FX168财经网_全球视野外汇黄金加密货币NFT资讯网

晚间必读5篇 | BTC何时再破历史高点？

OpenAI先是推出GPT-4o，接着谷歌在I/O开发者大会上发布数十款Google和AI结合产品，AI商业之争正愈演愈烈。点击阅读 3.KOL轮次融资为何存在？争议为何越来越大？随着比特币飙升至创纪录水平，以及数万亿美元流入新的 ETF，加密货币市场在 3 月份蓬勃发展。但一群特定的投资者比大多数投资者更有理由欢呼。点击阅读 4.比特币以太坊ETF向大陆开放交易？ 5月9日-5月10日，比特币亚洲峰会（Bitcoin Asia）在香港召开，巨头云集，畅所欲言。其中，嘉实基金首席执行官韩同利讨论了将BTC、ETH的ETF纳入ETF Connect计划的可能性，ETF Connect计划是2014年推出的更广泛的“股票互联互通”计划的一部分，旨在将香港与中国大陆的交易所连接起来。点击阅读 5.分析师：比特币巨鲸需求加速 BTC何时再破历史高点？加密货币分析师表示，大量比特币持有者正在积累更多的加密货币，因为预计其价格几周内不会达到新高。匿名加密货币交易员 Rekt Capital 告诉 Cointelegraph：“比特币可能会花费更多时间徘徊在区间低点之上，但一般来说，随着时间的推移，比特币的价格轨迹将向上，重新回到区间高点。” 来源：金色财经

