FX168财经网_全球视野外汇黄金加密货币NFT资讯网

【一周科技动态】Q1唯一获得机构“增持”的大科技，竟是特斯拉？

APL)$ +2.86%， $谷歌A(GOOGL)$ $谷歌(GOOG)$ +2.48%， $微软(MSFT)$ +2.10%， $特斯拉(TSLA)$ +1.67%， $Meta Platforms(META)$ -0.46%， $亚马逊(AMZN)$ -3.1%。影响资产组合的核心交易策略——一周大科技核心观点机构Q1对大科技到底是减仓还是加仓？？ Q1的13F陆续出炉，虽然Q1大盘仍在新高，机构对大科技的态度也显示出了一定分歧。巴菲特减持了苹果、索罗斯盟友Druckenmiller减持了英伟达，虽然他们都表达了”暂歇“的意思，长期仍然看好，但这也是一种机构间对短期看法不一的态度。七大科技股中，只有微软和特斯拉的持仓机构数量环比（相对Q4）降低，反而股价表现不佳的苹果获得了更多机构的青睐，持仓机构数量增加了13%之多，而英伟达则因为强势的表现，持仓机构数量增加了6.9%。但是从机构持股数来看，除了特斯拉的机构持股数增加了11.7%以外，其余全部都是环比减少。这也意味着特斯拉的机构多头，也大多都是越跌越买的“死忠粉”了。而META和NVDA分别环比减少了16.5%和14.4%之多，虽然两者股价在Q1都获得了极其不错的涨幅，持仓机构数量也增多，但是平均下来，每家机构都多多少少减持了。那么问题来了，哪些资金在高位接了更多盘呢？顺便一提，这只是公布13F的机构，截止与3月31日的持仓，而4月以来行情突变，其实可能已经完全不同，所以这仅作参考。期权观察家——大科技期权策略下周，众所期待的NVDA财报就将公布，不过NVDA整体的IV虽然在高位，但并没有前几次那么高，整体IV Rank只有67%，IV Percentile为76%，市场预期此次财报的波动不会很大。 5月24日到期当周的Call，未平仓的集中在950-1000的位置，这与此前财报更偏向于在价外10%的情况有所不同，而Put未平仓高峰在800，卖出年化有19%，而加上杠杆可超113%，并且这个位置接到正股，也是不少投资者梦寐以求的。再给个持仓大科技股的理由——为何"TANMAMG"组合总超大盘？七巨头（Magnificent Seven）组成一个投资组合(“TANMAMG”组合)，等权重、每季度重新调整权重。回测结果从2015年以来表现是远超标普500的，总回报达到了1785%，同期SPY回报203%，纷纷创下新高！本周大盘创下新高，组合今年以来的回报也创下新高19.15%，超过SPY的7.57%。过去一年组合的夏普比率为2.7，而SPY为2.3，组合的信息比率为1.8

老虎证券05-17 14:51

「美版贴吧」股价狂飙超14%！ Reddit与OpenAI签署合作协议，将为论坛引入AI功能！

eddit股价走势图（分钟线），来源：Google】 Reddit股价飙升源于其与人工智慧巨头OpenAI达成合作。根据合作声明，OpenAI为其论坛添加各种新的人工智慧功能。作为回报，Reddit授权OpenAI将论坛内容引入其聊天机器人ChatGPT和其他产品。此次合作对于双方来说，都是利用对方的最大优点发展自己的产品，即Reddit可以获得最新的AI功能，而OpenAI可以获得丰富的数据资源训练迭代自己的AI模型，这可能对整个行业的发展都非常重要。需要注意的是，Reddit的内容一直是AI模型训练的重要数据来源。为了训练自己的AI模型，谷歌（GOOG）曾花费6000万美元巨资与Reddit签定协议。对于这一点，Reddit执行长 Steve Huffman非常自信，他曾在彭博科技高峰会上表示，「我们的数据非常有价值。」

投资慧眼05-17 14:40

Coinbase股价暴跌超9%！芝商所CME即将取代Coinbase，成为美国新一代最大比特币现货交易所？

ase股票价格走势图（分钟线），来源：Google】在Binance（BNB）退出美国市场之后，Coinbase成为美国最大的虚拟货币交易所，具有垄断性地位。然而，在在Coinbase暗自高兴之际，市场昨日突发传出美国最大期货交易所CME拟推出比特币现货，这把Coinbase打得措手不及。需要强调的是，币安曾经是全球最大的比特币（BTC）期货交易所，但是已经芝商所CME夺走该头衔，因此完全可以判定其有实力再次击败Coinbase，成为美国最大的比特币现货交易所甚至是全球最多比特币现货交易平台。在这种危机面前，Coinbase的投资者不得不提前反应出售股票，避免利空兑现引发更多亏损。当然，目前芝商所还没敲定该计划，因此有可能出现反转，若如此将会引发Coinbase股价反弹。相反，Coinbase股价将会遭到进一步抛售，有可能跌破支撑位190美元。【Coinbase股票价格走势图（日线），来源：TradingView】

