全球数字财富领导者
CoNET
|
客户端
|
旧版
|
北美站
|
FX168 全球视野 中文财经
首页
资讯
速递
行情
日历
数据
社区
视频
直播
点评旗舰店
商品
财富汇
登录 / 注册
搜 索
综合
行情
速递
日历
话题
168人气号
文章
新闻周刊 | 何一:币安不会冻结没收任何民众的资产 国际商业机构需要遵循国际执法原则
go
lg
...
密货币交易所披露了他们的储备金,以应对
黑
客
攻击、电脑故障等情况。根据金融监督院代表Kim Hee-gon办公室提交的数据,韩国最大的加密货币交易所Upbit与K-Bank合作,准备了总计200亿韩元的储备金。与NH银行合作的行业第二大交易所Bithumb储备金为100亿韩元,而与Kakao银行合作的Coinone储备金为73亿韩元。此外,与新韩银行(Shinhan Bank)合作的Korbit和与Jeonbuk Bank合作的Gopax也各准备了30亿韩元,以满足最低要求。 今年7月,韩国银行联合会发布了《虚拟资产实名账户操作指南》,要求加密货币交易所在其合作银行预留日均存款的30%或30亿韩元(以金额较大者为准)作为准备金。最高限额为200亿韩元,如果日均存款的30% 超过200亿韩元,最多只能预留200亿韩元作为准备金。 ▌预警:诈骗者通过引导用户授权恶意签名来耗尽用户资产,提醒用户提高警惕 金色财经报道,加密钱包imToken发文表示,近期收到多位用户反馈,用户通过谷歌搜索后被引导至钓鱼网站,并在这些网站上进行未知恶意签名,造成资产损失。一名用户丢失了约2500个ARB代币,并发现该用户的ARB代币被无限授权给恶意合约地址0x00005c......5A0000。经查该恶意合约地址属于Inferno Drainer诈骗团伙。据Scam Sniffer监测数据显示,该诈骗团伙迄今已诈骗金额4188万美元,受害人数达89484人,他们创建了超过689个钓鱼网站,针对超过220个区块链项目的用户,包括zkSync、Arbitrum、Optimism、Blur等热门项目。 分析表明,这是由于用户在钓鱼网站上执行链下签名(Permit授权签名)造成的,钓鱼者一旦获得用户的许可,就可以在用户不知情的情况下转移用户的授权资产。 注意:如果不了解签名的目的,请避免签署任何内容,因为它很可能是一个骗局,提醒用户提高警惕。 ▌莫斯科交易所计划于2024年发行房地产数字资产 金色财经报,俄罗斯最大的交易所莫斯科交易所宣布,计划在2024年发行基于住房和房地产区块链的数字资产。该平台数字资产总监Sergei Kharinov表示,该交易所曾提议在2022年8月完成类似的发行,目前正在与住房和开发公司进行谈判,计划明年开始此类业务。 Kharinov成,这将降低合格和不合格投资者的准入门槛,将部分资产投入他们的投资组合变成了房地产资产。 法拉利在美国接受加密货币支付汽车费用 金色财经报道,法拉利首席营销和商务官Enrico Galliera表示,法拉利已开始在美国接受用加密货币支付其豪华跑车的费用,并将应其富裕客户的要求将这一计划推广到欧洲。法拉利在美国的初始阶段将通过加密货币支付处理商BitPay进行付款,目前支持BTC、ETH和USDC进行交易。此外,法拉利可能会在不同地区使用其他支付处理器。 Galliera称,通过加密货币支付,价格不会改变,不收取任何费用,也不收取附加费。 重要经济动态 ▌美联储会议纪要:大多数美联储官员认为再加息一次是适当的 金色财经报道,美联储会议纪要显示,大多数美联储官员认为再加息一次是适当的。绝大多数与会者继续认为经济未来走势“高度不确定”。与会者表示通胀“不可接受的高”,需要更多证据来确信价格压力正在减弱。一些人希望辩论从“利率多高”转向“维持多长时间”。 免责声明:金色财经作为区块链资讯平台,所发布的文章内容仅供信息参考,不作为实际投资建议。请大家树立正确投资理念,务必提高风险意识。 来源:金色财经
lg
...
金色财经
2023-10-15
模块化区块链的功能层争议和DA经济学的新视角
go
lg
...
全,尤其是在需要大量跨链通信的情况下,
黑
客
的攻击面更广。 中立阵营:当然,也有人持中立态度,认为两者最终可以共存。例如,Nosleepjon 认为最终的博弈是双方各有千秋,公链竞争依然存在,Rollup 也将相互竞争。 总结 这个问题的焦点实际上可以归结为模块化方案的摩擦缺点(如跨链安全性不足、系统流程不佳等)是否超过了新公链的中心化问题。从市场争论来看,无论是 Rollup 中心化隔离器的缺点,还是跨链桥的安全隐患,都没有导致人们转向新的公链。这是因为所有这些问题似乎都有改进的空间,而新的公链无法复制以太坊链的庞大生态护城河和去中心化优势。 另一方面,新公链虽然在架构上具有性能和集成性优势,但生态上与以太坊生态过于相似,同质化程度高,流动性不足。缺乏一个专属应用能够体现出自身的架构优势,自然也没有理由让人们放弃以太坊生态。Rollup 的可塑性足够高,未来新架构的 Rollup 改进还有很大的空间。 当 Rollup 也具备非 EVM 链的大部分优点时,未来很难再出现「Solana Summer」。所以在这种情况下,我认为模块化方案的摩擦劣势小于公链中心化的问题。而中立的情况似乎并不存在,以太坊的虹吸效应将像「iPhone」一样,吸引大量注重扩展性的开发者到第 Layer2,新的公链将成为一座鬼城。 因此,在关于基础设施的未来方面,我无疑更倾向于模块化。以太坊的分类扩展将是公链博弈的终局,通用链之间的 Layer2 竞争,超级应用链之间的 Layer3 竞争。 目前一级市场融资的项目也印证了这一点。除了大量的以太坊 Layer2 项目和比特币的扩容项目之外,几乎没有新的公链。 然而,这个行业始终是建立在以太坊上发展的,目前的趋势似乎过于集中,这样的现状确实值得思考。缺乏竞争可能会阻碍一个行业的发展,这个行业需要多样性和更多的选择。如果用户体验逐渐趋于同质化,新的公链将如何创造出破局的契机,目前还看不到。当以太坊不断完善自身缺陷的同时,如何找到更大的差距来针对非 EVM 系统进行精准打击需要重点关注。 DA 方案竞争 近期,业界热议从执行层转向数据可用性层(DA 层),特别是关于 Rollup 应该采用哪种数据可用性方案的问题。这场讨论起源于以太坊基金会研究员 Dankrad Feist 的一条推文,探讨了主题的各个方面。在他看来,没有以太坊 DA 的 Rollup 不属于 Layer2。因此,之前关于 Layer1 的战争是否会演变成正统(拥有以太坊 DA)Layer2 和非正统 Layer2 之间的战争呢?目前业界对于 DA 的解决方案主要有三种: 公链作为结算层 以以太坊为例,在 Rollup 中进行交易时提交给以太坊的费用主要包括以下几类: 执行费用:这是对执行交易所需计算资源的补偿。它包括执行交易所需的燃料费,通常与交易的复杂性和执行时间成正比。在 Rollup 中,执行费用可能包括链下执行交易的费用,以及生成和验证交易证明的费用。 状态费:状态费与更新以太坊主链上的状态有关。在 Rollup 中,这包括向主链提交新状态根的费用。每次 Rollup 聚合器生成新的状态根并将其提交到主链时,都会产生状态费用。该费用可能与状态更新的频率和复杂性成正比。 数据可用性费用:将数据发布到 Layer1 的费用。 在这些费用中,数据可用性费用占比最大,且成本较高。例如,Arbitrum 在今年 5 月 6 日因以太坊 GAS 费用激增,单日向以太坊支付了 376.8ETH GAS 费用。 这是因为 Rollup 以 Calldata 上传的形式将数据上传到以太坊,并永久存储这些数据,导致成本非常昂贵。然而,Rollup 的安全性和合法性是三种方案中最好的,而且该方案的成本降低目前正等待 Cancun 升级后的 EIP-4844 更新。通过引入事务格式,用 Blob 承载 Transactions,让交易格式比普通交易格式多一个 Blob 位来承载 Layer2 的数据。此外,Blob 数据在 1 个月后就会被节点删除,从而大大节省了存储空间。 Blob 的事务格式提供了比 Calldata 更便宜的数据可用性。因为一方面,Calldata 存在于 Execution Payload 中,而 Blob 数据存储在 Prysm 节点或 Lighthouse 节点(而不是 Geth)中,当合约需要读取 Calldata 时,会消耗更多的资源。另一方面,Blob 数据是短期存储,节点会在一个月后删除 Blob 数据。尽管如此,GAS 成本仍会高于后两种方案。 