金色财经05-16 20:35

AI风潮再起深度拆解算力聚合DePIN协议io.net

OpenAI先是推出GPT-4o，接着谷歌在I/O开发者大会上发布数十款Google和AI结合产品，AI商业之争正愈演愈烈。与此同时，AI+Web3赛道人气项目io.net也在积极备战。作为叠加AI + DePIN + Solana概念的项目，目前io.net正开展Ignition第一季奖励活动，并且其代币 IO 合约地址已公布。而Bybit Pre-Market 也已上线了 io.net (IO)的期货交易。相信不久IO 现货也将上线各大CEX。 io.net最大特性就是能够聚合用户闲散GPU算力来为AI需求用户提供云计算服务，AI热门趋势下，金色财经将全面解读对标AWS（亚马逊网络服务）的io.net网络，深入了解其原理机制以及各项关键信息。 io.net简介 io.net是 IO Research 开发的基于 Solana 的去中心化AI算力平台，项目主要为 AI 和ML公司工作负载的整个生命周期（从模型训练到推理）聚合GPU资源，致力于提供低成本、高效率的云计算服务。 io.net能够聚合来自独立数据中心、加密货币矿工和 Filecoin 或 Render 等加密项目的多个 GPU 来获取算力，从而以更具成本效益的优势为目标企业提供云计算服务。那么io.net为什么要瞄定GPU资源整合呢？在弄清这个问题之前，先要了解什么是GPU。据英特尔官网介绍，图形处理器(Graphics Processing Unit)是由许多芯片组成的用于图像运算工作的微处理器。同时据AWS公司介绍，GPU的商业应用场景之一就是区块链。由于加密货币建立在区块链之上，特殊类型的区块链（工作量证明POW）通常严重依赖 GPU 进行操作。由此可见GPU有着广泛的市场需求，但目前该业务需求缺口巨大。当前主要云提供商拥有大约10-15 exaFLOPS 的可用 GPU 计算能力，但是由于AI/ML 模型训练和推理工作负载的需求激增，云GPU 计算的潜在需求可能高达20-25 exaFLOPS。两者相差 5-10 exaFLOPS 范围内，也就是说云GPU容量需要在当前水平上扩展2-3倍才能完全满足用户需求。而开发 GPU 供应的周期较长，因此io.net正是通过访问云外未充分利用的 GPU 资源来解决此问题，如独立数据中心、加密货币矿工、消费级 GPU等尚未完全利用的GPU资源。产品组成 io.net 的架构包括底层的 IO 网络、IO 引擎以及 IO Element 等。IO 网络是去中心化的 GPU 网络，采用网状 VPN 架构，为节点之间提供超低延迟的通信，确保 GPU 资源共享和处理的高效率。IO 引擎是构建在 IO 网络上的可编程计算层。这些要素共同组成一个完整的，致力于提供 AI 算力解决方案的生态系统。 io.net 主要通过三件产品来连接用户和算力提供者： IO Cloud：部署和管理并按需分配去中心化GPU集群，通过与IO-SDK无缝集成，提供扩展人工智能和Python应用程序的全面解决方案。 IO Worker：为用户提供对其计算的实时洞察，提供连接到网络的设备的操作和鸟瞰图，使他们能够监控这些设备并执行快速操作，例如删除和重命名设备。 IO Explorer：主要为用户提供全面统计数据和 GPU 云各个方面的可视化图，让用户轻松即时监控、分析和了解io.net网络的复杂细节，提供对网络活动、重要统计数据、数据点和奖励交易的全面可见性。核心功能批量推理和模型服务：可以通过将训练模型的架构和权重导出到共享对象存储来并行对传入的批量数据执行推理。 io.net 允许机器学习团队跨分布式 GPU 网络构建推理和模型服务工作流程。并行训练： CPU/GPU 内存限制和顺序处理工作流程在单个设备上训练模型时出现了巨大的瓶颈。 io.net 利用分布式计算库来编排和批量训练作业，以便可以使用数据和模型并行性在许多分布式设备上并行化。并行超参数调整：超参数调整实验本质上是并行的，io.net 利用具有高级超参数调整的分布式计算库来检查最佳结果、优化调度并简单地指定搜索模式。强化学习： io.net 使用开源强化学习库，该库支持生产级、高度分布式的 RL 工作负载以及一组简单的 API。关键数据据io.net官网介绍，项目比传统云提供商便宜 90% 的价格提供计算服务。另外，io.net可以使用户在 90 秒内访问供应并部署集群，从而从云端获取 GPU 算力。因此，速度和成本的结合使 io.net 的效率比传统云产品高 10 到 20 倍。今年4 月，io.net 公布网络中拥有超过 20,000 个 A100 GPU 以及超过 520,000 个 GPU 和 CPU，io.net 的基础设施总价值已突破 20 亿美元大关。在团队规模上，io.net拥有100+人员。另据资料显示，项目诞生四个月内，io.net已提供超过 5 万个工作节点和超过 6 万个计算小时。而当前io.net网络总盈利约为102万美元，服务的总计算时间为13.2万小时，已创建的GPU集群数超1100个。融资与经济模型今年3月，io.net完成3000万美元A轮融资，Hack VC 领投，Solana Labs、ArkStream、Animoca Brands、OKX Ventures以及包括 Solana创始人、Aptos 创始人g、Animoca Brands 创始人等参投。今年4月，io.net 公布代币 IO 的代币经济模型，IOG 网络的原生代币 IO 的固定最大供应量为 8 亿枚，其中 5 亿枚 IO 代币将在发布时分发，包括种子轮投资者（12.5%）、A 轮投资者（10.2%）、核心贡献者（11.3%）、研发以及生态系统（16%）和社区（50%）。随着 IO 的发行以激励网络增长和采用，将在 20 年内增长至 8 亿枚的固定最大供应量。奖励将在 20 年内每小时释放给供应商及质押者。奖励采用通缩模型，从第一年的 8% 开始，每月减少 1.02%（每年约 12%），直到达到 8 亿枚 IO 的上限。随着发放奖励，早期支持者和核心贡献者的份额将持续减少。主要动作为了激励GPU算力提供商，io.net 推出了两季Ignition奖励计划，各提供750 万枚代币奖励。 5 月 14 日，io.net整合了Aethir的超 300个NVIDIA H100 GPU，两者预计将在 5 月底前共计部署 1000 个 H100 GPU。 5 月 9 日，io.net 宣布Ignition 第 1 季积分上线。5 月 1日，io.net新增GPU工作量验证 (Proof of Work) 机制。4 月 27 日，io.net 团队阻止被封禁空投猎人的报复性攻击行为，并恢复所有设备数据，且推出多个安全补丁。 4 月中，io.net 和 Aethir、Mind Network、比特币 L2 项目 BVM达成合作。总结 Io.net表示其目标是构建“GPU互联网”，打造全球最大的人工智能计算DePIN，以解决人工智能热潮造成的GPU计算能力短缺问题。从这一点来看，该项目前景无限美好，并且融资背景强大。但作为新兴项目，同样面临技术安全风险，如主网上线前遭遇黑客攻击。此外，业务竞争激烈，面临着AWS、Google Cloud、Alicloud等企业的挑战。因此，投资者对于Io.net也不必过分狂热。来源：金色财经

