FX168财经网_全球视野外汇黄金加密货币NFT资讯网

金色观察 | 跨链桥的当前风险和未来发展

的跨链通信。 Avalanche桥利用Intel SGX（Software Guard Extension，软件防护扩展），它依赖于第三方验证来维持跨链通信，并去中心化该桥钱包的控制权。该应用程序需要8个经过批准的验证者中至少有6个在一条链上提交相同交易，然后在目标链上铸造、发送包装资产。另一个例子是Multichain协议，在撰写本文时，该协议的锁仓总价值超过了20亿美元。Multichain通过SMPC（Secure Multi-Party Computation，安全多方计算）网络实施TSS（Threshold Signature Scheme，门限签名方案）分布式密钥生成算法，从而实现通信。简单地说，协议的通信通道和流动性池处于大多数节点的控制下，其中每个部署的桥的节点数量都是不同的（例如9/15、15/21、21/31）。如果攻击者能够找到方法接管SMPC网络的大多数节点和SGX应用程序的受信任验证者节点，就可以从桥（银行）中抽干所有的真实资产（黄金），将所有打包资产（IOU）变成无价值的代币。蜜罐临界点从纯粹经济角度来看这个问题，一个桥的金库中储存的资产越多，恶意攻击这个桥的经济动机也就越大。许多人都在努力寻求提高锁定在智能合约金库中加密资产安全性的解决方案，但他们正在打一场硬仗。无所不在的风险对桥团队来说仍然是无法预见的其他识别协议安全漏洞。鉴于最近国家支持的加密欺诈的增多，这一点尤甚，导致了大规模的资本支持的攻击。一般来说，除非有紧急援助，不然黑客攻击的结果是一定的——所铸造、包装资产部分或全部贬值。这些风险远非假想。在过去的两年中，“包装资产相关”的黑客攻击占了前15大加密黑客攻击损失资金的66%，超过20亿美元。尽管总有一些天才工程师有可能创建一个不可破解的协议，但这种方式的风险是，每个协议看起来都是安全的、设计良好的……直到发现事实并非如此。协议构建者在残酷的零和游戏中博弈，失败的惩罚将是100%的资金损失。然而成功并不能确保稳定，只是意味着更复杂的攻击带来的潜在收益会增加。路线2：跨链流动性兑换正如不同国家的经济通过外汇和货币兑换市场相互连接一样，代币经济体也通过公开市场上的流动性（汇率）相连接。在外汇交易中，将欧元兑换成美元意味着将你的欧元卖给中间商，并从中间商那里购买美元（中间商指经纪人、交易商和运行“跨经济体桥”的大型金融机构）。这些中间商收取买卖差价（相当于桥接费）。这种商业模式需要大量的资金来处理完成大额及大量交易。尽管加密市场上有一些协议支持这种兑换模式，但最具流动性和效率的部署仍然出现在中心化交易所。然而，在中心化交易所（CEX），兑换是在单方监管下在链下进行的，这与倡导去中心化的加密社区背道而驰。因此，对此已投入大量的努力和资本，以期实现一个更加去中心化的进程。尽管THORchain使用RUNE进行流动性匹配兑换原生代币的方法很有前景，但它仍然依赖于用于入库的27/40门限签名方案（TSS）及用于出库的1/1单签名方案。任何对带有27/40 TSS的THORChain状态机或MPC节点的成功攻击都将给THORChain的流动性提供者带来重大风险。然而，在攻击期间不主动兑换的用户不会遭受任何损失，大部分损失发生在流动性提供者身上。 Layer 0 ——某种程度上，通信更加安全。 Layer 0（0层）指的是促进区块链之间去信任和去中心化通信的网络概念。假设1层和2层区块链的去中心化确保网络永远不会允许重复支出（UTXO），并且每个人的余额都是对的。在这种情况下，0层网络的去中心化将确保跨链数据和价值转移的合法性。 LayerZero是一个全链互操作性协议，它通过底层通信原语实现跨链应用。第一个利用LayerZero技术的应用是Stargate.finance——一个完全可组合的流动性传输协议，允许用户在不同链上的统一流动性池之间安全转移原生代币。即使假设跨链通信可以在技术上完全安全，跨链桥接的最终挑战仍然在于多重签名（Multi-sig）钱包的限制。用于去中心化钱包控制的最流行的技术要属Multi-sig（链上）和TSS（链下），它们只能有效地将资产池的控制权最多分配给数十个参与方，才不至对桥的性能产生实质性影响。总结当涉及跨链桥时，很难去量化每种方法的风险，但风险量化却很关键。对web3用户来说，有必要花时间了解一下包装资产桥的风险，因为向这些平台提供流动性会在发生攻击的情况下使投资者处于危险境地。像Cosmos IBC、Polkadot XCM、LayerZeros和Avalanche跨子网等流行解决方案要证明它们各自的模式需要花些时间，但钱包安全性仍将一如既往是加密行业的瓶颈，需要优化解决才能使可扩展的安全跨链应用成为可能。来源：金色财经