Validiums DA 模式 对于应用链类型的 Rollup(如过去的 dYdX、Immutable 等),通常采用 header Rollup 项目所引入的 Layer 2 可扩展性引擎(目前最常见的是 StarkEx,但 Zk 系列 header 项目也有类似的计划)。在 DA 模式下,由于应用链计算量较大,他们更倾向于使用 Validiums,这是一种低成本、高吞吐量的方案。 Validium 的目标是利用链下数据可用性和计算,类似于 ZK-rollup,通过发布零知识证明来验证以太坊上的链下交易。然而,与 ZK-rollup 将数据保留在链上不同,Validiums 将数据保留在链下,其成本比使用以太坊低 90%,使其成为替代方案中最具成本效益的解决方案。 但由于数据仍在链下,Validium 的实体运营商可以冻结用户的资金。为防止这种极端情况,需要再次引入数据可用性委员会 (DAC) 计划,DAC 必须通过其法定人数签署每次状态更新来确认已收到数据。这是一个有争议的做法,因为你必须首先信任实体的安全性,而非链本身。Dankrad Feist(上述 EIP-4844 的创建者)在推特上直接点名了这个方案。 模块化 DA 从模块化的角度来看,重新设计 DA 层的方法有很多种,这可能导致各个项目的具体实现存在差异。因此,要详细描述模块化 DA 项目需要大量篇幅,其中,以 Celestia 项目为代表来阐述 DA 项目的设计。 Celestia 作为首个提出模块化区块链概念的项目,Celestia 在该领域中具有极高的知名度和先驱地位。其愿景在于解决区块链可扩展性和模块化方面的问题。基于 COSMOS 架构构建的 Celestia 为开发人员提供了更大的灵活性,使他们能够轻松部署和维护区块链应用程序。同时,通过为 dApp 创作者和区块链开发者提供模块化、可扩展的区块链架构,Celestia 支持各种应用程序和服务的需求,降低了部署区块链的成本与复杂性。 工作原理和架构 解耦执行:Celestia 的逻辑在于将协议分解为不同的层,每一层关注特定的功能,从而可以重新组合以构建区块链和应用程序。Celestia 主要关注层次结构中的共识层和数据可用性层。与某些 Layer1 类似,Celestia 使用 Tendermint(一种拜占庭容错 (BFT) 共识算法)对交易进行排序。但与其他 Layer1 不同的是,Celestia 不处理交易的有效性,也不执行交易。它仅对交易进行打包排序和广播,所有交易有效性规则均由客户端的 Rollup 节点强制执行(即实现共识层和执行层的解耦)。 值得注意的一个关键点是「不推理交易有效性」。这意味着携带隐藏交易数据的恶意区块也可以发布到 Celestia。那么,验证过程应该如何实施呢?Celestia 在这里引入了两个核心技术:2D Reed-Solomon 编码和数据可用性采样(DAS)。 单体区块链的整体架构与 Celestia 的模块化架构形成鲜明对比 DAS:该方案允许轻节点验证区块数据的可用性,而无需下载整个区块。轻节点仅需一部分区块数据进行采样(具体实现依赖于 2D Reed-Solomon 编码,详见下文)。与之前提到的 Dac 不同,DAS 不依赖于可信实体的安全性;只要链足够去中心化,数据就可被信任。 2D Reed-Solomon 编码(纠删码):2D Reed-Solomon 编码的核心思想是在行和列上分别应用 Reed-Solomon 编码。这样,即使二维数据的某些行和列出现错误,也可以进行纠正。通过对区块数据进行编码,将区块数据划分为 kk 个块,排列成 kk 的矩阵,并通过多次 Reed-Solomon 编码扩展为 2k2k 的扩展矩阵。计算扩展矩阵行和列的 4k 个独立默克尔根(Merkle roots),这些默克尔根被用作批量中的区块数据承诺。 Celestia 轻节点采样 2k2k 数据块。每个轻节点在扩展矩阵中随机选择一组唯一坐标,并向全节点查询有关这些坐标和相应默克尔证明的数据块。每个接收到正确默克尔证明的数据块都将广播到网络。 抽象地说,可以将区块数据划分为方阵(例如 8x8),通过编码,在原始数据上添加额外的「校验」行和列,形成更大的方阵(例如 16x16)。通过对这个大方阵内的部分数据进行随机采样并验证其准确性,就可以确保整体数据的完整性和可用性,即使部分数据丢失或损坏,仍然可以使用校验和数据恢复整个数据。 块缩放:Celestia 实现了随轻节点数量增加而实现缩放的功能。只要网络中有足够的节点对整个区块进行采样,Celestia 就能保持安全性。这意味着随着更多节点加入网络进行采样,区块大小可以相应地增加,而无需牺牲安全性或去中心化特性。然而,在传统的单体区块链上,增加区块大小可能会牺牲去中心化,因为更大的区块大小会提高节点下载和验证数据的硬件要求。 主权 Rollup:这是 Celestia 首次提出的概念,它结合了多种区块链设计元素,包括 Layer1 区块链、rollup 以及早期比特币网络中的 Mastercoin 等。主权 Rollup 与智能合约 Rollup(如 Optimism、Arbitrum、zkSync 等)之间的主要区别在于交易验证方式。在智能合约 Rollup 中,交易由部署在以太坊上的智能合约进行验证。而在主权 Rollup 中,Rollup 节点本身负责验证交易。 主权 Rollup 将其交易发布到其他区块链(如 Celestia)以进行排序和数据可用性处理。接着,主权 Rollup 的节点对正确的链进行确认。这种设计使得主权 Rollup 能够从 DA 层继承多个安全属性,包括活跃度、安全性、重组抵抗和审查抵抗。 对于智能合约 Rollup,升级取决于结算层的智能合约。要升级 Rollup,需要修改智能合约。这可能需要多个签名来控制谁可以发起智能合约的更新。尽管团队控制升级多重签名的情况很常见,但通过治理来控制多重签名也是可行的。由于智能合约位于结算层,因此受到结算层社会共识的限制。 主权 Rollup 通过类似于 Layer 1 区块链的分叉进行升级。发布新的软件版本后,节点可以选择将其软件更新为最新版本,如果节点不同意升级,它们可以继续使用旧软件。这样的选项使得社区中运行节点的人可以决定是否接受新的更改,即使大部分节点进行了升级,也无法强制它们接受升级。这种特性使主权 Rollup 成为真正的「主权」Rollup。 量子引力桥(QGB)是 Celestia 生态系统的关键组成部分,它充当了 Celestia 和以太坊(或其他 EVM L1 链)之间的桥梁,实现了两个网络之间的数据和资产传输。通过引入 Celestium(EVM L2 Rollup)的概念,利用 Celestia 实现数据可用性,同时选择以太坊作为结算层。 这样就实现了充分利用两个网络优势,即 Celestia 的可扩展性和数据可用性,以及以太坊的安全性和去中心化特性。在 Celestia 上的验证器可以运行 QGB,使 Celestium 能够为区块数据提供强大的数据可用性保证,而成本仅为以太坊 calldata 的一小部分。 QGB 是实现 Celestia 可扩展、安全和去中心化区块链生态系统愿景的关键部分。它促进了区块链技术未来所需的互操作性。目前,该项目正在研究 Zk QGB,以进一步降低验证的 Gas 成本。 DA 经济学 我们来说说 DA 未来有多少经济价值。 这个假设是由 Delphi 的研究员 Jon Charbonneau 提出的,基于 Polygon Hermez 的预测,即他们在 Danksharding 中最终每笔交易只需 14 个字节。根据上述 EIP-4844 规格,在 1.3 MB/s 的情况下,Layer2 可达到约 10 万 TPS,预计收入将高达惊人的 300 亿美元。 在如此巨大的利益驱使下,未来的 DA 市场竞争将异常激烈。除了三大解决方案之外,Stark 的 Layer3、zkPorter 以及其他一些模块化 DA 项目也将加入战局。因此,从现有的 Layer2 项目来看,通用链更倾向于使用以太坊 DA,而应用链和长尾链将成为「非正统 DA」的主要客户。我个人认为,模块化 DA 以及快速发展的 Layer3 将是未来的主流选择。 结语 迈向去中心化依然是行业的主流理念,模块化区块链在本质上是对以太坊价值观的延伸,也是试图打破区块链不可能三角的尝试。尽管其设计富有多样性,但这也导致了施工的复杂性。由于模块化建设中有众多模块可供选择,而不同模块之间存在潜在的盲盒风险,如何构建更加稳定的模块化系统便成为了一个需要关注的问题。另一方面,在模块化趋势的推动下,数十个 Layer2 将进一步削减流动性,跨链通信和安全也将成为未来发展的重点。最近,比特币的模块化也成为了热门方向,其中一些方案具有一定的可行性,值得适度关注。 来源:金色财经
lg
...