投资慧眼05-17 11:40

2024年13F报告总结：微软持有第一，而大佬买进最多的股票竟是它？

的股票，共32个机构持有。其次是谷歌（GOOGL），31个。苹果（AAPL）为16个，英伟达（NVDA）只有6个。【图源：dataroma.com；2024年一季度13F持有排名】在买入方面，过去3个月，买入最多的股票依次是：谷歌（GOOGL）、联合健康保险（UNH）、Charter Communications（CHTR）、苹果（AAPL）、微软（MSFT）、阿里巴巴（BABA）。【图源：dataroma.com；2024年一季度13F买入排名】过去6个月，买入最多的依次是：Charter Communications（CHTR），微软（MSFT）、谷歌（GOOGL）、亚马逊（AMZN)。有意思的是，迪士尼（DIS）也在前十大买入名单当中。【图源：dataroma.com；过去6个月13F买入排名】从板块占比来看，机构更喜欢金融股，合在一起占了24.3%，科技股则排第二占了14.2%。【图源：dataroma.com；13F持仓板块占比】

投资慧眼05-17 11:20

【跟着大佬学投资】仅投资8只股票，一年资产增长超51%——详解亿万富翁投资之道

et Inc.. (GOOG and GOOGL) Alphabet . (GOOG and GOOGL)是Google的母公司，在技术领域是一家巨头，业务范围涵盖数字广告、云计算、人工智能和一系列其他技术企业。该公司已经成为技术领域多个领域的关键参与者，主要是由于其子公司YouTube、Google Cloud和Waymo，每个子公司都是其各自领域的领导者。Alphabet Inc.的成功源于其不断推动技术边界的能力，并将这些进步整合到其庞大的产品和服务网络中。阿克曼持有GOOG和GOOGL股票。两者的增长速度相同，但GOOGL股票给予持有者投票权，而GOOG股票则没有。加拿大太平洋堪萨斯城有限公司（Canadian Pacific Kansas City Limited）加拿大太平洋堪萨斯城有限公司的前身为加拿大太平洋铁路，是北美运输行业的一部分。作为一家横贯大陆的铁路公司，该公司提供全面的货运运输服务、物流解决方案和跨加拿大和美国的供应链专业知识。其庞大的铁路网络使其能够在广阔的距离内有效地运输货物，为工业和商业市场提供了一个支撑。该公司持续战略的一个重要因素是其专注于战略性的并购。一个显著的例子是其最近对Kansas City Southern的收购。通过打造一个跨越加拿大、美国和墨西哥的单一网络，该公司独特地处于利用这些地区之间的贸易流动的位置。这种战略性扩张可能带来长期的增长，并加强了该公司在物流和运输行业的地位。劳氏公司（Lowe’s Companies Inc.）劳氏公司是家居改造零售领域的领先企业，提供维护、修理、翻新和装饰所需的各种产品。劳氏在美国各地设有门店，为自己和专业客户（如承包商）提供服务。近年来，劳氏加大了对专业市场的关注。为了支持这一点，劳氏一直在完善店内运营，以更好地满足专业客户的需求。这包括简化店内布局，以便专业客户快速找到所需的物品，以及专门的专业车队停车场、结账和融资选项。我们应该买进吗？虽然阿克曼的选择表现出色，但个人投资者在投资这些股票之前应考虑自己的财务目标、风险承受能力和投资周期。尽管每家公司都有其优势，但可能携带着其所在行业固有的风险。阿克曼的集中投资方式并不一定适用于所有投资者，有些投资者可能需要或更愿意拥有更多样化的投资组合。在做出任何重大的财务决策之前，最好与一位财务顾问交谈，他们可以考虑到我们的个人情况。