金色财经2022-10-14

拜登曝“中美半导体未来布局”！台积电砍资本难独善其身 “IBM演讲透露脱钩中国重磅信号”

(S&P Global Market Intelligence)分析师的预期。 (来源:纽约时报) 营业利润率较前一季度上升1.5个百分点，新台币的贬值功不可没，今年来新台币兑美元下跌13%。台积电大部分工厂都在台湾，而北美客户占其收入的72%。 IBM演讲透露脱钩中国重磅信号美国总统拜登6日到IBM参访进行演讲，画出美国《芯片与科学法案》的蓝图，他在演讲时称：“谁说我们不能引领全世界的制造业？供应链将从这里开始，也要在这里结束，就在美国。” 美国白宫官方网站释出拜登在IBM演讲全文，几大媒体只发布IBM在10年内要投资200亿美元在纽约哈德逊河谷(Hudson Valley)设厂，但从拜登演讲的全文中，透露的不止如此，台积电下修20%的资本支出，意味着公司认为未来面临全球供给过剩。台积电在13日的法说会上公布下修资本支出至360亿美元，下修幅度近20%，在两天前，前商研院副院长、鸿海(富士康)集团顾问杜紫宸公开表示，这一波台积电的资本支出下修将在10至30%之间，而且最可能缩减或延缓投资的计划是高雄厂和台中2奈米厂，主要是高速运算芯片需求的减缓。 “台积电第二大客户超微(AMD)、英伟达(NVIDIA)营收都下滑了，”杜紫宸分析说，在南京、日本的28奈米厂属于成熟制程，因此不至于变卦，美国的5奈米厂头已经洗下去了，不可能撤，因此他认为受到高速运算芯片HPC需求下滑拖累，先进制程的高雄厂、台中2奈米厂可能会被延后。实际上台积电缩减资本支出可能只是前端，国际媒体没有报导拜登的演讲全文，从白宫公布拜登的演讲内容，可以明确地看出美国《芯片与科学法案》的政策目的。正如拜登那句话“供应链将从这里开始，也要在这里结束，就在美国”。这意思是从上游像高通、英伟达等的厂家在美国、像台积电这样的制造者也要在美国、像苹果手机这样最终使用者，也要在美国。美国彻底和中国科技脱钩拜登的演讲中揭露，芯片法案已经是美国的战略布局，提到美国军火厂商为乌克兰制造飞弹时说：“我们不仅需要半导体制造这些标枪导弹，还需要未来的武器系统，这些系统将更加依赖先进的芯片，不幸的是，我们今天生产的这些先进芯片的百分比为零。” 他继续提到：“中国正试图在制造它们方面领先于我们，毫不奇怪从字面上看，中国政府在美国国会积极游说反对我一直在推动的芯片法，中国政府在美国国会游说反对通过这项立法。不幸的是，我们另一个团队的一些朋友愿意买单。” 他指出，美国未来要在量子电脑、人工智慧领域维持领先，“确保我们在未来的行业中引领世界，从量子计算到人工智能，再到先进的生物技术，试想我们将要提供的东西和投资类型：癌症疫苗、爱滋病的治疗方法、发明下一个从未想像过的大事”。美国制造重返主流眼前，缺芯片是拜登政府的痛处之一，他在这次演讲中甚至提到，美国之所以通货膨胀、新车价格上涨，一个很重大的原因就是缺乏汽车芯片。他说，过去30年美国产的芯片在全球市占30%，如今只剩下10%。芯片法案的目的就是让芯片制造美国化，拜登提到说，美国将在基础设施领域“从世界排名第13 位上升到第1 位”，除了IBM将在纽约哈德逊河谷投资200亿美元以外，记忆体巨人美光也宣布将在纽约州的雪城(Syracuse)投资1000亿美元盖晶圆厂，美光在美国本土生产的记忆体将成长5倍。台积电的对手，英特尔正在俄亥俄州投资200亿美元设厂，在北卡罗来纳州，科锐公司(Wolf speed)正在投资50 亿美元用于制造电动汽车芯片和设备。