金色财经
2023-10-14
百倍币的机会 探索大公司所采用的山寨币列表
go
lg
...
通过赞助 Astar Network
黑
客
马拉松来试验区块链用例。 ➢ $HNT - Helium 宣布与 T-Mobile 建立合作伙伴关系。Web3 电信公司正在推出即插即用热点,迈阿密居民可以花 250 美元购买。 ➢ $AZERO - Aleph Zero 与尼科西亚大学合作推进区块链技术和教育。 ➢ $ANKR - 微软与 web3 基础设施提供商 Ankr 合作,为需要区块链数据访问的企业提供节点服务。 ➢ $FET - 博世正在利用集体学习技术作为其人工智能设备战略的关键推动因素。 ➢ $TRAC - AidTrust 是 BSI 和 Trace Labs 合作创建的,为整个供应链的药品提供实时可见性、风险标记和数据完整性。 ➢ $VITA - VitaDAO 在辉瑞公司的支持下,正在与生物学家合作创建 Matrix Biosciences,这是一家研究长寿的生物技术公司。 ➢ $DMTR - ABRAFRUTAS 实施了 Dimitra 的算法,在检测柑橘溃疡病和计算受感染树木的百分比方面具有 95% 的准确度。 ➢ $SOL - Visa 在 Solana 上推出稳定币支付,可能会为区块链带来许多新用户。 ➢ $LINK - SWIFT 与 Chainlink 合作开展跨链加密货币传输项目。 PoC 利用 Chainlink 的跨链互操作性协议,允许 SWIFT 消息指示几乎每个区块链上的代币传输。 ➢ $APT - 微软和 Aptos Labs 合作开发新的区块链人工智能工具。 ➢ $EGLD - MultiversX 与三星合作,推出专为三星旗舰智能手机打造的区块链集成手游。还与华为达成了合作伙伴关系。 ➢ $VET - BMWVerifyCar将把每一次车辆交互发布到VeChainThor公共账本。Deloitte已加入唯链开发自己的区块链解决方案。 ➢ $HBAR - 使用哈希图共识的公共分类账,被誉为区块链更快、更安全的替代方案。与谷歌、IBM 和Deloitte合作。 ➢ $ROSE - Oasis Protocol 与 Meta 合作促进人工智能计算应用。 ➢ $NXRA - 与伦敦证券交易所合作。加入合作伙伴平台使 AllianceBlock 能够通过 LSEG 的全球创新网络接触机构客户。金融服务交易的网络基础设施。 ➢ $MNW - 通过增强产品运输安全性,为可口可乐释放新机遇。因此,运营效率得到提高,成本得到优化。 ➢ $ELA - 阿里云受益于亦来云开源Web3技术,提供快速部署解决方案。 ➢ $CSPR - CasperLabs 加入 IBM 全球合作伙伴计划,授予 IBM 合作者访问 Casper Network 的权限。 ➢ $MITX - 蚂蚁集团与 Morpheus Labs 合作,促进区块链在企业中的采用。 ➢ $THETA - ABS-CBN 与 Theta Labs 合作,通过 Theta 视频 API 和数字收藏品增强东南亚媒体和娱乐。 ➢ $UOS - Oasys Games 与 Ubisoft 和 AMD 合作开发了游戏 Champions Tactics: Grimoria Chronicles。 ➢ $OCEAN - 实现从患者自我监测设备到罗氏诊断的实时医疗数据传输。 _____________ ◢缺乏经验的市场参与者在购买$BTC和$ETH后,倾向于寻找与 Web2/现实世界联系更紧密的代币。 区块链技术继续融入现实世界,毫无疑问会随着时间的推移必然会吸引新市场参与者的更多兴趣。 这些代币很可能是最先引起人们注意的山寨币之一。 来源:金色财经
lg
...
金色财经
2023-10-14
区块链动态2023年10月14日早参考
go
lg
...
