FX168财经网_全球视野外汇黄金加密货币NFT资讯网

前Facebook和Nike多元化经理诈骗500万美元被判入狱5年

les）在去年12月的案件中承认了电信诈骗罪，她“利用涉及欺诈性供应商、假发票和现金回扣的计划”，从Facebook窃取了超过490万美元。布坎南说：“在被Facebook解雇后，她作为耐克的DEI负责人肆无忌惮地继续欺诈，在那里她从他们的多元化计划中窃取了另一笔六位数的款项。据布坎南办公室称，38岁的斯迈尔斯将她偷来的钱“用于其在加利福尼亚州，佐治亚州和俄勒冈州的奢侈生活方式”，该办公室要求法官判处她6年半徒刑。斯迈尔斯曾担任Meta子公司Facebook的首席策略师兼员工资源小组和多元化参与全球负责人。她不是Facebook在多元化、公平和包容性方面的最高执行官。检察官说，在Facebook期间，她将PayPal，Venmo和Cash App帐户与她的Facebook信用卡相关联，然后使用这些帐户向她的朋友，亲戚和其他人支付该公司从未交付的所谓商品和服务。

金融界2024-05-18

反洗钱法大修 Web3创业者该如何应对？（三）

为模式，从而有效预防并应对潜在的洗钱、诈骗、赌博等非法活动。一旦发现这些潜在风险，交易所可以迅速采取相应措施，如发出警告、暂时冻结资金或向相关机构上报等，以确保交易的合规性和安全性。例如DeFi项目方在进行投资、借贷业务时，可以通过KYT评估资产的真实性、资产的价值及流动性。防止资产被任何形式的篡改、伪造或不当操纵，从而保障投资者的合法权益与对市场的信任。再例如Web3钱包项目方，在致力于为客户打造更加流畅的跨链转账服务体验的同时，却也面临着跨链转账中资金可能遭遇安全隐患的风险，如资产丢失或被恶意劫持。KYT技术可以全程监控跨链转账的每一个环节，每笔转账交易的历史记录和状态也可以被追溯。 04 内控体系的建设平台需要对员工进行定期的合规培训，让员工了解洗钱活动的危害和识别方法，从而增强员工的反洗钱合规意识，并鼓励员工积极报告可疑活动和参与反洗钱工作。平台内部也要建立健全的内部控制体系，确保反洗钱政策和措施得到有效执行。另外，定期进行合规性审计，可以及时评估平台反洗钱工作的有效性和合规性。 05 大额交易和可疑交易报告制度 Web3平台或项目在KYC、KYT及相关尽职调查的基础上，为了更有效地应对潜在的风险，还要加强技术措施，强化其监测和分析异常交易的能力。针对那些金额超过预设阈值或显示异常特征的交易，进行深入的可疑交易分析，必要时，向反洗钱监管部门进行汇报并配合有关部门进行洗钱犯罪活动的调查与处置。 06 遵守当地的政策法规虚拟货币虽然具有去中心化的特征以及跨国交易的便利性，但Web3平台所服务的用户有自己所属的国家。所以，若Web3平台对某地区的用户提供服务，那么熟悉了解并遵守当地的法律法规、监管政策是十分必要的。例如，对于用户的赌资收入，平台能否提供虚拟货币的兑换服务？这不仅要了解当地有关赌博的法律规定（例如，菲律宾当地有持牌的合法博彩平台，但当地也有不少不法经营的博彩公司），同时也要了解菲律宾当地对于虚拟币交易有无相关政策及法规。 07 与反洗钱监管机构保持密切联系 Web3平台需要与所服务地区的监管部门保持良好的沟通与合作，以便了解最新的洗钱趋势和法规要求、当地政府对平台经营及虚拟币交易的态度，并获取必要的支持和指导。例如，2023年11月21日，币安CEO赵长鹏与美国司法部签署了认罪协议。认罪协议提到，作为一家在美国开展业务的货币服务业（MSB）机构，币安却没有申领美国财政部金融犯罪执法网络（FinCEN）的MSB牌照。美国司法部认为：身为币安CEO和日常管理者，赵长鹏在相当长时间“故意（willfully）”不进行有效的交易监控，纵容币安不实施有效的客户识别（KYC）和反洗钱（AML）措施。正因为如此，币安没能有效限制美国用户同被美国制裁地区用户进行交易，比如同伊朗、古巴等地用户交易，币安从中赚取了巨额费用。 08 寻求专业机构的指导与帮助，以提高平台的反洗钱能力 Web3平台可以与专业的区块链安全公司、链上分析公司等第三方技术公司合作，对于交易平台、钱包、智能合约、链上资金安全等进行审计，对于黑客攻击进行技术上的预防和拦截，避免平台成为链上洗钱的工具。 Web3平台可以与律师事务所、咨询顾问等第三方企业服务公司合作，帮助平台熟悉了解当地法规政策，明确在当地开展业务的负面清单；对平台业务进行梳理，与监管部门保持顺畅沟通并搭建符合当地监管要求的反洗钱合规内控体系，建立合规文化；同时，在日常经营过程中，帮助业务人员准确评估业务风险，有效识别风险客户及高危业务，规避平台在经营过程中因反洗钱风险引发的潜在法律责任、造成经济或者声誉损失以及其他负面影响的可能性。结语 Web3以其区块链技术为基石，凭借去中心化、隐私保护等特性，其热潮正在席卷全球，吸引了大批创业者和用户的不断参与，其应用场景也在迅速的扩展与丰富。据统计显示，全球范围内已有超过10万个去中心化应用程序使用了Web3技术。业界预测，到2025年，Web3可能成为全球数字经济的核心。然而，随着这一市场的日益扩大，也吸引了不法分子的涌入，导致诈骗、洗钱等传统犯罪开始渗透至Web3领域，为行业带来了不容忽视的安全隐患，交易所、数字钱包、跨链桥技术、DeFi、NFT、混币器等都可以作为不法分子洗钱的工具。另外，鉴于Web3行业的服务对象遍布全球，且现实中不同国家乃至同一国家内各地对于Web3、区块链及虚拟货币交易的认知与理解也呈现多样性，且各国的刑事司法或多或少的带有“长臂管辖”特征，这使得Web3领域的创业者面临一项至关重要的任务：即持续跟踪并更新他们服务区域的相关最新监管政策，以确保业务运营的合规性和适应性。总之，Web3领域面临的反洗钱合规挑战依然严峻，无论是国内外的的Web3创业者，都面临着强势的监管红线、宽泛的司法管辖规定、防不胜防的法律风险以及难以预测的黑天鹅事件。除了从业人员以外，wen3行业合规还需要法律、技术、政策等各方位的共同努力，只有各方携手并进，才能共同推动wen3行业的健康、合规、持续发展。 [1]通付盾Web3专题 | KYT/AML：Web3合规展业的必要条件https://mp.weixin.qq.com/s/PV7spVqYzvZQGjV-i8pz2A 来源：金色财经