小萧2022-10-14

“历史性制裁”重创俄罗斯耶伦：俄乌战争将在未来几年削弱俄罗斯经济

根据经济学人智库(Economist Intelligence Unit)的数据，俄罗斯今年的国内生产总值(GDP)预计将收缩6.2%，2023年将收缩4.1%。经济学人智库全球预测主管Agathe Demarais今年9月对CNBC表示，“无论从历史还是国际标准来看，这些预测都是巨大的。” 经济学人智库还表示，欧洲抵制俄罗斯石油将进一步耗尽俄罗斯经济。据CNBC报道，能源行业约占俄罗斯GDP的三分之一，包括一半的财政收入和60%的出口。耶伦和美国财政部副部长阿德耶莫(Wally Adeyemo)在本周的IMF会议上推动七国集团(G7)对俄罗斯石油的战略价格上限，认为这是阻止克里姆林宫继续对乌克兰开战的有效方法。耶伦说，针对俄罗斯的制裁实际上也使该国在基本军事装备方面依赖于“伊朗和朝鲜等最后的供应国”。她表示：“与此同时，我们向乌克兰提供了创纪录数量的军事和经济援助。我们正在战场上看到，这种日益扩大的差距正在创造军事优势。”

tqttier2022-10-14

中美芯片大战！美媒：美国“以前无法想象”的芯片出口限制将阻碍中国的半导体雄心

体的制造。美国最大的芯片制造商英特尔(Intel)远远落在后面。台湾和韩国约占全球代工市场的80%。然而，美国在设计工具领域仍然拥有强大的公司，其中许多被供应链中的其他公司使用。例如，台积电生产的先进芯片不太可能在生产过程中不使用美国的工具。在这种情况下，美国对中国的出口限制将适用。华盛顿以前曾对特朗普时代中美科技紧张关系的典型代表华为使用过这一所谓的外国直接产品规则。根据这些规定，华为被排除在台积电生产的、为其智能手机设计的最先进芯片之外。曾是智能手机市场头号玩家的华为，手机业务陷入瘫痪。但美国从未如此广泛地使用过这样一条规则。对于中国发展半导体业而言，冲击更是强大。因为其他国家面临不得向中国运送设备的压力。例如，根据最新规定，如果供应中国的代工厂正生产某些芯片，公司将需要取得美国同意向中国代工厂运送机器的许可证。中国最先进的芯片制造商中芯国际(SMIC)目前正在生产7纳米芯片，但规模并不大。它落后于台积电和三星等拥有制造2纳米芯片路线图的公司几代。但要大规模生产这种复杂的芯片、降低成本、提高可靠性，中芯国际和其他中国晶圆代工厂将需要获得一种名为极紫外光刻机的特殊设备。荷兰阿斯麦公司(ASML)是世界上唯一一家有能力制造这种关键机器的公司。如果该公司受到美国的出口限制，或者受到华盛顿方面不向中国企业出售产品的压力，这可能会阻碍中国芯片制造商的发展。

tqttier2022-10-14

Multichain Yield-新一代跨链收益聚合器您的DeFi理财专家

DeFi协议，结合预言机和Scout Intelligence Engine(智能引擎)技术实时监测优质矿池，并通过Docross在不同公链之间来回切换挖矿，为用户提供最佳投资收益。 MYC的特点主要有以下四个方面： 1. 一键挖矿用户无需繁琐的操作，只需将稳定币存入协议，平台会汇聚投资人共同的资金，投入到全网高收益矿池，通过高频操作，最大化资金利用率，来获取收益。 2，低手续费 MYC在不同协议和矿池之间来回切换，调用这些合约所消耗的Gas费由用户共同分摊，最高可节省80%的交易费用。 3，跨链挖矿 MYC目前支持BSC和ETH，接下来会陆续支持Polygon,AVAX,MEDX等EVM链，未来也会实现非EVM链的跨链。 4，多策略执行多样化投资平台会进行资产配置，保守型为主，稳健型为辅，也会用一部分资金做激进型投资，提高用户收益，既有现货挖矿，也会进行杠杆挖矿。 MYC发展规划 MYC代币经济：总发行量1亿枚，基金会12%，团队8%，市场推广30%，流动性挖矿40%。代币用途主包括含协议治理，推广奖励，流动性挖矿，抵押借款等。在市场营销方面，MYC主要以推特，电报和Discord作为项目的官方资讯发布平台，对于为项目推广的社区成员，也将会给予丰厚的奖励，以此来提高项目的知名度，让更多的用户通过MYC平台受益。未来，MYC会不断的推出新产品，扩大业务范围，并始终深耕于区块链领域，坚持用户至上的原则，共享时代红利。来源：金色财经