议WiseLending遭到攻击(白帽
黑
客
c0ffeebabe.eth实施了抢先交易),资金池已被耗尽。 5 . 金色财经报道,Santiment发布的数据显示,Curve又见证了持有100万-1000万CRV代币巨鲸地址的又一个大增持日。在短短24小时内,这些地址持有的CRV代币增加了9.5%,价值950万美元。 其中很大一部分来自休眠钱包,这些钱包自7月以来处于最活跃状态。 6 . 金色财经报道,彭博分析师James Seyffart在X平台表示,ProShares将于下周推出空头以太坊期货ETF(Short ETH Strategy ETF),美东时间10月16日开始交易,股票代码为SETH。 分析师称,SEC加快了所有长期/传统以太坊期货ETF的批准速度,但将这一ETF定为在正常/预期日期生效,这一备案文件于8月份与其他ETF一起提交。 7 . 金色财经报道,根据IntoTheBlock的数据,以太坊区块链的网络费用收入降至2020年4月以来的最低水平,较今年5月的高点下降了90%。数据显示,在过去30天里,由于区块链活跃度较低,ETH代币供应量增加33,500ETH,价值约5200万美元。 IntoTheBlock研究主管Lucas Outumuro表示,费用的下降正在考验ETH的‘超稳健货币’理论,随着投机活动的枯竭以及用户继续迁移到L2,网络费用收入可能会保持在较低水平。 8 . 金色财经报道,彭博高级ETF分析师Eric Balchunas发布推文称,继ARK Invest回应SEC评论之后,Invesco Galaxy现已更新其现货比特币ETF招股说明书。预期其他申请方也将很快更新。 9 . 金色财经报道,Bitwise CIO Matt Hougan在接受采访时表示,现货加密ETF的需求将是期货ETF的100倍。Hougan称,现货黄金ETF管理着大约1000亿美元的资产。黄金期货ETF实际上为零,因为唯一存在的ETF由于缺乏兴趣而关闭,因此投资者想要的是现货比特币和现货以太坊ETF,他们将使用基于期货的ETF作为过渡,直到拥有这些现货产品。 10. 金色财经报道,Consensys宣布收购Special Mechanism Group (SMG),这是一家以专注于区块链微观结构研究而闻名的机构设计公司。该交易的财务细节并未公开披露。SMG将成为Consensys的一个部门,并继续以SMG的名义运营,为Web3用户、构建者和企业提供最先进的机制设计。 Consensys表示,SMG的加入代表了Consensys总体战略的关键一步,该战略旨在增强其向用户和开发人员提供尖端解决方案的能力,并使所有人都能使用web3。 11. 金色财经报道,彭博社高级分析师Eric Balchunas和James Seyffart将现货比特币ETF在1月10日之前批准的概率提高至90%。 12. 金色财经报道,据路透社消息,SEC不打算就灰度裁决提出上诉,这与很多行业人士对局势的预测相符,这一决定将增加灰度比特币信托基金 (GBTC) 转换为对投资者更加友好的ETF的可能性。 据悉,SEC必须在美东时间周五晚12:00之前决定是否对法院的裁决提出质疑。路透社称,SEC将让这个最后期限自然到来,而不会提出上诉。 目前尚不清楚SEC将如何处理灰度的申请,除了法庭驳回的理由之外,该机构仍然有权以其他理由拒绝该申请。 13. 金色财经报道,Gauntlet在Aave社区发起弃用MAI/MIMATIC交易对的提案。该提案表示,鉴于MAI/MIMATIC价格在过去24小时内跌至约0.72美元,并且在过去几个月内无法恢复挂钩,Gauntlet建议开始弃用MAI/MIMATIC,目标是通过减少贷款期限和提高借款利率来激励还款来实现这一目标。目前,MAI/MIMATIC被冻结,LTV设置为0。 14. 金色财经报道,据《纽约时报》10月13日报道,出于国家安全考虑,美国政府官员正在密切关注某些与中国有联系的加密货币挖矿业务。据报道,当局正在监控的地点之一是怀俄明州的一个加密采矿作业区,该矿场靠近支持五角大楼部分业务的微软数据中心。 微软在一份有关此次行动的报告中表示:“微软没有直接迹象表明该实体有恶意活动。然而,在进一步发现证据之前,我们提醒工业级加密挖矿、以及在微软数据中心和美国三个战略导弹基地之一附近存在数量不明的中国公民可能构成重大威胁。” 15. 金色财经报道,针对X平台(原推特)网友提出的“SEC就GBTC转换提出新的拒绝理由的截止日期”问题,彭博分析师James Seyffart回复称:“这很可能在下周(或两周)内看到。” 16. 金色财经报道,10月13日,BlockFi首席执行官Zac Prince在FTX前首席执行官SBF的刑事审判中继续提供证词。Prince表示,BlockFi曾一度向其客户总共借出50亿至100亿美元。Alameda Research最初在2021年初借了1000万美元,但该金额最终在2021年5月增至5000万美元,在2022年5月增至11亿美元。这位BlockFi高管指出,该公司还受到其他行业事件的影响,包括Luna和TerraUSD的崩溃(随后三箭资本拖欠了对BlockFi的贷款)以及Celsius和Voyager的破产。 Prince表示,据2022年中期报道,BlockFi曾一度试图让FTX收购它。尽管收购没有发生,但Prince承认与FTX的安排影响了BlockFi将资金作为“数据点”借给Alameda的决定。他并不承认BlockFi借给Alameda完全是因为这种安排。 Prince表示,如果他知道FTX向Alameda提供了数十亿美元的贷款,BlockFi不会借钱给Alameda,因为它“已经资不抵债了”。如果他知道Alameda使用的是属于FTX客户的资金,BlockFi就不会借钱,因为这种做法不合适。 17. 金色财经报道,彭博加密分析师Jamie Coutts CMT评论宏观投资者兼Real Vision首席执行官Raoul Pal的推文称,同意你(Raoul Pal)的观点,市场短期内过于看好ETF。它们确实为加密货币经济建立了一个投资门户,但我认为稳定币的整合对于发展采用和实用性有更多作用。 金色财经此前报道,宏观投资者兼Real Vision首席执行官Raoul Pal在社交媒体上表示,在谈论心理模型时(请参阅之前关于人工智能的推文),BTC和ETH ETF并不是大规模资金流入的灵丹妙药。考虑它们的方式是,它们是加密经济和Tradfi 经济之间的贸易协定,允许新的FDI(外国直接投资)进入加密经济。只有当投资者确信投资回报会增加时,外国直接投资才会涌入加密货币经济。 来源:金色财经
lg
...
金色财经
2023-10-14
SharkTeam:起底朝鲜APT组织Lazarus Group 攻击手法及洗钱模式
go
lg
...
持续性威胁)组织是有国家背景支持的顶尖
黑
客
团伙,专门针对特定目标进行长期的持续性网络攻击。朝鲜APT组织Lazarus Group就是非常活跃的一个APT团伙,其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。 一、Lazarus Group 据维基百科资料,Lazarus Group 成立于 2007 年,隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心,专门负责网络战。该组织分为 2 个部门,一个是大约 1700 名成员的 BlueNorOff(也称为 APT38),负责通过伪造 SWIFT 订单进行非法转账,专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪,此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel,以韩国为攻击目标。 已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击,原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。 该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案,他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易(2000 万美元追踪到斯里兰卡,8100 万美元追踪到菲律宾)后,纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。 自 2017 年以来,该组织开始对加密行业进行攻击,并获利至少 10 多亿美元。 二、技战法分析 2.1常用攻击手法分析 Lazarus早期多利用僵尸网络对目标进行DDos攻击;目前主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。 战术特征: (1)使用邮件鱼叉攻击和水坑攻击 (2)攻击过程会利用系统破坏或勒索应用干扰事件的分析 (3)利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放 (4)攻击银行SWIFT系统实现资金盗取 技术特征: (1)使用多种加密算法,包括RC4,AES, Spritz等标准算法,也使用XOR及自定义字符变换算法 (2)主要使用虚假构造的TLS协议,通过在SNI record中写入白域名来Bypass IDS。也使用IRC、HTTP协议 (3)通过破坏MBR、分区表或者向扇区写入垃圾数据从而破坏系统 (4)使用自删除脚本 攻击手段: (1)鱼叉攻击:鱼叉攻击是计算机病毒术语,是
黑
客
攻击方式之一。将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。Lazarus通常以邮件夹带恶意文档作为诱饵,常见文件格式为DOCX,后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。 (2)水坑攻击:顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”,最常见的做法是,
黑
客