金色财经2024-05-17

比特币暴涨超7%,近6万人合约爆仓,投资者血本无归

用三个网站和两个脸书页面来进行加密货币诈骗。芝商所或计划推出比特币现货交易当地时间5月15日晚间，英国金融时报报道称，全球最大期货交易所美国芝加哥商品交易所集团（下称“芝商所”）正计划推出比特币现货交易。据透露，芝商所一直在与想要在受监管市场上买卖加密货币的交易员进行讨论。这或将标志着继美国证券交易委员会(SEC)今年1月批准比特币现货ETF之后，华尔街的主要金融机构进一步进军数字资产领域。不过，该计划尚未最终敲定。官网介绍称，芝商所作为全球最多元化的衍生工具市场龙头，芝商所每年平均经手30亿份合约，价值约1千兆美元。公司旗下交易所CME、CBOT、NYMEX和COMEX提供涵盖所有主要资产类别的范围最广的全球基准产品，包括基于利率、股票指数、外汇、能源、农产品、金属、天气和房地产的期货和期权。除了上述消息外，美国4月CPI和核心CPI同比增速放缓，重燃降息预期，美元下跌助推比特币等资产进一步走高。美国劳工部劳工统计局周三公布的数据显示，4月份CPI环比上涨0.3%，这略低于道琼斯预测的0.4%，CPI仍较上年同期上涨3.4%，比较3月的3.5%，有所下降。这意味着通胀有所降温。 21Shares分析师Leena ElDeeb表示，随着美国核心CPI六个月来首次降温，可能会看到投资者对加密货币等风险资产的兴趣复苏，促使更多资金流入比特币现货ETF，而过去一周比特币现货ETF尤其平静。奥本海默分析师Owen Lau表示，CPI数据略低于预期，略微增加了降息的可能性，这仍然是比特币价格的一个重要影响因素。风险提示：投资有风险，理财需谨慎。请勿拿养老钱或者借款参与任何投资理财项目。来源：金色财经