金色财经2022-10-14

一文概览Web3增长工具赛道全景

arma Community、2.5 Intelligence、Definitive、Lagos、Arena等项目。链上追踪监控是链上数据分析的一种关键方式，但许多建设者很少能深刻理解它的核心，目前已有 Safary Club、Cookie3 和 Spindl 在该领域不断探索。社区自动化治理的兴起，吸引了大量 Web2 和 Web3 的建设者。通过社区自动化治理，社区领导者将大幅减少花费在重复性任务上的时间。该赛道的项目包括 Mint Party、Guild、Communi3、Commsor、Orbit、Dots 等。最近几个月增长最快的赛道是 CRM，数据驱动型产品的增长速度远超自动化治理社区。CRM 更加容易被投资者所收购，此赛道的代表项目有 Kazm、Qwestive、Absolute、Metacommerce、Holder 等。 Web3 通讯层仍处于萌芽阶段，但有许多优秀的团队在努力，其中包括 Dialect、XMTP、Notfi、Pearl、Dispatch 等。随着市场逐渐冷淡，新用户增长缓慢，Web3 激励平台发展也受到限制，但该赛道仍然可能受到资本的青睐。该赛道的项目有 Laryer3、Crew3、Chainvine、Dappback、Passage、ZeroDrop 等 Web3 奖励发现平台可以帮助初创项目更容易被市场发现。用户可以通过 Smoothie、Barracuda、Rugless 等平台快速了解 Web3 新项目。当链上追踪监控和信息传递等核心基础完善之后，Web3 广告将成为现实，Web3 广告赛道的项目有 Ambire、Bitmdia、Pyme、 Quest3 和 Hypelab 等。来源：金色财经

金色财经2022-10-13

中美重磅！美媒：拜登芯片限制迫使华裔美国人“在公民身份、工作之间做抉择”

和服务。另外，该公司还会叫停向英特尔(Intel)和韩国SK海力士在中国的芯片工厂供货。 SK海力士是全球第二大存储芯片制造商，公司重申其立场，指根据美国新的出口管制规定，为继续运营在华工厂的设备申请许可证。至于在中国设有晶圆厂的外国公司许可证申请，美国将会逐案进行审查。中美科技战升级波及全球半导体企业，经济研究机构Gavekal Dragonomics分析师接受外媒访问时透露，新规定是美国对华政策的方向性讯号，表明现在已经形成了非常鹰派的共识。半导体研究机构芯谋研究(ICwise)首席分析师顾文军认为，美国铁了心把芯片作为遏制中国的工具，“无所不用其极，不达目的决不罢休，没有任何和解的可能”。

小萧2022-10-13

半导体重磅消息！德媒：台积电考虑在德国设厂 10月派团考察

初步成果。今年3月美国芯片龙头英特尔(Intel)宣布，将在中部的马德堡兴建先进制程晶圆厂，初期投资额170亿欧元。这是欧洲近年规模最大的半导体投资案，预计明年上半年动工。

tqttier2022-10-13

Cosmos、Polkadot能提供比ETH高得多的收益率？

超额回报。根据 Bloomberg Intelligence 分析师 Jamie Douglas Coutts 的说法，Modular 正在利用加密被纳入资产配置和“ESG 集成框架”的趋势。以太坊合并的一些好处以太坊是顶级网络之一，受到硅谷风险投资家 Ali Yaha 的称赞。据他说，最近的合并是一项疯狂的壮举。雅哈在声明中提到，升级涉及以太坊最重要组件的热插拔。除此之外，还为所有用户维护了正确的正常运行时间。 Yaha 进一步表示，以太坊现在的能效比以前超过 100%。需要注意的是，通过 PoS 共识的交易是最终的。在这种情况下，最终性将是扩展的最重要基础。他认为，合并是一个促进效率世界的更大事件。此外，它还为支持去中心化应用程序的计算提供了一个安全层。今天的分享就到这里，后期会给大家带来其他赛道的龙头项目分析。感兴趣的可以点个关注。我也会不定期整理一些前沿资询和项目点评，欢迎各位志同道合的币圈人一起来探索。有问题可以评论提问或者私信来源：金色财经