Heidi05-16 23:38

Bitget 研究院：加密市场全线反弹 Blast 6 月 26 日确定空投

，需要注意管理链上项目交互风险。 3）Google Search & 地区从全球范围来看： GME（Shares, Token）：华尔街知名交易员 Keith Gill 回归，带动美国股市 GME（Gamestop）的大幅上涨，价格从 17.46 美金快速上涨至 64 美金，引发个股 4 次上涨熔断。价格昨日开始大幅回调，单日下跌 20% 市场关注比较高。GME 的上涨直接带动了加密市场的 MEME 币的行情。Bitget 已上线 GME，可以持续关注交易机会。从各区域热搜来看：（1）英文区各地区昨日的热搜关注点主要集中在 GME、AMC、PEPE： GME、AMC、PEPE（Token）：近期二级市场、DEX 上异动的代币，Meme 币的行情具有突然性和偶发性。Meme 币的行情一般由现货主导，需要从技术指标上关注入场、止盈止损的点位。建议用户参与交易需要警惕风险，尽量做日内交易。（2）非洲及亚洲和其他地区关注市场整体行情： BTC（Token）：昨日美国劳工部公布四月 CPI 数据，环比增长 3.4%，核心 CPI 环比增长 3.6%，符合市场预期。相比上月 CPI 环比数据略有降低，被市场解读为 CPI 触顶回落。美元指数、美债收益率大幅下挫，BTC 单日上涨 5000 美金，引起非洲、亚洲等地用户的关注。四、潜在空投机会【Tonstakers】 Tonstakers 是 TON 生态最大的流动性质押服务商，用户可以将 TON 在该协议质押获得年化 3.8% 的收益。目前项目 TVL 有 2.4 亿美金，潜在的估值比较高。项目获得 Ton 基金会的关注，目前协议有 6.8 万个质押者。项目和 Ton 核心开发者、Tonkeeper、OKX 等机构合作，未来发币有支持。具体参与方式：1）访问项目官网，点击「stake now」；2）链接 Ton 钱包进行质押。【Bemo】 Bemo 是 TON 生态第二大的流动性质押服务商，用户可以将 TON 在该协议质押获得年化 3.9% 的收益。目前项目 TVL 有 6000 万美金，属于 Ton 生态的早期项目，空间较大。项目官网开放空投运营活动，Bemo 的应用质押者可以获得 xtXP 的奖励，未来可以换成 $BMO 代币。具体参与方式：1）访问项目官网，点击「stake now」；2）链接 Ton 钱包进行质押。【免责声明】市场有风险，投资需谨慎。本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资，责任自负。来源：金色财经

金色财经05-16 22:02

晚间必读5篇 | BTC何时再破历史高点？

接着谷歌在I/O开发者大会上发布数十款Google和AI结合产品，AI商业之争正愈演愈烈。点击阅读 3.KOL轮次融资为何存在？争议为何越来越大？随着比特币飙升至创纪录水平，以及数万亿美元流入新的 ETF，加密货币市场在 3 月份蓬勃发展。但一群特定的投资者比大多数投资者更有理由欢呼。点击阅读 4.比特币以太坊ETF向大陆开放交易？ 5月9日-5月10日，比特币亚洲峰会（Bitcoin Asia）在香港召开，巨头云集，畅所欲言。其中，嘉实基金首席执行官韩同利讨论了将BTC、ETH的ETF纳入ETF Connect计划的可能性，ETF Connect计划是2014年推出的更广泛的“股票互联互通”计划的一部分，旨在将香港与中国大陆的交易所连接起来。点击阅读 5.分析师：比特币巨鲸需求加速 BTC何时再破历史高点？加密货币分析师表示，大量比特币持有者正在积累更多的加密货币，因为预计其价格几周内不会达到新高。匿名加密货币交易员 Rekt Capital 告诉 Cointelegraph：“比特币可能会花费更多时间徘徊在区间低点之上，但一般来说，随着时间的推移，比特币的价格轨迹将向上，重新回到区间高点。” 来源：金色财经