分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。2017年,Lazarus对波兰金融监管机构发动水坑攻击,在网站官方网站植入恶意的JavaScript漏洞,导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织,大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。 (3)社工攻击:社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。2020年期间,Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。2021年,Lazarus以网络安全人员身份潜伏在Twitter中,伺机发送嵌有恶意代码的工程文件攻击同行人员。 武器库: Lazarus使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明Lazarus背后有具有一定规模的开发团队。Lazarus拥有的攻击能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware,使用的恶意代码包括Destover、Duuzer和 Hangman等。 2.2典型攻击事件分析 下面以一起典型的Lazarus针对加密行业的鱼叉攻击为例进行分析。Lazarus通过邮件附件或链接的方式,诱导目标工作人员下载恶意压缩包,并执行压缩包中的恶意文件。 邮件末尾的“CoinbaseJobDescription”即为恶意链接并诱导用户点击,一旦点击用户就会下载恶意压缩包,并执行压缩包中的恶意文件。压缩包分为三种情况: (1)释放加密的诱饵文件和一个带有恶意命令的LNK文件,由LNK文件下载后续载荷,后续载荷释放文件密钥和恶意脚本; (2)释放LNK文件,LNK文件下载后续载荷,后续载荷释放诱饵文件和恶意脚本; (3)释放带宏的OFFICE文件,由恶意宏下载后续载荷并执行。 以样本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440为例进行分析。该样本文件名为Ledger_Nano_S&X_Security_Patch_Manual.zip,是一个zip压缩包,文件名中的LedgerNano是一款硬件钱包,用于保护加密资产,S和X是其型号。 该样本伪装成LedgerNano的安全补丁手册,解压后会释放一个伪装成pdf文件的快捷方式文件: 用户双击该快捷方式后,会执行命令: 该命令中,使用cmd静默执行expand程序,将msiexec.exe复制到%appdata%\pat.exe路径下,然后使用pcalua.exe打开pat.exe,从远程服务器上下载msi文件并执行。这个过程中使用了多种逃避木马检测的技术: (1)expand.exe是系统用于解压压缩包的程序,但可以被用来进行文件复制,代替敏感的copy命令; (2)复制并重命名msiexec.exe,以逃避对msiexec.exe的执行检测; (3)pcalua.exe是windows程序兼容性助手,是系统的白名单程序,攻击者使用该程序调用重命名为pat.exe的msiexec.exe,访问远程服务器上的恶意msi文件,从而逃避检测。 获取到的MSI文件运行后,会执行内嵌的脚本: 该脚本为Lazarus典型的一阶段脚本,其功能包括: (1)下载并打开正常的PDF文件从而迷惑受害者; (2)向启动目录释放Edge.lnk文件,完成自启动;lnk文件执行的命令与样本解压后的lnk文件基本相同,也是使用pcalua.exe调用重命名后的msiexec.exe加载远程服务器上的msi文件;该文件的名称和图标都伪装为Edge浏览器,使受害者降低警惕; (3)调用WMI命令获取进程名称列表并进行拼接,然后检查如下进程名称: “kwsprot”:金山毒霸相关进程 “npprot”:Net ProtectorAntiVirus相关进程 “fshoster”:F-Secure相关进程 (4)如果拼接后的进程名称中存在上述字符串之一,则会使用cscript.exe执行后续脚本,否则使npprot用wscript.exe; (5)将选定的脚本执行程序复制到%public%目录下;并且如果进程名称中存在kwsprot或npprot,会将用于执行脚本的程序重命名为icb.exe,以逃避检测; (6)解码base64编码的后续脚本,释放到临时文件夹下,命名为RgdASRgrsF.js (7)使用复制到%public%目录下的脚本执行程序,执行RgdASRgrsF.js RgdASRgrsF.js是Lazarus典型的二阶段脚本,其功能非常简单,生成随机的UID后与服务器通讯,然后循环接受服务器的命令并执行;所执行的命令通常一些收集系统信息的命令: 至此攻击已经完成,
黑
客
可以在用户电脑上获得他所需的文件或密码等敏感信息。通过对Lazarus可以发现,目前其攻击的目标行业包括政府、军队、金融、核工业、化工、医疗、航空航天、娱乐媒体和加密货币,从2017年开始加密货币行业的比重明显增大。 三、洗钱模式分析 目前已明确统计到的Lazarus攻击加密领域的安全事件和损失如下: 超过30亿美元的资金在网络攻击中被Lazarus盗取,据悉,Lazarus
黑
客
组织背后有着朝鲜战略利益的支撑,为朝鲜的核弹、弹道导弹计划提供资金。为此,美国宣布悬赏500万美元,对Lazarus
黑
客
组织进行制裁。美国财政部也已将相关地址添加到OFAC特别指定国民(SDN)名单中,禁止美国个人、实体和相关地址进行交易,以确保国家资助的集团无法兑现这些资金,以此进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,今年 OFAC 也制裁了三名与 Lazarus Group 相关人员,其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员,而第三人 Sim Hyon Sop 提供了其他财务支持。 尽管如此,Lazarus已完成了超10亿美元的资产转移和清洗,他们的洗钱模式分析如下。以Atomic Wallet事件为例,去除
黑
客
设置的技术干扰因素后(大量的假代币转账交易+多地址分账),可以得到
黑
客
的资金转移模式: 图:Atomic Wallet 受害者1资金转移视图 受害者1地址0xb02d...c6072向
黑
客
地址0x3916...6340转移304.36 ETH,通过中间地址0x0159...7b70进行8次分账后,归集至地址0x69ca...5324。此后将归集资金转移至地址0x514c...58f67,目前资金仍在该地址中,地址ETH余额为692.74 ETH(价值127万美元)。 图:Atomic Wallet 受害者2资金转移视图 受害者2地址0x0b45...d662向
黑
客
地址0xf0f7...79b3转移126.6万USDT,
黑
客
将其分成三笔,其中两笔转移至Uniswap,转账总额为126.6万USDT;另一笔向地址0x49ce...80fb进行转移,转移金额为672.71ETH。受害者2向
黑
客
地址0x0d5a...08c2转移2.2万USDT,该
黑
客
通过中间地址0xec13...02d6等进行多次分账,直接或间接将资金归集至地址0x3c2e...94a8。 这种洗钱模式与之前的Ronin Network、Harmony攻击事件中的洗钱模式高度一致,均包含三个步骤: (1)被盗资金整理兑换:发起攻击后整理原始被盗代币,通过dex等方式将多种代币swap成ETH。这是规避资金冻结的常用方式。 (2)被盗资金归集:将整理好的ETH归集到数个一次性钱包地址中。Ronin事件中
黑
客
一共用了9个这样的地址,Harmony使用了14个,Atomic Wallet事件使用了近30个地址。 (3)被盗资金转出:使用归集地址通过Tornado.Cash将钱洗出。这便完成了全部的资金转移过程。 除了具备相同的洗钱步骤,在洗钱的细节上也有高度的一致性: (1)攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在事件发生几天后开始后续洗钱动作。 (2)洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一。 通过分析,我们认为Lazarus的洗钱模式通常如下: (1)多账号分账、小额多笔转移资产,提高追踪难度。 (2)开始制造大量假币交易,提高追踪难度。以Atomic Wallet事件为例,27个中间地址中有23个账户均为假币转移地址,近期在对Stake.com的事件分析中也发现采用类似技术,但之前的Ronin Network、Harmony事件并没有这种干扰技术,说明Lazarus的洗钱技术也在升级。 (3)更多的采用链上方式(如Tonado Cash)进行混币,早期的事件中Lazarus经常使用中心化交易所获得启动资金或进行后续的OTC,但近期越来越少的使用中心化交易所,甚至可以认为是可以的避免使用中心化交易所,这与近期的几起制裁事件应该有关。 About Us SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务,并打造了链上大数据分析和风险预警平台ChainAegis,平台支持无限层级的深度图分析,能有效对抗Web3世界的新型高级持续性盗窃(Advanced Persistent Theft,APT)风险。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE等建立长期合作关系。 官网:https://www.sharkteam.org Twitter:https://twitter.com/sharkteamorg Telegram:https://t.me/sharkteamorg Discord:https://discord.gg/jGH9xXCjDZ 来源:金色财经
lg
...
金色财经
2023-10-13
官方跨链桥交给TxFusion ZKSync的权宜之计还是未解之谜?
go
lg
...