金色财经2022-10-12

盘点固件安全赛道 a16z看到了什么？

除此之外，A 轮、B 轮的融资也包括 Intel Capital（英特尔的投资部）。不过，Eclypsium 这家公司，在国内并不是特别为人熟知，简单说一下就是他们主要是做基础安全 / 固件安全类别的，主要是为企业供应链中关键硬件、固件等等提供安全服务的供应商，主要专注于服务器、笔记本电脑和网络设备（交换机、路由器等）的固件层的检测和防护。公司成员中，Yuriy Bulygin 曾在英特尔工作 11 年（高级工程师），在 McAfee 工作了两个月（CTO）。Alex Bazhaniuk 和 John Loucaides 也来自英特尔，在此之前，这三位均负责英特尔的硬件、固件安全。Ron Talwalkar 在 McAfee 工作了 11 年，作为终端安全业务部产品管理高级总监，负责英特尔安全相关的业务。那么，他们到底发现了什么呢？特别是从领域专家和创业出身的投资人的角度来看，到底有什么新趋势、或者比较新的趋势出来？这也是笔者写这篇文章的主要原因。 3.是近期复盘过去 RSA 大会的时候观察到的之前比较少见的东西为了以终为始地观察，我先把前些年 RSA 大会（一个世界级别的顶级安全大会）的一些创新项目和演讲拿出来看看，发现 2017 年 BlackHat Asia（世界顶级安全大会）上也有研究员介绍了针对 UEFI（Unified Extensible Firmware Interface）固件的渗透测试工具集，2018 年，RSA 创新沙盒的入围公司中有一家叫做 Refirm Labs，专注于物联网设备的固件安全分析，这家公司的业务重点是：网络基础设施中除了包含物联网设备，还有服务器和路由器、交换机等网络设备，用户侧还有个人电脑，那么这些设备的底层和硬件的安全问题也是值得关注的。2018 同年美国的 BlackHat 上，也有安全研究员介绍了近三年 UEFI 固件的大量安全漏洞，包括一些 UEFI、bootloader 等底层启动代码的检测工具和攻击工具层出不穷。三、市场痛点&部分大企业的动向那么，到底固件安全能解决啥问题？随着行业的成熟度不断提升，软件安全性在逐步提升。但是与此同时，固件和硬件安全近年来已经成为攻击者的热门目标。基于固件的恶意软件很大程度上被安全团队忽略，这使服务器、存储和网络设备的固件成为企业安全的「软肋」。固件存储有证书、密钥等敏感信息，成为攻击者的重要目标。83% 的被调查企业在过去 2 年曾经遭遇过固件攻击。固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。企业对固件安全重视程度必须等同于操作系统和应用安全。继续看一个数据：Gartner 预测：到 2022 年，缺乏固件更新方案的机构，70% 将会因固件漏洞遭遇数据泄露。而近年来，固件漏洞的数量激增。固件漏洞可以在设备内部任何组件中存在，包括 UEFI 或者 BIOS 系统、驱动器、网络适配器、内存、处理器、显卡以及很多其它的集成或外围组件。2016 年之后，美国国家漏洞数据库中漏洞数量每年都创出新高。2019 年，暴露出的固件漏洞数量比 2018 年增加了 43％，比 2016 年增长了 7.5 倍。根据微软 2021 年委托进行的一项调查：83% 的被调查企业在过去两年曾经遭遇过固件攻击。美国国家标准技术研究院（NIST）国家漏洞数据库的数字则显示，过去 4 年中，针对固件的攻击增加了五倍以上。在硬件生命周期报告中，将安全作为优先事项的研究参与者，约有一半（52％）宣称，至少遭遇过一起恶意软件感染固件引入了公司系统的事件，而 17％的参与者表示，该事件带来了实质影响。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 目前安全问题的严峻性。 2021 年，报告显示，有 3000 万戴尔设备面临着远程 BIOS 攻击、RCE 攻击风险。也就是这类别的漏洞可以让远程攻击者在戴尔设备的预启动环境中获得任意代码执行的权限，预估这些漏洞会影响到了全球 3000 万个戴尔终端设备。这些漏洞允许有特权的网络黑客绕过安全启动保护，控制设备的启动过程，突破操作系统和更高层的安全控制。它们的累计 CVSS 评分为 8.3 分。