金色财经05-16 20:35

AI风潮再起深度拆解算力聚合DePIN协议io.net

接着谷歌在I/O开发者大会上发布数十款Google和AI结合产品，AI商业之争正愈演愈烈。与此同时，AI+Web3赛道人气项目io.net也在积极备战。作为叠加AI + DePIN + Solana概念的项目，目前io.net正开展Ignition第一季奖励活动，并且其代币 IO 合约地址已公布。而Bybit Pre-Market 也已上线了 io.net (IO)的期货交易。相信不久IO 现货也将上线各大CEX。 io.net最大特性就是能够聚合用户闲散GPU算力来为AI需求用户提供云计算服务，AI热门趋势下，金色财经将全面解读对标AWS（亚马逊网络服务）的io.net网络，深入了解其原理机制以及各项关键信息。 io.net简介 io.net是 IO Research 开发的基于 Solana 的去中心化AI算力平台，项目主要为 AI 和ML公司工作负载的整个生命周期（从模型训练到推理）聚合GPU资源，致力于提供低成本、高效率的云计算服务。 io.net能够聚合来自独立数据中心、加密货币矿工和 Filecoin 或 Render 等加密项目的多个 GPU 来获取算力，从而以更具成本效益的优势为目标企业提供云计算服务。那么io.net为什么要瞄定GPU资源整合呢？在弄清这个问题之前，先要了解什么是GPU。据英特尔官网介绍，图形处理器(Graphics Processing Unit)是由许多芯片组成的用于图像运算工作的微处理器。同时据AWS公司介绍，GPU的商业应用场景之一就是区块链。由于加密货币建立在区块链之上，特殊类型的区块链（工作量证明POW）通常严重依赖 GPU 进行操作。由此可见GPU有着广泛的市场需求，但目前该业务需求缺口巨大。当前主要云提供商拥有大约10-15 exaFLOPS 的可用 GPU 计算能力，但是由于AI/ML 模型训练和推理工作负载的需求激增，云GPU 计算的潜在需求可能高达20-25 exaFLOPS。两者相差 5-10 exaFLOPS 范围内，也就是说云GPU容量需要在当前水平上扩展2-3倍才能完全满足用户需求。而开发 GPU 供应的周期较长，因此io.net正是通过访问云外未充分利用的 GPU 资源来解决此问题，如独立数据中心、加密货币矿工、消费级 GPU等尚未完全利用的GPU资源。产品组成 io.net 的架构包括底层的 IO 网络、IO 引擎以及 IO Element 等。IO 网络是去中心化的 GPU 网络，采用网状 VPN 架构，为节点之间提供超低延迟的通信，确保 GPU 资源共享和处理的高效率。IO 引擎是构建在 IO 网络上的可编程计算层。这些要素共同组成一个完整的，致力于提供 AI 算力解决方案的生态系统。 io.net 主要通过三件产品来连接用户和算力提供者： IO Cloud：部署和管理并按需分配去中心化GPU集群，通过与IO-SDK无缝集成，提供扩展人工智能和Python应用程序的全面解决方案。 IO Worker：为用户提供对其计算的实时洞察，提供连接到网络的设备的操作和鸟瞰图，使他们能够监控这些设备并执行快速操作，例如删除和重命名设备。 IO Explorer：主要为用户提供全面统计数据和 GPU 云各个方面的可视化图，让用户轻松即时监控、分析和了解io.net网络的复杂细节，提供对网络活动、重要统计数据、数据点和奖励交易的全面可见性。核心功能批量推理和模型服务：可以通过将训练模型的架构和权重导出到共享对象存储来并行对传入的批量数据执行推理。 io.net 允许机器学习团队跨分布式 GPU 网络构建推理和模型服务工作流程。并行训练： CPU/GPU 内存限制和顺序处理工作流程在单个设备上训练模型时出现了巨大的瓶颈。 io.net 利用分布式计算库来编排和批量训练作业，以便可以使用数据和模型并行性在许多分布式设备上并行化。并行超参数调整：超参数调整实验本质上是并行的，io.net 利用具有高级超参数调整的分布式计算库来检查最佳结果、优化调度并简单地指定搜索模式。强化学习： io.net 使用开源强化学习库，该库支持生产级、高度分布式的 RL 工作负载以及一组简单的 API。关键数据据io.net官网介绍，项目比传统云提供商便宜 90% 的价格提供计算服务。另外，io.net可以使用户在 90 秒内访问供应并部署集群，从而从云端获取 GPU 算力。因此，速度和成本的结合使 io.net 的效率比传统云产品高 10 到 20 倍。今年4 月，io.net 公布网络中拥有超过 20,000 个 A100 GPU 以及超过 520,000 个 GPU 和 CPU，io.net 的基础设施总价值已突破 20 亿美元大关。在团队规模上，io.net拥有100+人员。另据资料显示，项目诞生四个月内，io.net已提供超过 5 万个工作节点和超过 6 万个计算小时。而当前io.net网络总盈利约为102万美元，服务的总计算时间为13.2万小时，已创建的GPU集群数超1100个。融资与经济模型今年3月，io.net完成3000万美元A轮融资，Hack VC 领投，Solana Labs、ArkStream、Animoca Brands、OKX Ventures以及包括 Solana创始人、Aptos 创始人g、Animoca Brands 创始人等参投。今年4月，io.net 公布代币 IO 的代币经济模型，IOG 网络的原生代币 IO 的固定最大供应量为 8 亿枚，其中 5 亿枚 IO 代币将在发布时分发，包括种子轮投资者（12.5%）、A 轮投资者（10.2%）、核心贡献者（11.3%）、研发以及生态系统（16%）和社区（50%）。随着 IO 的发行以激励网络增长和采用，将在 20 年内增长至 8 亿枚的固定最大供应量。奖励将在 20 年内每小时释放给供应商及质押者。奖励采用通缩模型，从第一年的 8% 开始，每月减少 1.02%（每年约 12%），直到达到 8 亿枚 IO 的上限。随着发放奖励，早期支持者和核心贡献者的份额将持续减少。主要动作为了激励GPU算力提供商，io.net 推出了两季Ignition奖励计划，各提供750 万枚代币奖励。 5 月 14 日，io.net整合了Aethir的超 300个NVIDIA H100 GPU，两者预计将在 5 月底前共计部署 1000 个 H100 GPU。 5 月 9 日，io.net 宣布Ignition 第 1 季积分上线。5 月 1日，io.net新增GPU工作量验证 (Proof of Work) 机制。4 月 27 日，io.net 团队阻止被封禁空投猎人的报复性攻击行为，并恢复所有设备数据，且推出多个安全补丁。 4 月中，io.net 和 Aethir、Mind Network、比特币 L2 项目 BVM达成合作。总结 Io.net表示其目标是构建“GPU互联网”，打造全球最大的人工智能计算DePIN，以解决人工智能热潮造成的GPU计算能力短缺问题。从这一点来看，该项目前景无限美好，并且融资背景强大。但作为新兴项目，同样面临技术安全风险，如主网上线前遭遇黑客攻击。此外，业务竞争激烈，面临着AWS、Google Cloud、Alicloud等企业的挑战。因此，投资者对于Io.net也不必过分狂热。来源：金色财经