的映射资产,大凡在L2流通的资产,受到
黑
客
攻击也好,Rugpull也好只要能在“
黑
客
”把资产withdraw回主链之前都是受限的流通资产。 Rollup主网合约完全可以通过Update形式阻断L2嫌疑资产流回主网,进而实现对突发异常状况的控制。现在主流layer2都预设了Security Council,背后的多签委员会的主要职责就是在危机时刻决策是否要升级合约来控制嫌疑资产。 但Rollup合约预留的可升级特性,被诟病中心化,一直无法上台面说。Alex在采访时说过即使多签委员会有权限,也只能暂停资产,至于资产的决策交给DAO社区。但这个解释只能听听,因为一旦layer2遭受巨额资产攻击,比如某个合约被凭空增发几个Trillion的资产,要买断Layer2的资产并做DAO治理投票似乎也可行。 还有一方面,Alex发表了文章探讨用最高法院层层治理的机制来管理layer2,但那一提议最终会触动主网的硬分叉可能。impossible,现在的layer2不可能有决定主网分叉与否的权限,这只能停留在设想阶段。 可见Alex对于安全性和去中心化的矛盾焦虑许久。 倘若撤销掉“官方跨链桥”的说法,就会让更多的资产分布于各类第三方跨链桥,就会相应弱化Rollup治理合约管理权限中心化的问题。 这样布局听起来很合理,但也只是权宜之计,毕竟即使是第三方跨链桥,只要流动性控制达到一定规模就会存在中心化隐患。TxFusion到底如何做跨链桥,希望 官方有技术细节有关的披露。比如,未来TxFusion的Portal和Bridge出现类似的安全危机,zkSync会如何应对?这个问题现在得不到答案,静观其变。 来源:金色财经
lg
...
金色财经
2023-10-13
金色观察 | 庄家盘踞、山寨乱舞 Upbit繁华场或因现金流萎缩造就
go
lg
...
it甘愿众人声讨的骂名呢? 三、亏损、
黑
客
、准备金,现金流日渐吃紧 当前,Upbit是韩国交易量最大的加密交易平台,成立于2017年。该交易所可提供189种货币和300种交易配对的交易服务,用户可在该平台上以韩元 (KRW) 交易多种加密货币与比特币对。 Song Chi-Hyung 是 Dunamu 的首席执行官和Upbit的创始人,通过其控股公司 Danamu,Upbit 获得网络巨头 Kakao 的投资,并于 2017 年 10 月与美国的 Bittrex 合作。当年12月,该平台日均交易量达到了45亿美元,单日的最高纪录为110亿美元。 该公司总部设在韩国首尔。然而,该公司于2018年底开始向东南亚扩张,10月30日在新加坡开设了一家分公司。随后的地点还包括印度尼西亚和泰国,但不服务美国境内用户。 就是这样一家实力不凡、背景强大的韩国顶级交易所,依然在漫长的深熊加密市场下陷入现金流吃紧的困境,最终导致其被投资者猜疑攻讦。结合多方面资料来看,其主要原因如下: 1、业绩亏损 韩联社报道,8 月 25 日,Upbit 运营商 Dunamu 今年第二季度(4 月至 6 月)净利润达 1080 亿韩元(约合 8160 万美元),但相比去年同期净亏损 378 亿韩元。 此外,该公司销售额为 1866 亿韩元,同比减少 47.9%;营业利润为 866 亿韩元,同比减少 68.9%。 对此,Dunamu解释说,“由于全球流动性下降和经济长期衰退,投资情绪减弱,销售额下降”。 此外,由于Upbit 的交易费用在诸多同类交易所当中属于最低一档,仅为0.05%。因此当其开始在今年7月份到达阶段性高点下跌,即交易量从58亿美元跌至8月底的4亿美元附近,跌幅约为93%。 这也就意味着Upbit的营收在手续费一项上缩水也约为93%。 反观其他加密交易平台的手续费等级和费率为: Bithumb的交易手续费为0.15%,该费率适用于所有交易品种 币安手续费:挂单0.1%,吃单0.1%;火币手续费:挂单0.2%,吃单0.2%; 欧易挂单收取的是手续费率是0.08%,吃单收取的手续费率是0.1%。 2、
黑
客
攻击 10 月 9 日,Upbit 运营商 Dunamu 公开的数据显示,Upbit 今年上半年已遭遇159661 次
黑
客
攻击,是去年的 2.17 倍。Upbit 2019 年因
黑
客
攻击损失约 580 亿韩元(约为3700万美元),Dunamu 表示此后已将冷钱包比例控制在 70% 以上。 而就在9月25日,有诈骗者创造的假APT代币被识别为真实 APT 代币流进Upbit,事件造成平台10万个账户受到影响,导致平台不得不将AP暂停提币。 3、准备金 对于一家从事金融交易的商业机构来说,准备金的配比自然不会占据企业资金比。但是基于上述情形来看,韩国银行对于加密企业预留准备金的需求,也让Upbit在现金流上更加少了一些流动性。 今年 7 月,韩国银行联合会发布了《虚拟资产实名账户操作指南》,要求加密货币交易所在其合作银行预留日均存款的 30% 或 30 亿韩元(以金额较大者为准)作为准备金。最高限额为 200 亿韩元,如果日均存款的 30% 超过 200 亿韩元,最多只能预留 200 亿韩元作为准备金。 根据金融监督院代表Kim Hee-gon办公室提交的数据,Upbit与K-Bank合作,准备了总计200亿韩元的储备金,约为1500万美元,这无疑也是一笔不小的支出。 由于Upbit上的操盘行为实在有些明显,一些投资者在感知到这一情况后选择跟单交易,甚至有人列出了如何“与庄共舞”变现的方法。 首先是在消息面上,随时盯紧Upbit相关币种的动态新闻,如加仓、上币等。 其次是参照CoinMarketCap一类的链上数据平台,及时刷新查看upbit交易所交易量排名。 尾声 作为一家类似传统券商的证券交易服务商,理应保持公平公正、维护投资者的利益的职业道德原则。但由于当地政府监管层面的宽松、法律法规上的滞后,再加上加密市场本身的抗审查性,身为CEX更容易在遇到财务压力困境时将触手伸向市场投资者从中取利。 不过无论如何,漫长的熊市之下如果再有一家头部交易所因流动性不足而暴雷,那么对于加密市场的打击无疑更是雪上加霜,但交易所也应洁身自好、适合而止。 来源:金色财经
lg
...
金色财经
2023-10-13
为什么莱特币、Solana 和 Tradecurve 市场被选为 2023 年 10 月最佳加密货币
go
lg
...
资者,特别是在宣布Hyperdrive
黑
客
马拉松的提交门户上线后。分析师认为,Solana的生态系统可能会显著增长。Solana加密货币的价格在过去30天内上涨了20.8%。根据Solana的价格预测,到2023年底,它可能会增长到29.22美元。 Tradecurve Markets (TCRV): Tradecurve Markets是一个即将推出的加密货币交易所,它将融合CEX和DEX的元素,提供无缝的交易体验。分析师对该交易所表示乐观,并指出他们将引入储备证明(PoR)以提高透明度。在预售的第6阶段,TCRV的交易价格为0.03美元。分析师预计该加密货币的价值可能会在推出时飙升50倍。 这些加密货币的前景看起来非常有希望,但投资者应该谨慎,并充分了解市场风险,做出明智的决策。 来源:金色财经
lg
...
金色财经
2023-10-13
zkSync为何将跨链桥交给名不见经传的TxFusion?
go
lg
...
的映射资产,大凡在L2流通的资产,受到
黑
客
攻击也好,Rugpull也好只要能在“
黑
客
”把资产withdraw回主链之前都是受限的流通资产。 Rollup主网合约完全可以通过Update形式阻断L2嫌疑资产流回主网,进而实现对突发异常状况的控制。现在主流layer2都预设了Security Council,背后的多签委员会的主要职责就是在危机时刻决策是否要升级合约来控制嫌疑资产。 但Rollup合约预留的可升级特性,被诟病中心化,一直无法上台面说。Alex在采访时说过即使多签委员会有权限,也只能暂停资产,至于资产的决策交给DAO社区。但这个解释只能听听,因为一旦layer2遭受巨额资产攻击,比如某个合约被凭空增发几个Trillion的资产,要买断Layer2的资产并做DAO治理投票似乎也可行。 还有一方面,Alex发表了文章探讨用最高法院层层治理的机制来管理layer2,但那一提议最终会触动主网的硬分叉可能。impossible,现在的layer2不可能有决定主网分叉与否的权限,这只能停留在设想阶段。 可见Alex对于安全性和去中心化的矛盾焦虑许久。 倘若撤销掉“官方跨链桥”的说法,就会让更多的资产分布于各类第三方跨链桥,就会相应弱化Rollup治理合约管理权限中心化的问题。 这样布局听起来很合理,但也只是权宜之计,毕竟即使是第三方跨链桥,只要流动性控制达到一定规模就会存在中心化隐患。TxFusion到底如何做跨链桥,希望官方有技术细节有关的披露。比如,未来TxFusion的Portal和Bridge出现类似的安全危机,zkSync会如何应对?这个问题现在得不到答案,静观其变。 来源:金色财经
lg
...