具体来说，这些漏洞影响了 Dell SupportAssist（一种技术支持解决方案，预装在大多数基于 Windows 的戴尔机器上）中的 BIOSConnect 功能。BIOSConnect 用于执行远程操作系统中的恢复或更新固件的功能。研究人员在一份分析报告中指出：「各种类型的技术供应商正越来越多地实施云端更新程序，这样可以确保他们的客户尽可能使他们的固件处于最新版本。虽然这是一个非常优秀的功能，但如果这些程序中出现任何漏洞，如我们在戴尔的 BIOSConnect 中看到的那些漏洞，都会产生严重的后果。」这些特定的漏洞允许攻击者远程利用主机的 UEFI 固件，并获得该设备上的最高控制权。这种远程攻击和高权限相结合进行利用，很可能使远程更新功能在未来成为攻击者的最青睐的目标。从智能手机到服务器，几乎所有设备都包含固件。计算机包含许多固件，从 USB 键盘到图形和声卡，应有尽有；即使是计算机电池也包含固件。考虑到固件的广泛普遍性，人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是，这距离事实很遥远。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。另外，对于指定的设备，人们并不总是清楚其内部是否安装了最新固件，有漏洞的固件是否已经被正确地更新。这就给 CISO 们和安全团队提出了挑战，他们需要具备确认产品固件状态的能力，而不是完全靠他们提供商的漏洞更新流程。基于固件的恶意软件很大程度上被安全团队所忽略，这使得服务器，存储和网络设备中的固件成为企业安全的「软肋」。根据微软的调查，企业对固件保护没有给予足够的投入，只有 29％的安全预算被用于固件保护；21％的被调查的决策者承认，公司的固件数据未受到任何监测。四、为什么关注固件安全领域？为什么要关注这个领域？固件安全赛道重要在哪？天花板多高？能用于哪些场景？解决什么问题？ 1.各国国家的导向以及不断攀升的针对固件攻击的安全事件频繁发生根据近期的报告，有 80% 的组织因供应链中的漏洞而遭遇网络攻击，2021 年，供应链攻击同比增长超过 100%。全球政府机构越来越多地发出警告和授权，如白宫 OMB 关于加强供应链安全的备忘录指出，设备软件和固件已成为主要来源，占网络安全和基础设施安全局（CISA）公布的已知已利用漏洞的近四分之一。图片来源：https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity 美国国家标准与技术研究院（NIST）于 2021 年 5 月 12 日发布了 EO 14028 行政命令）（如上图，其中最重要的概念之一就是 SBOM（Software Bill of Materials)，怎么理解这个 SBOM?也就是说，未来企业在交付客户软件使用时，需要根据情况应该向公众或者向客户公开其方案的组成部分的清单，长期目标是为了降低软件供应链的风险。 2021 年 5 月 26 日，CISA( 美国网络安全和基础设施安全局）在 RSA 2021 大会上公开了 VBOS 计划，目的是表明连同操作系统在内以及更底层的安全都需要防护，因为固件是拥有比操作系统更高的权限的软件，它会负责芯片 internal ROM 后硬件初始化的工作，这一特点也让它成为了一种特殊的软件，过去的 15 年中固件层面的安全对抗从未停止，只是这个层面的威胁对于普通企业难以理解所以并未受到行业的重视，但近年来固件安全问题越发严重，Google/AWS 等国际大厂为了对抗高级攻击为自己量身定制了固件安全方案，VBOS 计划是把固件安全推上的桌面，这也变相的把 SBOM 扩展到了固件层面。基于 EO 14028 的计划和框架，6 月 26 日美国国家标准与技术研究院（发布了了关键性软件的定义，其中操作系统，虚拟化，容器，中心化认证及权限管理系统，浏览器，终端安全（包含全盘加密，安全漏洞风险评估系统以及会搜集硬件，固件和操作系统基础信息的软件产品），网络协议（DNS，VPN，SDN，路由协议等），网络防护（传统防火墙，IDS/IPS 等产品）等软件包含其中。 7 月 11 日 NIST 发布了 EO- 关键性软件的安全度量，这份文档从高级防御的角度，阐述了关键性软件应该使用哪些现存的合规指南进行，7 月 11 日 NIST 同时发布了针对厂商出厂前安全测试的最低要求，其中对于模糊测试 (Fuzzing) 以及回归测试 (Regression test) 都提出了要求。 