金色财经05-16 19:24

力盟科技(02405)上涨5.1%，报3.3元/股

nstagram、Messenger、Google、Twitter、TikTok、YouTube、Snapchat、Pinterest等全球主流媒体资源。截至2023年年报，力盟科技营业总收入1.52亿元、净利润5088.92万元。

金融界05-16 14:53

冷热钱包攻击方式有何不同？常见的钓鱼手段有哪些？

记词存到了网上。比如，用户经常使用到的Google文档、腾讯文档、百度云盘、微信收藏、备忘录等云存储服务进行私钥或者助记词存储，一旦这些平台账号被黑客收集并“撞库”成功，私钥很容易被盗。第二，用户下载虚假APP后，引发了私钥泄露。比如，多重签名骗局是最为典型的案例之一，欺诈者诱导用户下载假冒钱包并盗取钱包助记词，随后立即修改该用户钱包的账户权限：将钱包账户权限由用户本人，变成用户本人和欺诈者共同持有，从而抢占该钱包账户的控制权。这类欺诈者往往会保持耐心，等待用户账户积累了一定加密资产后，一次性转走。 OKX Web3安全团队：慢雾已经概述了私钥被盗的2类主要情况，而第2种，欺诈者利用虚假APP盗取用户私钥的本质是木马程序，这类木马程序通过获取访问用户输入法、照片等权限，从而盗取用户私钥。相对于IOS用户而言，安卓用户遭遇到的木马病毒攻击更多。这里简单分享两个案例：案例一，用户反馈钱包资产被盗，经过我们团队与用户沟通排查发现：是由于他此前通过谷歌搜索，下载并安装了被伪装的某数据平台软件，此软件是木马程序。但由于用户在搜索该平台软件时，其链接出现在谷歌搜索的TOP5，导致用户误以为是官方软件。事实上，很多用户对谷歌提供的链接并不进行辨别，所以很容易通过这种方式遭遇到木马攻击，我们建议用户通过防火墙、杀毒软件、以及Hosts配置等多方面进行日常安全防护。案例二，用户反馈在投资某个DeFi项目时，发生了钱包资产被盗的情况。但通过我们的分析排查发现：该DeFi项目本身并不存在问题，用户B钱包资产被盗是由于其在Twitter上对该项目评论时，被冒充该DeFi项目的官方客服盯上，经该假冒客服的引导，点击并进入该虚假链接输入了助记词，从而导致钱包资产被盗。由此可见，诈骗者的手段并不高明，但是需要用户提高辨别意识，任何情况都不能轻易泄漏自己的私钥。此外，我们钱包已针对该恶意域名进行了安全风险提示。 Q2：是否存在最佳的私钥保管方法？目前有哪些替代方案可以减少对私钥的依赖？慢雾安全团队：私钥或者助记词其实是一个单点故障问题，一旦被盗或者丢失就很难挽回。目前，比如安全多方计算MPC、社交认证技术、Seedless/Keyless、预执行和零知识证明技术等等新的技术，正在帮助用户减少对私钥的依赖。以 MPC 为例，第一，MPC技术是指，所有参与方为了完成一项任务而执行复杂的联合计算，而他们的数据保持私有和安全，不与其他参与方共享。第二， MPC 钱包通俗来讲是，利用MPC技术，将一个私钥安全打碎成多片，由多方共同管理；或者干脆就是多方共同生成一个虚拟的密钥，可能后者的情形更为普遍，因为这时候没有人曾经见过完整的私钥。总之，MPC 的核心思路为分散控制权以达到分散风险或提高备灾的目的，有效避免了单点故障等安全问题。注意，MPC涉及到一个词叫 Keyless ，可以理解为“无助记词的”，或者也可以说成“无私钥的”。但这个“无”并不是实际意义上的没有密钥，而是指不需要用户备份助记词或者私钥、且感知不到它们的存在。所以关于Keyless钱包，需要了解这3点： 1.创建Keyless钱包过程中，私钥不会在任何时间、任何地点被创建或存储。 2.在签署事务时，不涉及私钥，而且私钥在任何时候都不会被重构。 3.Keyless钱包不会在任何时候生成或保存完整的私钥和种子短语。 OKX Web3安全团队：当前并不存在完美的私钥保管方式。但是我们安全团队推荐使用硬件钱包、手抄保存私钥、设置多重签名、分散存储助记词等方式来进行私钥管理。比如，分散存储助记词是指，用户可以将助记词分成2组或者多组进行存储，降低助记词被盗的风险。再比如，设置多重签名是指，用户可以选定信任的人，共同签名来决定交易的安全性。