金色财经
2023-10-13
Fairyproof:2023年第三季度区块链生态安全报告
go
lg
...
闪电贷(FLASHLOAN) 闪电贷是
黑
客
在攻击以太坊虚拟机平台上智能合约的一种常见和流行的方式。闪电贷是知名 DeFi 应用 AAVE[1]团队发明的一种合约调用方式。这种合约调用让用户无需任何抵押物便可以直接从支持这种功能的 DeFi 应用中借出加密资产,只要用户在一个区块交易内归还该资产即可使该交易有效[2]。起初这个功能的发明是为了给 DeFi 用户更灵活、便利的手段进行各项链上的金融活动。但后来,闪电贷因其灵活性高使得其使用得最多的场景变成了
黑
客
借出 ERC-20[3]代币然后用其进行攻击。在发起一笔闪电贷之前,用户需要将借出(资产)和归还(资产、利息及相关手续费)的逻辑清晰地在一个合约中描述,然后调用该合约发起闪电贷。 跨链桥(CROSS-CHAIN BRIDGE) 跨链桥是连结多个独立区块链的一种基础设施,它让部署于不同区块链的代币在各个区块链之间相互流通。 随着越来越多区块链有了自己的生态、应用和加密资产,这些应用和资产对跨区块链通信和交易的需求显著增长。这也使得跨链桥成为
黑
客
眼中热门的攻击对象。 报告重点 Fairyproof 详细研究了 2023 年第三季度发生的 198 起典型安全事件,在本报告中对这些事件造成的损失金额、成因等各种要素进行了统计分析,并给出了相应的防范建议和措施。 2023年第三季安全事件的统计及分析 Fairyproof 研究团队详细研究了 2023 年第三季度较为突出的 198 起安全事件,从遭受攻击的目标和造成攻击的根源两方面列举了统计结果并对其进行了分析研究。 这 198 起安全事件造成的加密资产损失总额达 5.72 亿美元,Tradingview 显示的主流加密资产总值达 10560 亿美元。损失资产占总市值的比例为 0.05%。 基于受害对象划分的安全事故 Fairyproof 研究的安全事件按其受害对象分可以分为以下四类: 1. 中心化加密资产或区块链服务机构(CCBS,下文所指 CCBS 即为此概念) 2. 区块链(Blockchains) 3. 去中心化应用(dApps) 4. 跨链桥(Cross-chain Bridges) 本报告所指的 CCBS 安全事件是指受到攻击或损害的对象是 CCBS 系统。在这些事件中,CCBS 所保管的资产被盗或运作的服务被迫中断。区块链安全事件是指区块链主网、侧链或依附区块链主网的第二层扩展系统受到攻击或损害。通常在这些事件中,
黑
客
从系统内、系统外或者两方面都发起攻击,导致系统软件或硬件失常,资产损失。 dApp 安全事件是指 dApp 受到攻击而无法正常工作,从而使
黑
客
有机会盗取 dApp 中管理的加密资产。 跨链桥安全事件是指跨链桥受到攻击,导致其无法正常工作,甚至导致其经手交易的加密资产被盗。 Fairyproof 对总共 198 起事件按上述四类进行了划分,其比例分布图如下所示: 由图中可知,dApp 安全事件的数量占总数的 86.87%,超过其它任何类别。其中 198 起为 dApp 安全事件,4 起为 CCBS 安全事件,14 起为区块链安全事件,4 起为跨链桥安全事件,172 起为 dApp 安全事件。 区块链安全事件 涉及区块链的安全事件可以进一步细分为以下三类: i. 区块链主网(Blockchain mainnets) ii. 侧链(Side chains) iii. 第二层扩展系统(Layer 2 solutions) 区块链主网也被称为 Layer 1,它是独立的区块链,有自己的网络、协议、共识和验证者。区块链主网可以验证交易、数据和区块,所有这些验证工作都由自己的验证者完成并最终取得一致性。比特币和以太坊就是典型的区块链主网。 侧链是与区块链主网并行运作的一条单独的区块链。它也有自己的共识和验证者,但是它会以某种方式(如双向锚定[4])和区块链主网连结,第二层扩展系统是依赖于区块链主网的系统,它需要区块链主网提供安全和最终一致性[5]。它主要为了解决区块链主网的可扩展性,能以更低的费用、更低的价格处理交易。自从 2021 年以来,依附于以太坊的第二层扩展系统有了飞速地发展。 侧链和第二层扩展系统都是为了解决区块链主网的可扩展性。两者主要的区别在于,侧链不依赖区块链主网提供安全性和一致性,但第二层扩展系统却需要。 2023 年第三季度总共有 14 起与区块链有关的安全事件。下图展示了区块链主网、侧链和第二层扩展系统各所占的比例。 由上图可知,区块链主网相关的安全事件和第二层扩展系统相关的安全事件的数量占总数的比例分别为 92.86% (13 起)和 7.14% (1 起)。没有典型的侧链安全事件。第二层扩展系统安全事件涉及的系统有 Metis[6],区块链主网安全事件涉及的主网有 Mixin[7]、 Quai Network[8]、Swisstronik[9]、SwapDex Blockchain[10]、Aptos[11]等。 DAPP安全事件 在 172 起涉及 dApps 的安全事件中,有 16 起是跑路,1 起被连累,155 起直接被攻击。直接对 dApp 的攻击通常会涉及三个方面: Dapp 的前端、后台和智能合约。因此,我们将 155 起直接被攻击的事件分为下列三类: i. dApp 前端 ii. dApp 后台 iii. dApp 合约 在 dApp 前端受攻击的事件中,
黑
客
主要通过前端漏洞发起攻击,盗取资产或瘫痪其服务。 在 dApp 后台受攻击的事件中,
黑
客
主要通过后台漏洞发起攻击,比如劫持后台和合约的通信,劫持资产或瘫痪服务。 在 dApp 合约受攻击的事件中,
黑
客
主要通过合约漏洞发起攻击,盗取资产或瘫痪其服务。下图展示了这三个类别受攻击事件的比例: 由上图所示,合约、后台和前端受攻击的事件比例分别为 19.35%、0%和 80.65%。在总共 155 起事件中,125 起为前端受攻击, 30 起为合约受攻击。 我们进一步研究了各类事件所造成的加密资产损失金额。其中合约受攻击导致的损失和前端受攻击所导致的损失分别为 2.1 亿美元和 3980 万美元,两者所占总损失金额的比分别为 84.03%和 15.97%,如下图所示: 在众多合约漏洞中,逻辑缺陷、私钥泄露、闪电贷攻击、重入攻击为典型的漏洞。 我们研究了 30 起涉及合约直接受到攻击的安全事件,得到下列比例图: 上图所示,逻辑缺陷导致合约安全事件占比最高。逻辑缺陷中通常包括缺少参数验证、缺少权限验证等。逻辑缺陷导致的安全事件数为 13 起。 下图展示了各个漏洞造成的损失金额比: 私钥泄露造成的损失金额占比最高。4 起私钥泄露事件总共造成了 1.73 亿美元的损失,占损失总金额的 82.56%。 基于成因划分的安全事故 基于造成区块链安全事故的成因,我们将事故分为三类: i. 由
黑
客
攻击所致 ii. 跑路 iii. 其它 我们的研究结果如下图所示: 由上图所示,
黑
客
攻击和跑路导致的安全事故分别占比为 91.92%(182 起)和 8.08%(16 起)。 我们研究了这些成因所造成的损失,如下图所示: 由上图所示,
黑
客
攻击和跑路导致的损失金额分别占比 94.69%和 5.31%,前者导致了 5.41 亿美元的损失,后者导致了 3035 万美元的损失。这表明 2023 年第三季度,
黑
客
攻击仍然是行业安全面临的主要威胁。