金色财经05-16 19:24

周鸿祎：留给谷歌的时间不多了建议把所有产品都开源

周鸿祎在微博发长文点评谷歌I/O大会。周鸿祎表示，“我的整体感觉是，现在留给谷歌的时间不多了，我建议谷歌把所有的产品都开源，然后通过开源重新变成开源世界的领军企业，领导着大家在多模态上一起合力来对付GPT、对付OpenAI。我觉得才有可能有胜算。”

金融界05-16 19:05

桥水达里奥再拉响警报！美债市场很危险，美国正处于“内战”边缘

一季度的165亿美元增长了11%。对谷歌A增332万股，持仓增长了2.5% 对英伟达增持43.6万股，持仓增长2.48% 对苹果增持184.1045万股对Meta A类股增持32.8万股此外，桥水一季度还新建仓亚马逊，买入近105万股，价值1.89亿美元。以市值来看，前五依然是美股“七巨头”的成员，为谷歌-A、英伟达、苹果、亚马逊和微软。这也意味着，除了特斯拉以外，桥水Q1重点押注了“七巨头”中的六家公司。

格隆汇05-16 18:57

对币圈后基础设施时代的思考

起，联网用户爆发增长，流量越来越贵。像谷歌，亚马逊，腾讯，阿里，基本都是从那时起产品和市值开始迅速成长的。而且这个路径是必然的，因为用户最终只会和应用产生粘性，也只有应用能长期捕获流量的价值。没有繁荣的上层应用，底层协议离mass adoption太远了。所以我认为，未来无法在应用层大战中胜出的基础设施，都将被淘汰。其实我最近一直很焦虑，因为大家都知道我一直自诩亚洲以太坊多军总司令，但是依照我上面的思考，我现在对以太坊的未来有强烈担忧。主要原因是我看不到杀手级应用在以太坊上出现的必然性。一个商业场景如果和区块链深度结合，必然是建立在公链方和应用方深度合作的前提上。但是目前以太坊的路线显然是埋头推动极致的去中心化和密码学安全性。这理论上没有问题，这很crypto native，也很decentralization，所以在DeFi这个场景下，以太坊当下依旧是大资金的首选。但是商业场景有很多种，特别是离用户日常生活更近的那些应用场景，比如game，social，e-commerce，entertainment甚至是很多细分的高dau赛道，那些创业者需要的是人情味，是利益交换，是资源互补，是主动配合，是背靠背。显然在这方面，以太坊系有些曲高和寡了。以太坊基金会对于他们计划以外的那些“意外创新”兴趣寥寥，这非常不利于生态的繁荣和吸引新开发者的加入。以交易所背景公链为例，他们对项目方往往会提供各种生态合作，涵盖投资，活动赞助，钱包服务，流量扶持，上币等一条龙服务。以其他公链为例，他们的bd和市场人员（甚至是创始人）更积极，对早期项目的扶持也更大。我投资的 @fansland_io ，在举办这次曼谷音乐节后，有5家公链主动找来想聊下一场音乐节的合作事宜，有些上来就是用钞能力砸。最后，估计有人要说我是不是要抛弃以太坊了。答案是：不是。以太坊目前依旧有很大的综合优势，但是。应用层的爆发会是获得更大范围共识的关键。所以未来的币圈，得应用者得天下。来源：金色财经

金色财经05-16 16:55

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经05-16 14:06

段永平继续增持阿里巴巴，高盛上调阿里目标价

同时增持苹果和西方石油，减持伯克希尔和谷歌。这是该账户连续第二个季度增持阿里巴巴，目前阿里巴巴为其第四大持仓，占投资组合比例为2.98%，持仓市值约为4.23亿美元。长期价值投资者David Tepper管理的Appaloosa本季度继续增持阿里巴巴，目前持有1125万股阿里巴巴股份，持仓市值约为8.14亿美元。电影《大空头》的人物原型Michael Burry的Scion Asset Management LLC资产管理公司也于本季度加仓阿里巴巴。该机构对阿里巴巴持仓12.5万股，持仓市值约为905万美元，占投资组合比例为8.74%，较上季度的持仓数量大幅增长66.67%。目前，阿里巴巴位列其第二大重仓股。千亿私募景林资产最新美股持仓也于日前出炉。2024年一季度，景林资产首度建仓阿里巴巴，加仓Meta、台积电，减持拼多多、微软。 5月14日晚，阿里巴巴集团公布最新财报显示，季度收入2218.74亿元，同比增长7%，超市场预期，但由于投资上市公司市值减少带来的亏损，净利润同比下降。2024财年，阿里巴巴已回购125亿美元股份，是回购力度最大的中国互联网公司。阿里巴巴还宣布，董事会已批准2024财年派发股息约40亿美元。高盛新发布研报，强调阿里巴巴2024财年表现稳健、恢复增长，本季度，淘天GMV实现双位数增长，客户管理收入同比增长5%，均好于市场预期。高盛预计，下半财年阿里有望实现盈利保持稳定，加上持续加大股东回报和双重主要上市转换完成，都为估值修复提供巨大空间，维持"买入"评级，并上调阿里目标价。