当然，为保障用户钱包私钥安全，OKX Web3钱包整套底层是不触网的，用户助记词和私钥相关信息，全部加密保存在用户的设备本地，而且相关SDK也是开源的，经过了技术社区广泛的验证，更加的公开透明。此外，OKX Web3钱包也通过与慢雾等知名的安全机构进行合作，进行了严格的安全审计。除此之外，为了更好地保护我们的用户，针对私钥管理的部分，OKX Web3安全团队正在提供并规划更强大的安全能力，正在持续迭代升级中，在这里简单分享一下： 1.双因子加密。当前，大部分钱包通常会采用密码加密助记词的方式，将加密后的内容保存在本地，但如果用户中了木马病毒，该木马则会扫描加密后的内容，并对用户输入的密码进行监听，如果一旦被诈骗者监听到，则可以解密加密的内容，从而获取到用户的助记词。未来，OKX Web3钱包将会采用双因子的方式对助记词进行加密，即使诈骗者通过木马拿到用户的密码，也无法解开加密的内容。 2.私钥复制安全。大部分木马会通过用户在复制私钥的时候盗取用户剪贴板中的信息，从而导致用户私钥泄漏。我们计划通过增加用户私钥复制过程的安全性，比如复制部分私钥、及时清除剪贴板信息等方式或者功能，来帮助用户降低私钥信息被盗风险等等。 Q3：由私钥被盗切入，当前常见钓鱼方式有什么？慢雾安全团队：据我们的观察，钓鱼活动每个月都在逐步增长。第一，当前钱包盗贼（Wallet Drainers）构成了当前钓鱼活动的主要威胁，持续以各种形式攻击普通用户。钱包盗贼（Wallet Drainers）是一种与加密货币相关的恶意软件，这些软件部署在钓鱼网站上，诱骗用户签署恶意交易，从而窃取用户钱包资产。比如，目前比较活跃的钱包盗贼（Wallet Drainers）有： 1.通过社会工程学，获取 Discord Token 并进行钓鱼的 Pink Drainer。社会工程学通俗理解就是，以交流的方式套取用户的私密信息。 2.还有Angel Drainer，会对域名服务提供商进行社会工程学攻击。在获取了域名帐户相关权限后，Angel Drainer会修改 DNS 解析指向，并将用户重定向到虚假网站等等。第二，目前最常见的还是盲签钓鱼，盲签的意思就是说用户在和一个项目进行交互的时候不知道要签要授权的东西是什么内容，就稀里糊涂的点了确认，然后就导致了资金被盗。关于盲签钓鱼，我们举几个例子：案例1：比如 eth_sign。eth_sign 是一种开放式签名方法，它允许对任意 Hash 进行签名，也就是说它可以被用来对交易或任何数据进行签名，而一般没有技术基础的用户想要看懂签名的内容是比较困难的，这里就会存在一定的钓鱼风险。好在现在越来越多的钱包已经开始对这种签名进行安全提醒，一定程度上可以避免一些资损风险。案例2：permit签名钓鱼。我们都知道在 ERC20 币种的交易中，用户可以调用 approve 函数进行授权，但是 permit 函数允许用户在链下生成签名再授权给指定用户使用一定数量额度的token，攻击者利用 permit 方法进行钓鱼，当受害者访问钓鱼网站的时候，攻击者通过网站让用户签署 permit 授权，用户签署后攻击者可以拿到签名后的数据，攻击者调用token 合约的 permit 函数并传入签名数据然后广播到链上来获得 token 的授权额度，进而盗取用户的 token。案例3：隐蔽的create2手法。create2允许开发者在将合约部署到以太坊网络之前预测合约的地址。基于create2，攻击者就可以为每个恶意签名生成临时的新地址。欺骗用户授予权限签名后，攻击者就可以在这个地址创建合约然后转移用户的资产。因为是空白地址，所以这些地址可以绕过一些钓鱼插件和安全公司的监控警报，所以隐蔽性很强，用户很容易中招。总之，对于钓鱼网站，用户可以在交互之前对项目的官网进行鉴别，并且留意交互过程中是否有恶意签名请求，并应该警惕提交助记词或私钥的行为，切记不在任何地方泄漏助记词或私钥。 OKX Web3安全团队：我们对常见的钓鱼方式进行了研究，并在产品侧提供了多维度的安全防护。就目前用户遇到的最主要的几类钓鱼方式简单分享：第一类，虚假空投类。