黑
客
攻击事件我们研究了
黑
客
攻击事件,如下图所示: 由上图所示,
黑
客
攻击 dApp、区块链、CCBS 和跨链桥的事件占比分别为 87.64%(156 起)、7.87%(14)、2.25%(4 起)和 2.25%(4)。 我们研究了各类事件所导致的损失金额,如下图所示:
黑
客
对区块链、dApp、跨链桥和 CCBS 攻击所导致的资产损失占比分别为 36.97%、46.25%、0.79%和 15.99%,具体的损失金额分别为 2 亿美元、2.5 亿美元、8650 万美元和 430 万美元。其它安全事件没有导致明显的损失金额。 跑路事件 2023 年第三季度发生的典型跑路事件都是 dApp 项目。总共 16 起跑路事件造成的损失金额达 3035 万美元。这个损失金额相比
黑
客
攻击造成的损失金额规模要小得多。 研究发现 从我们的统计数据来看,2023 年第三季度,
黑
客
最偏爱攻击的目标仍然是 dApp 项目,对 dApp 的攻击事件远超其它任何对象,攻击数占总数的 87.64%,损失金额占总损失金额的 46.25%。在所有的攻击事件中,最严重的是对 Multichain[12]的攻击。 对整个区块链生态来说,
黑
客
仍然是最大的安全威胁,无论从其造成的安全事件数量还是从其造成的资产损失来看都是如此,由
黑
客
攻击造成的安全事件数量占整个安全事件数量的比例超过 91.92%,远超跑路事件对生态造成的威胁。 一个典型的 dApp 包括三部分:前端、后台和智能合约。当
黑
客
攻击一个 dApp 时,会攻击其中一部分或同时攻击多个部分。根据我们的统计数据,对 dApp 前端的攻击在数量上远超对合约的攻击,但对智能合约的攻击所造成的损失金额则远超对前端的攻击。 这表明智能合约隐患仍然是 dApp 安全最大的隐患。 2023 年第三季度典型的跑路事件都发生在 dApp 项目上。 在智能合约受到
黑
客
攻击的事件中,下列三个类别的原因所引发的攻击事件数量排名前三:第一位:逻辑缺陷第二位:闪电贷 但是按照损失金额来看,私钥泄露所引发的攻击造成的资产损失金额高居榜首,远超其它类别。 防范安全事故的实践方案和措施 本节,我们将根据 2023 年第三季度所发生的安全事故的特点总结一些帮助区块链开发者和用户管理及防范区块链风险的方案和措施。我们建议无论是区块链开发者还是用户都积极地在平时的操作和工作中尽可能落实和实践这些方案及措施,最大限度保护项目安全和加密资产安全。 注:“区块链开发者”既指区块链项目本身的开发工程师,也指和区块链系统相关或其延申系统(如加密资产等)的开发者。“区块链用户”是指所有参与到区块链系统活动(比如管理、运作、维护等)或加密资产交易等的用户。 对区块链开发者 尽管在第三季度中,没有典型涉及第二层扩展系统的安全事件,但第二层扩展系统的安全依旧值得重视。因为接下来第二层扩展方案的发展和落地将会持续是整个生态的热点和重点,对其方案安全性的研究将是业界面临的重大挑战。 在区块链应用中,当项目部署并稳定运行一段时间后,将项目中掌控关键操作的权限转移到多签钱包或者 DAO 组织来进行管理是非常有必要的步骤。 当
黑
客
发现智能合约的漏洞时,往往会借助闪电贷对合约进行攻击。这些可能被利用的漏洞通常包括重入漏洞、逻辑缺陷(比如缺乏权限验证、错误的价格算法)等。严谨防范和处理这些漏洞对智能合约开发者而言时刻需要引起高度重视,甚至需要排在重要性的首位。 我们的统计数据还显示越来越多的
黑
客
会通过社交媒体软件(如 Discord、Twitter 等)发起钓鱼攻击。这个现象贯穿了整个 2022 年并持续到 2023 年第三季度。不少用户在其中遭受了损失。项目方需要对其运作的社交媒体实施严格、周全的管理,部署相应的安全方案保证其社交媒体运作的安全和稳定,防范被
黑
客
利用。 区块链用户 越来越多用户开始参与各类区块链生态的活动,并持有各类区块链生态的资产。在这个过程中,跨链交易活动也再迅猛增长。当用户参与跨链交易时,用户需要和跨链桥进行交互,而跨链桥却是
黑
客
经常关注的攻击目标。因此当用户在发起跨链交易前,需要详细调查和了解其所使用的跨链桥的安全状况和运营状况,确保跨链桥的安全、稳定、可靠。 当用户和 dApp 进行交互时,必须高度关注其智能合约的质量和安全,同时也需要关注 dApp 前端的安全。对前端显现的一些不明来历、高度存疑的信息、提示、对话等要小心处理,不要随意点击或跟随其指引进行操作。 我们强烈建议用户在和任何区块链项目交互前或投资区块链项目前,要仔细检查并阅读该项目的审计报告。对没有审计报告或报告可疑的项目,要谨慎参与。 我们建议用户尽量使用冷钱包或多签钱包管理大额资产或不用于频繁交易的资产。时刻小心热钱包的运作安全,并确保安装热钱包的硬件平台本身是安全、可靠和稳定的。 用户需要对区块链项目的团队背景进行一定程度的调查和了解。对团队背景模糊、信用缺失的团队要小心。对这类项目要小心其可能发生的跑路风险。对使用较为频繁的中心化交易所,用户更要关注其背景和信用,尽可能从多个第三方数据源查证这些交易所的背景、信息、数据,确保交易所能够长久持续的安全运作。 参考资料 [1] Aave. https://aave.com/ [2] Flash-loans.. https://aave.com/flash-loans/ [3] ERC-20 TOKEN STANDARD. https://ethereum.org/en/developers/docs/standards/tokens/erc-20/ [4] Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/ [5] Layer-2. https://academy.binance.com/en/glossary/layer-2 [6] Metis. https://www.metis.io/ [7] Mixin. https://mixin.one/ [8] Quai Network. https://qu.ai/ [9] Swisstronik. https://www.swisstronik.com/ [10] SwapDex Blockchain. https://swapdex.network/ [11] Aptos. https://aptoslabs.com/ [12] Multichain. https://multichain.xyz/ 来源:金色财经
lg
...
金色财经
2023-10-13
上一页
1
•••
155
156
157
158
159
•••
360
下一页
24小时热点
罕见信号!传奇交易员:特朗普上台将导致美元“贬值” 比特币明年底上看25万
lg
...
当众吃掉一根620万美元的香蕉是什么感觉?只有这位币圈大佬知道……
lg
...
【黄金收评】美元走弱和俄乌风险上升,推动金价上涨
lg
...
巧合还是会面?特鲁多专机抵达海湖庄园附近,引发美加贸易谈判猜测
lg
...
加拿大呼吁北美自由贸易伙伴在对华政策上保持完全一致
lg
...
最新话题
更多
#SFFE2030--FX168“可持续发展金融企业”评选#
lg
...
14讨论
#链上风云#
lg
...
47讨论
#美国大选#
lg
...
1331讨论
#VIP会员尊享#
lg
...
1525讨论
#比特币最新消息#
lg
...
636讨论
北美站