2021 年 10 月 28 日，CISA 和 NSA 发布了 5G、云基础设施安全指南、和 5G 基础设施潜在威胁，其明确提出单个节点必须具备防御已知和未知漏洞的能力以及重要 MEC 边缘节点高级防护能力必须覆盖到固件层。 2021 年 11 月 16 日，CISA 发布了联邦政府网络安全应急和漏洞响应手册，目的是持续标准化安全事件应急的的流程。 2.市场需求在哪？无论是 EO14028 与 VBOS，未来都会影响全球信息安全产业的走向，会有更多的国家跟进，各国都会逐步对 EO 14028 进行回应，并制定符合国家和行业实际情况的合规指南只是时间问题，对于企业而言，出海则可能会面临更复杂的合规要求以及审计，在亚太地区，日本和新加坡可能成为第一批参考 EO14028 的国家。并且随着勒索软件（RaaS) 的出现频率越来越高，企业将不得不将固件安全放在很重要的战略地位。我们国家对于保护关键性基础设施条例：2021 年 4 月 27 日通过了《关键信息基础设施安全保护条例》，并于 2021 年 9 月 1 日实施，条例中明确定义了关键信息基础设施的范畴包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。我们无法指望固件漏洞的增长速度会减弱：一方面，笔记本电脑，服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的 2020 年的安全漏洞中，93 个属于驱动和其他软件漏洞，66 个为固件漏洞，58 个为固件和软件组合漏洞。此外，从攻击者的角度来看，固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外，通过固件攻击，可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。 3.市场天花板有多高？根据 grandviewresearch 的研究，2020 年全球服务器市场规模为 836.6 亿美元，预计从 2021 年到 2028 年将以 7.8% 的年复合增长率（CAGR）增长。增长的原因主要来自于全球新数据中心数量的增加，包括一些云服务提供商和行业，如 IT 和电信，医疗保健，BFSI 以及政府和国防，正在升级其服务器以管理不断增长的数据量，因为 IT 基础架构的升级为管理更高的数据量提供了增强的安全性、存储和处理速度。资料来源：Grandviewresearch 为什么服务器市场会持续增长？首先从图上来看，亚太地区机架式服务器的销售激增，主要是受超大规模企业的持续需求推动对高容量服务器的需求增加，其次，支持大数据分析、软件定义解决方案和超融合基础设施的应用对高性能计算服务器的需求也在增加。还有就算，5G 网络技术的持续推出和公共云供应商对超大规模数据中心建设的积极投资也有利于服务器市场的增长。不断增长的市场，也为服务器等固件的安全提了更高的要求。五、近期部分固件安全赛道的融资情况 Eclypsium：2018 年 A 轮融资 880 美金；2022 年 10 月 4 日宣布，B 轮融资 2500 万美元； Cylus：铁路安全初创公司 Cylus2021 年底 B 轮融资 3000 万美元； Oxide Computer：2019 年底，Oxide Computer 种子轮融资 2000 万美金。 Binarly：2022 年 6 月，固件安全初创公司 Binarly 种子轮融资 360 万美元。六、商业模式的案例这部分讲几个笔者觉得值得关注的案例和它们的商业模式： 1.Eclypsium 主要业务：一方面主要是给 IBM 等大厂的固件做审计，帮助其企业和公共部门客户保护和确保硬件、固件和软件供应链的完整性。另一方面还是夯实行业安全研究的功底，及时向公众及企业披露安全风险。 Eclypsium 的投资人的评价：Eclypsium 解决了网络安全难题中关键而又经常被忽视的方面，确保每台设备都能持续地受到保护，免受供应链安全风险的影响。虽然设备安全在历史上更多地由原始设备制造商控制，但今天复杂的供应链和对第三方软件和组件的依赖已经成倍地扩大了攻击面，Eclypsium 进入市场的时机比较好，以其综合解决方案解决这些复杂问题。 