黑客一般会针对受害者地址生成首尾相似的地址，并对用户进行小额转账、0U转账，或者假代币转账的空投，该类交易会展示在用户的交易历史中，如果用户不小心复制粘贴错地址，则会造成资产损失。针对该类攻击，OKX Web3钱包能够识别其历史交易并打成风险标，同时在用户向其地址转账的时候，会进行安全风险提示。第二类，诱导签名类。通常黑客会在知名项目的Twitter、Discord、TG等公众地方进行评论、并发布虚假DeFi项目网址或者领取空投的网址，诱导用户进行点击，从而盗取用户资产。除了慢雾提到的eth_sign、permit、create2等签名类钓鱼，还有一些就是：方式1：直接转账盗取主链代币。黑客往往会给恶意合约函数起名为 Claim，SeurityUpdate 等具有诱导性名字，而实际函数逻辑为空，从而只转移用户主链代币。当前OKX Web3钱包已经上线预执行的功能，能够显示交易上链后的资产变动及授权变动，对用户进行安全风险提示。方式2：链上授权。黑客通常会诱导用户签署approve / increaseAllowance / decreaseAllowance /setApprovalForAll 交易，该交易会允许黑客指定地址转移用户的代币资产，并在用户签署后实时监控用户的账号，一旦有对应的资产转入立马转走。针对钓鱼者的安全防护过程是一种对抗，也是一个持续升级的过程。尽管大部分的钱包会对黑客的授权地址进行安全风险检测，但是攻击者的攻击方式也在升级，比如利用create2的特性，攻击者会预先计算好新地址，因新地址并不在安全黑地址库中，所以可以轻意的绕过安全检测。攻击者会等到有鱼上钩后，再去该地址部署合约，并将用户的资金转走。比如，近期我们也发现不少攻击者，会使用户授权给uniswap.multicall合约，因该合约是一个正规项目的合约，也可以绕过安全产品的检测。方式3：权限变更：包括tron权限变更，和solana权限变更等。一是，在tron权限变更中，多签是tron链的一个特性，在很多钓鱼网站中，钓鱼者会将更改账号权限的交易，伪装成转账的交易，如果用户不小心签署了这笔交易，则用户的账号会变成一个多签账号，用户对其账号失去了控制权限。二是，在solana权限变更中，钓鱼者会通过SetAuthority来修改用户代币的ATA账号的Owner, 一旦用户签署了这笔交易，该ata账号的owner就会变成钓鱼者，从而使得钓鱼者拿到了用户的资产。其他方式：另外，由于协议本身的设计机制等问题，也很容易被钓鱼者利用。基于以太坊的中间件协议 EigenLayer 的 queueWithdrawal 调用，允许指定其他地址作为 withdrawer，用户被钓鱼签署了该交易。七天后，指定地址通过 completeQueuedWithdrawal 获得用户的质押资产。第三类，上传助记词。攻击者通常会提供伪装的空投项目、或假打新的工具，诱导用户上传私钥或助记词，具体案例见如上。此外，有时也会伪装成插件钱包弹窗，来诱导用户上传助记词。 Q4：热钱包和冷钱包攻击方式的差异化 OKX Web3安全团队：热钱包跟冷钱包的区别在于私钥的存储方式不同，冷钱包的私钥一般是离线存储，而热钱包通常存储在有网络的环境里。所以，针对冷钱包跟热钱包的安全风险会有所不同。热钱包安全风险上面已经非常全面，不再展开。冷钱包的安全风险主要包括：第一，社会工程及物理攻击风险、和交易过程风险。关于社会工程及物理攻击风险是指，由于冷钱包通常离线存储，则可能存在被攻击者以社会工程手段，伪装成亲人或朋友用以访问冷钱包的权限。第二，作为一个物理设备，可能被损坏或丢失。关于交易过程风险是指，在交易过程中，冷钱包同样也会遇到前面提到的各类空投，诱导签名等场景的攻击方式。 Q5：就像开篇所述“赠送高价值的钱包私钥”，还有哪些另类的钓鱼陷阱？慢雾安全团队：是的，「故意赠送高价值的钱包私钥」是非常经典的案例，在多年前就已经出现，但直到现在也还是会有人上当受骗。这种骗局其实就是骗子故意泄露私钥助记词，你将私钥助记词导入钱包后，攻击者时刻监控你的钱包，一旦你转入ETH，就立刻给你转走。