金色财经2024-05-17

25岁加拿大加密货币之王涉欺诈被捕非法获取4000万加元花费150万买乐高

25岁的Pleterski缉捕，他被控诈骗超过5,000元及洗黑钱等罪名，同时落网的还有27岁同谋Colin Murphy。当地警方自2022年7月开始接到大量有关一宗涉及投资欺诈的投诉，逐展开了长达16个月的调查，并发现约有160名投资者在2021至2022年间向Pleterski及其公司AP Private Equity Limited提供了约4000万，以代为投资投资加密货币和外汇市场，部份投资人的资金更来自借贷。此前已有逾百名受害者透过民事诉讼强迫Pleterski宣告破产，惟在破产程序中仅追回约300万，包括Pleterski名下的2辆麦拉伦、2辆BMW和1辆蓝宝坚尼豪车已被扣押。根据破产案件的受托人调查所得，Pletersk从受害人身上获得了4000万，却只用了2%资金约80万投资，但花了1,600万购买名车、乘坐私人飞机度假、并以每月4.5万元承租湖滨豪宅、甚至曾表示自己花了15万购买乐高积木。而在其破产程序中Pletersk依然毫无悔意，称自己只是“20多岁的孩子”，并说自己没有组织，也无保留自己的财务或付款记录。招惹众怒的Pletersk早在2022年曾遭到骗局受害人绑架并被关押三天，期间遭到殴打及折磨，他曾联络房东索讨绑匪要求的300万，惟房东因无能为力而拒绝。 Pletersk获释后，社群媒体疯传一段他向投资人道歉影片，片段中的他遍体鳞伤，后来四名绑架嫌犯已遭逮捕。 Pletersk目前已缴交了约13万保证金保释，保释期间他需遵守一系列的条件，包括不得离开安大略省并须交出护照、不得联络同伙和投资者、不发布任何涉及金融事务的社群媒体贴文、不能购买或交易加密货币，并不能持有金融卡。 Sponge V2功能更齐全且具增长潜力有分析指加密货币市场可能进入山寨季，不少投资人正寻求下个投资机会。 2023年曾创下100倍增长的模因币Sponge，其惊人成绩使不少投资人慨叹错失机会，而现在Sponge V2推出，并在其生态系统中引入了Play-to-Earn (P2E) 实用程序，功能更齐全且具增长潜力。立即进入SpongeV2预售 Sponge V2 并非典型的预售，要获取这个新代币，可通过Sponge.vip 网站质押Sponge V1，或透过同一网站的购买小部件购买并质押Sponge V1，所质押的V1 代币越多，质押时间越长，可获得的V2 代币就越多，一旦Sponge V1 的剩余供应耗尽，Sponge V2 将可认领。所有发送到 V2 质押池的 V1 代币将保留等量的 V2 代币，并根据可变年百分比收益率（APY）赚取 V2 代币。立即进入SpongeV2预售