格隆汇05-16 13:27

近248年新高！美股后续上涨动力在哪？

这仅仅是“七剑客”的缩影，除了英伟达，谷歌、特斯拉等在未来都有着良好的上涨预期。而作为投资者的我们，自然不能放过这到了嘴边的肥肉，近期阶段性涨幅位列12只纳指类ETF首位的纳斯达克100ETF（159659），就是个不错的投资工具。作者：钱袋侦探社

金融界05-16 11:34

美国司法部的首起MEV诉讼对以太坊而言意味着什么

全笨拙的掩盖踪迹的尝试，包括大量有罪的谷歌搜索，都有助于政府证明他们是有意偷窃的。所有这些证据在陪审团看来都很糟糕。我怀疑他们会在某个时候认罪，”他补充道。尽管如此，其他人仍然相信，利用旨在重新排序交易的MEV机器人是公平的。这位匿名研究人员表示:“MEV机器人和区块构建者被区块提议者欺负，这让人有点难以同情，就像他们欺负最终用户一样。” Jameson 则表示，以太坊社区应该努力尽量减少 MEV，但这是一个很难解决的问题。就目前而言，这个过程是“不可避免的”。 “在它能够被消灭之前，我们先研究一下它。让我们来阐明它。让我们最小化它。既然它确实存在，那就让我们尽可能开放，让任何人都可以在相同的规则下参与，”他说。康奈尔大学理工学院教授 Ari Juels 表示，如果还有一线希望的话，Flashbots 团队能够相当快地修复导致攻击的错误。 “没有持久的影响，”他补充道。 “所发生的事情当然具有讽刺意味：小偷从三明治机器人那里偷钱，而在社区许多人看来，三明治机器人本身就是在剥削用户。” 来源：金色财经

金色财经05-16 10:37

CPI回落助推美股创新高，标普500ETF(513500)最新规模超127亿元，超微电脑涨超15%

超3%，Meta涨超2%，苹果、微软、谷歌涨超1%。 2024年5月16日，国内热门ETF方面，纳指100ETF(513390)盘中涨1.61%，今年来涨幅超11%，最新规模超14亿元。标普500ETF(513500)盘中涨1.71%，成交额超4700万元，今年来涨近16%，最新规模近127亿元。美股盘前重磅数据公布，美国4月核心CPI年率3.6%，预期3.60%，前值3.80%；月率0.3%，为去年12月以来新低，预期0.30%，前值0.40%。在美国4月CPI数据公布后，华尔街的多家大行发布最新研报置评数据，小摩表示，4月的CPI数据让人们松了一口气，通胀正回到下行轨道，仍然认为决策部门将在7月首次降息，但这可能需要看到劳动力市场活动进一步降温才能实现。大摩则表示，他们预计通胀未来将会出现更多降温，尤其是在下半年，仍认为美联储今年9月将首次降息。高盛称，他们维持决策部门在7月首次降息25个基点的预期，料此后决策部门将以每季度降息一次的步伐前进。此外，中金公司研报指出，这组通胀数据对市场意义重大，它降低了“二次通胀”担忧，有助于提升风险偏好，推动美股上涨。但我们认为，一个月的数据也不会让决策部门很快转向降息，反而是通胀放缓让金融条件更加宽松，未来经济和通胀弹性增强，“不着陆”的可能性上升，就像过去几个月发生的那样。我们重申此前观点：市场越想降息，金融条件越松，最终反而越难以降息，今年决策部门或只降息一次，时点或在第四季度。美债收益率仍将在高位停留（high for longer），美国股票的吸引力或继续强于债券。以上内容与数据，与界面有连云频道立场无关，不构成投资建议。据此操作，风险自担。

有连云05-16 09:59

24小时热点