此类手法就是利用了用户贪小便宜的心理，导入的人越多，手续费越高，损失就越多。其次，有部分用户会认为“我没有什么值得攻击的”，这种防御低下的心态会让用户变得容易受攻击。任何人的信息（如电子邮件，密码，银行信息等）对攻击者来说都是有价值的。甚至还有用户认为只要不点击垃圾邮件中的链接，就不会受到威胁，但有些钓鱼邮件可能会通过图片或者附件来植入恶意软件。最后，对于“安全”我们需要有个客观的认识，那就是没有绝对的安全。何况网络钓鱼攻击的方式演变很多，发展也很快速，大家都应该不断学习，提高自我安全意识才是最可靠的。 OKX Web3安全团队：防范第三方钓鱼陷阱确实是一个复杂的问题，因为钓鱼者往往利用了人们的心理弱点和常见的安全疏忽。很多人平时都很谨慎，但往往遇到忽如其来的“大馅饼”时，往往放松了警惕，放大了自己的贪婪特性，从而导致上当受骗。在这个过程中，人性的弱点会大于技术，就算有更多的安全手段，用户也会短期忽略，事后回想起来，才会发现自己早已上当受骗。我们要清楚，“天下没有免费的午餐”，时刻注意提高警惕，注意安全风险，尤其是在区块链这个黑暗森林里面。 Q6：对用户提高私钥安全的建议慢雾安全团队：回答这个问题之前，我们先梳理下一般攻击是怎样去盗取用户的资产的。攻击者一般是通过如下两种方式来盗取用户的资产的：方式一：骗取用户对盗取资产的恶意交易数据进行签名，如：欺骗用户将资产授权或转移给攻击者方式二：骗取用户在恶意网站或者 App 上输入钱包的助记词，如：欺骗并诱骗用户在虚假的钱包页面中输入钱包的助记词知道了攻击者是如何盗取钱包资产后，我们就要对可能的风险进行防范：防范一：尽可能做到所见即所签。都说钱包是进入 Web3 世界的钥匙，用户交互最重要的就是拒绝盲签，在签名之前要识别签名的数据，知道自己签的交易是做什么的，否则就放弃签名。防范二：鸡蛋不要放在同一个篮子里。通过对不同资产以及使用频率的情况可以对钱包进行分层级管理，让资产的风险处于可控。参与空投等活动的钱包由于使用频率较高，建议存放小额资产。大额资产一般不会频繁动用，建议放在冷钱包中且使用的时候要确保网络环境，物理环境是安全的。有能力的话尽可能地使用硬件钱包，由于硬件钱包一般不能直接导出助记词或私钥，所以可以提高助记词私钥被盗门槛。防范三：各种钓鱼手法和事件层出不穷，用户要学会自行识别各种钓鱼手法，提高安全意识，进行自我教育避免被骗，掌握自救能力。防范四：不急不贪、多方验证。此外，用户如果想要了解更全面的资产管理方案，可以参考慢雾出品的《加密资产安全解决方案》，了解更多的安全意识及自我教育，则可以参考《区块链黑暗森林自救手册》。 OKX Web3安全团队：私钥作为访问和控制钱包加密资产的唯一凭证，保护钱包私钥安全至关重要。防范一：了解你的DApp。在进行链上DeFi投资的时候，一定要对使用的DApp进行全方面的了解，以防止访问了虚假DApp造成资产损失。尽管我们OKX Web3钱包针对DApp进行了多种策略的风险检测和提示，但攻击者会持续更新攻击手法，并绕过安全风险检测。用户在投资的时候，一定要擦亮眼睛。防范二：了解你的签名。用户在进行链上交易签名的时候，一定要对交易进行确认，确保了解交易的细节，对于看不懂的交易一定要谨慎，不要盲目签名。OKX Web3钱包会对链上交易以及离线签名进行解析，并模拟执行，展示资产变动及授权变动的结果。用户可以在交易前，重点关注该结果看是否符合预期。防范三：了解你下载的软件。下载辅助交易及投资软件时，要确保是从官方平台上下载的，下载后要及时使用杀毒软件扫描。如果下载恶意软件，木马会通过截图监控剪贴板、内存扫描、上传缓存文件等手段，来获取用户的助记词或私钥。防范四：提升安全意识，妥善保管私钥。尽可能不要复制助记词，私钥等重要信息，不要截图，不要将该类信息保存到第三方的云平台中。防范五：强密码&多签，在使用密码的过程中，用户应该尽可能增加密码的复杂度，防止黑客在拿到私钥加密文件后，对其进行爆破。在交易过程中，如果有多签机制，一定要采用多签，这样，如果一方的助记词或私钥泄漏，也不会影响整体的交易。来源：金色财经

金色财经05-16 14:06

24小时热点