09:14
上一页
1
•••
30
31
32
33
34
•••
236
下一页
24小时热点
发生了什么?金价暴跌近40美元,原因是TA
lg
...
美联储“赢麻了”!最青睐通胀数据PCE完全符合预期、支持放缓降息步伐 金价走低、失守2780
lg
...
中国经济重磅!中国最高领导人敦促“抓这件大事” 罕见措辞释放就业重大信号
lg
...
马斯克“大撒币”被控非法干预选举!美国要求出席紧急听证会 市场突发剧烈震荡
lg
...
【直击亚市】中国数据刺激人气!日本果然按兵不动,美元波动率突然狂飙
lg
...
最新话题
更多
#SFFE2030--FX168“可持续发展金融企业”评选#
lg
...
10讨论
#海外华人投资#
lg
...
27讨论
#链上风云#
lg
...
45讨论
#美国大选#
lg
...
980讨论
#VIP会员尊享#
lg
...
1409讨论