Business2Community2024-05-17

美国逮捕2名中国公民提审，究竟怎么回事？

指控2名中国公民涉嫌通过与加密货币投资诈骗有关的空壳公司洗黑钱，金额至少7300万美元，已被逮捕并提审。 41岁的Daren Li拥有中国和圣基茨和尼维斯双重国籍，居住在中国、柬埔寨和阿拉伯联合酋长国，他在4月12日现身亚特兰大哈茨菲尔德-杰克逊国际机场被捕，随后被送往中区加利福尼亚州。 38岁中国公民Yicheng Zhang，属于天普市居民，已在洛杉矶被捕并被提审。 (来源:DOJ) 他们均被指控共谋洗黑钱和6项国际洗黑钱实质性罪名。如果罪名成立，被告每项罪名最高可判处20年监禁。 Zhang对指控表示不认罪，审判日期定于7月9日进行。他仍被联邦拘留，定于5月21日举行拘留听证会。Li则被联邦地方法官下令监禁，不得保释，定于5月20日受审。美国检察官马丁·埃斯特拉达(Martin Estrada)表示：“此类复杂的金融诈骗对所有美国人的财务福祉构成了危险的威胁。虽然我的办公室将继续铲除和惩罚这些欺骗性计划，但我鼓励每个人都进行有关生猪屠宰和其他类型的金融欺诈的教育，以保护他们的家人免受此类掠夺性活动的侵害。保持警惕是关键。” 根据法庭文件，Zhang、Li和其他同谋者涉嫌管理一个国际集团，该集团对加密货币投资诈骗的收益进行洗黑钱，也称为“杀猪盘”。正在调查的计划的受害者被欺骗性地诱导将数百万美元转移到以数十家空壳公司名义开设的美国银行账户，这些空壳公司的唯一明显目的是促进欺诈收益的洗黑钱。然后，洗黑钱者网络以隐藏资金来源、性质、所有权和控制权的方式，将这些资金转移到其他国内和国际银行账户和加密货币平台。该欺诈计划涉及通过美国金融机构将超过7300万美元洗黑钱至巴哈马的银行账户，并转换为USDT美元稳定币。参与该计划的一个加密货币钱包收到了超过3.41亿美元的虚拟资产。据称，Zhang和Li指示洗黑钱网络中的同谋以多个空壳公司的名义开设银行账户。受害者将资金汇入空壳公司后，他们就监控了下级同谋，将资金转移到海外巴哈马Deltec银行的银行账户。 Deltec银行的一个账户是在Li的经济资助下运营的。据称，这些资金随后被转换为加密货币并发送到虚拟资产钱包，其中至少有一个由Li控制。据悉，Zhang还直接收到了受害人的资金。通讯显示，为促进国际洗黑钱活动进行了广泛的协调，包括讨论该网络的佣金结构、使用的各种空壳公司、受害者信息，以及至少一段来自共谋者致电美国金融机构的视频。美国特勤局助理调查主任布莱恩·兰伯特(Brian Lambert)表示：“杀猪盘等复杂的金融欺诈计划对美国的金融基础设施构成了明显而现实的威胁，无数美国人继续成为这种掠夺性活动的受害者。” “2023年，特勤局与我们的合作伙伴追回了超过11亿美元的金融欺诈案件，今年我们有望超过这一数字。特别感谢特工、支持团队和我们的检察合作伙伴在将此案绳之以法方面所做的出色工作。” 需要强调的是，起诉书只是一项指控，所有被告均被假定无罪，直至在法庭上毫无合理怀疑地被证明有罪。美国特勤局全球调查行动中心正在调查此案。

颜辞2024-05-17

比特币暴涨超7% 近6万人合约爆仓投资者血本无归

用三个网站和两个脸书页面来进行加密货币诈骗。芝商所或计划推出比特币现货交易当地时间5月15日晚间，英国金融时报报道称，全球最大期货交易所美国芝加哥商品交易所集团（下称“芝商所”）正计划推出比特币现货交易。据透露，芝商所一直在与想要在受监管市场上买卖加密货币的交易员进行讨论。这或将标志着继美国证券交易委员会(SEC)今年1月批准比特币现货ETF之后，华尔街的主要金融机构进一步进军数字资产领域。不过，该计划尚未最终敲定。官网介绍称，芝商所作为全球最多元化的衍生工具市场龙头，芝商所每年平均经手30亿份合约，价值约1千兆美元。公司旗下交易所CME、CBOT、NYMEX和COMEX提供涵盖所有主要资产类别的范围最广的全球基准产品，包括基于利率、股票指数、外汇、能源、农产品、金属、天气和房地产的期货和期权。除了上述消息外，美国4月CPI和核心CPI同比增速放缓，重燃降息预期，美元下跌助推比特币等资产进一步走高。美国劳工部劳工统计局周三公布的数据显示，4月份CPI环比上涨0.3%，这略低于道琼斯预测的0.4%，CPI仍较上年同期上涨3.4%，比较3月的3.5%，有所下降。这意味着通胀有所降温。 21Shares分析师Leena ElDeeb表示，随着美国核心CPI六个月来首次降温，可能会看到投资者对加密货币等风险资产的兴趣复苏，促使更多资金流入比特币现货ETF，而过去一周比特币现货ETF尤其平静。奥本海默分析师Owen Lau表示，CPI数据略低于预期，略微增加了降息的可能性，这仍然是比特币价格的一个重要影响因素。来源：金色财经

金色财经2024-05-17

为什么比特币需要Layer 2？L2发展现状如何？

加必要的操作码。总结随着大肆宣传，诈骗的可能性也随之而来。在一片热议中，有许多项目谎称是比特币 L2，因此投资者和用户保持谨慎非常重要。对于许多自称为 L2 的项目是否实际上是 L2，或者它们只是使用流行语来吸引风险投资和散户投资，目前尚无定论。尽管如此，对于比特币社区来说，这仍然是激动人心的时刻。从标志着机构采用的里程碑的比特币现货 ETF 的推出，到 Ordinals、BRC-20 和 Runes 等原语，比特币生态系统正在经历前所未有的增长和创新。比特币 L2 的前景增添了人们对比特币未来的兴奋。来源：金色财经

金色财经2024-05-17

虚拟货币传销案为何报案人竟成犯罪嫌疑人？

不堪被债主骚扰选择报案，但最终被认定为诈骗罪的共同犯罪，该案当中，本人为当事人争取到了“自首”的定性，最终被判处缓刑。【邵律师认为】第一，根据刑法第67条，犯罪以后自动投案，如实供述自己的罪行的，是自首。但无论是刑法，还是《最高人民法院关于处理自首和立功具体应用法律若干问题的解释》，均未对自首的『动机』作出规定，有的是希望争取法定的从轻处罚，有的是不堪面对追债的压力，有的是害怕第三人的打击报复，甚至有的是为了寻求一个“避难所”等。自动投案的动机如何，不应当影响自首的认定。第二，当事人主动至派出所报案的行为，代表了其愿意将纠纷事宜交由警方处理的主观意愿，客观上也节约了司法资源花费更多的人力物力去侦破案件。（该案当中，丰台警方发现外省市已认定谢总是该传销组织的骨干分子，被列为打击对象。）第三，由于缺乏专业的法律知识，当事人对自己的行为可能会造成某种程度上的“误读”，这在所难免，根据2004年《最高人民法院关于被告人对行为性质的辩解是否影响自首成立问题的批复》，“被告人对行为性质的辩解不影响自首的成立”。因此，邵律师认为，只要当事人如实描述案件事实经过，即便是其对事件本身或者对于自己身份的认知存在一定的“误判”，也不应当影响自首的认定。第四，在张军、黄尔梅主编《最高人民法院自首、立功司法解释案例指导与理解适用》，『翟永林故意伤害案』中，最高人民法院认为，翟永林以抢劫的被害人身份报案，是其对自己行为的一种不当法律评价和认识，其到案后虽对案件起因有异议，但对殴打王某年的事实一直如实供述，故应认定其行为构成自首。我国虽然不是判例法国家，但相似案件应当相似判决是实现正义的基本规则。2020年最高院出台的《关于统一法律适用加强类案检索的指导意见（试行）》，该文件也明确指出，类案同判可以在全国范围内统一法律适用，提高司法的公信力。综上，若谢某对于案件情况如实供述的，即便其认为在该案当中是被害人身份，也应当对其认定为自首。 04 写在最后不少人会主观性的认为，主犯被抓了，案子就结束了，实则不然。这当然也是一些参与者不认为自己涉嫌犯罪的原因。例如本文提到的传销活动的组织者、领导者，就是一个比较大的概念。邵律师此前的文章《以案释法丨从400亿币圈传销案看Web3游戏如何规避传销风险？》，2020年盐城中院就对数字货币钱包PlusToken案主犯以组织、领导传销活动罪判刑11年，但就在上个月还有人咨询我说，自己的家人刚被某地警方抓了，原因就是其家人曾在PlusToken案中作为代理为平台拉新（这都已经四年过去了）。再如开设赌场案，可能网络赌博平台都已被端好几年，但各地的警方依然在不断的抓代理；平台老板可能早已飞到海外逃之夭夭，但国内的代理，只要曾参与过，就难逃刑责。又想到上周一个虚拟货币交易所的代理，和我讨论他要不要去自首，说和他一样身份的一个代理，因为公安给他打电话让他做笔录，这人直接跑了，现在被挂了网逃。前两天公安也给自己打了电话，自己想着挂了网逃做什么都不方便，而且逃避也不能解决问题，所以想主动面对，我觉得他的想法还挺好。来源：金色财经

金色财经2024-05-16

比特币大爆涨监管

针对某些板块，针对某些割韭菜项目，甚至诈骗，相对来说并不是坏事。自2023年的6月份，sec初步将约100个代币列为涉嫌代币证卷化，其后的一段时间，这些代币的表现都不尽如人意，直到几个月之后，市场缓和，SEC放松之后，很多证券代币才开始爆发（SOL，ICP等），但大部分仍旧表现不够好。针对未来的可能性监管，王哥今天解答一下大家比较关心的一些问题。1，SOL的监管风险如何。最近监管重提，这一波反弹，同样证券代币表现不够好，表现最好的也就是SOL了。SOL的证券代币化的问题，我之前的文章中说过，这个项目与老美的资本和机构牵涉太深，所以对SOL的定义，甚至比ETH更难定义为证券。这一点，大家可以放心，SOL被定义为证券的可能性，甚至低于ETH。交琉qun+V：2758624303如果真的被定位为证券，之前FTX的两笔大交易，未来的交易，接盘的机构岂不是真傻子？动辄高达上亿的交易，接手之前肯定得搞清楚。综上所述，SOL仍旧是长线标的。2，代币确定证券化之后，最大的风险是什么?加密货币是去中心化的，但是加密货币交易所和背后的开发主体是中心化的。所以任何加密货币，除了类似BTC，DOGE这种创始人退出的，大部分都是要受监管掣肘的，这是无奈的现实。去年由于中东危机，牵扯到隐私代币帮助“恐怖组织”洗钱风波，导致欧意和币安下架了多个隐私币。从这个角度看，老美对加密交易所是有一定的话语权的。代币一旦被列为证券，就要遵守美国的证券法，其加密货币的属性和优势就荡然无存，也不再适合在交易所交易。综上，如果代币被列为证券，可能面临最大的风险是顶级交易所下架。3，哪些代币可能会被列为证券？pos，权益挖矿，分红属性，面向散户直接一级市场兜售代币，这些是有可能被列为证券的，大家可以看看现在的项目，一般都不敢这样卖了，都是变相的质押分币了，本质还是差不多。这个问题，去年已经分析过，看当时怎么说的。去年，SEC公布了近一百个涉嫌的证券代币，网上可以搜到，下面是其中一部分。当然，并不是证券代币一定不会涨，这里面也有个别表现好的，但是大部分在本轮牛市表现差强人意。在风险不被提及，或立法不确定，属性不确定的情况下，这些项目都有涨的机会，但相较于非证券代币，这里面的风险是同比较大的。上面的这些项目，其中8成过去表现都很差，这次反弹力度也最小。切记如果要在大粪里面挑黄金，要考虑最大的风险不是能不能挑到，而是会不会被恶心到。以上证券代币，有几个我之前也买了，现在仍旧持有。比如SOL，BNB，TON，CHZ，LUNC，FLOW，SAND，ALGO。今天在编辑这篇文章的时候，已经清掉了除SOL之外的所有项目，虽然肯定有些会卖飞，有些甚至还在成本线之下。但这就是我的选择，君子不立危墙，本金为大。等消息确定后，再买不迟。来源：金色财经

金色财经2024-05-16

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经2024-05-16

24小时热点