2.Oxide（这个公司就更有意思了，中文互联网它的资料简直寥寥无几，但是种子轮就拿了 2000 万美金，神不神奇？） Oxide 是做什么的？商业模式又是什么？简单地说给 Oxide 钱，Oxide 就会卖给你一台电脑。问题来了，它们究竟是什么样的电脑？以及为什么大家会想买？在 90 年代末和 21 世纪初，网络服务的运行对应会有服务器放在数据中心的机架上，如果需要更多流量，数据中心就会升级，大家会买更大、更强的服务器，服务器又大又贵，而且难以管理，针对这样的情况，在 2006 年，像谷歌这样的公司会选择建立自己的服务器，这样一是可以节约成本，还有就是因为市场的标准产品无法完全满足业务的需求。谷歌这样的公司开始拒绝「服务器级」硬件的概念，而纯粹依靠更便宜的消费级硬件。但是，纯粹依靠消费级硬件就需要建立一堆软件，使服务器集群更加可靠。不过这种方法也有弊端：随着这些公司的发展，和数据中心逐步上云，一旦开始管理这么多的计算机，就发现，互联网和软件巨头开始设计甚至制造自己的硬件，以提高效率和建立竞争优势。比如说，谷歌定制了自己的服务器，用了英特尔的数百万个芯片，并在 5 月宣布，它已经设计了自己的特定应用集成电路（ASIC），用于神经网络。 Facebook 在其数据中心使用自己的交换机。公有云公司亚马逊网络服务公司不仅设计了自己的路由器、芯片、存储服务器和计算服务器，还设计了自己的高速网络。但是，企业们也会遇到扩展问题：解决办法很简单：雇用一些人建立基础设施。有人好奇，为什么不买现成的呢？因为目前的计算机公司真的是在垂直扩展的时代成长起来的，并没有可以买的现成产品，那么标准化的产品又存在问题，由于每个企业的计算需求不一定一样，就出现了这样的情况：在现成的服务器系统中，很多硬件，还有软件，在系统的各个部分都有大量浪费的部分。由于计算领域发展的专用性很强，这也意味着，如果不愿意建立自己的硬件，你能获得这种新技术的唯一途径就是租用。公共云的按使用量计费的模式是相当标准的，也是相当有利可图的。定制硬件有助于在帮助自己的业务挖出一条更深的护城河。 Oxide 正在做的是建造适合超大规模使用者的计算机，并将其出售，不过和公共云。这些计算机将由硬件和软件一起设计，创建优秀的、专用定制的安全的底层系统。 Oxide 的创业思考： Oxide 的 CEO Steve Tuck 写过一篇博客，尽管创办一家卖电脑公司，在这个阶段听起来可能很疯狂，但是他认为，硬件和软件在建造时都应互相考虑。这个信念可以追溯到它在 90 年代中期第一次来到 Sun Microsystems（很早的科技公司鼻祖）时的经验。除了不可避免的技术信念外，还有他提出的商业信念：即使世界正在（或已经）转向弹性的、API 驱动的计算，仍然有很好的理由在自己的设备上运行，此外，随着以云计算为基础的 SaaS 公司从严格意义上的以增长为中心走向以利润为中心，似乎更多的人将考虑购买数据中心或者自建数据中心，而不是总是租赁机器（成本太高）。他的创业想法开始形成：世界需要一家公司来开发并向更广泛的市场提供集成的、超级别的基础设施。七、固件安全在传统业务场景有什么应用模式？应用场景 1 ：服务器的加固 Eclypsium 的研究人员从 IBM 的 SoftLayer 云服务中租用了一台裸机服务器，该服务器使用 Maxmicro 的 BMC，这是一家具有已知固件漏洞的硬件供应商。在确认它具有最新的 BMC 固件可用后，研究人员记录了机箱和产品序列号，以帮助他们以后识别系统。然后，研究小组以单个位翻转的形式对 BMC 固件进行了「良性更改」。在将服务器释放回 IBM 之前，还创建了 BMC 的 IPMI 中的其他用户的帐户。研究人员总结道，使用易受攻击的硬件和不重新刷新固件的组合使得将恶意代码植入服务器的 BMC 固件成为可能。黑客想要做的事情包括窃取数据并从其他租户那里泄露一些秘密信息。另一个有趣的想法是通过有效地关闭这些机器来对基础设施造成实质性的破坏。如果黑客有权访问此固件层，则可以永久地「破坏」机器。针对这一发现，IBM 公司已经通过强制所有 BMC（包括那些已经报告最新固件的 BMC）在重新配置给其他客户之前使用工厂固件进行重新刷新来应对此漏洞。BMC 固件中的所有日志都被删除了，BMC 固件的所有密码都被重新生成。 IBM 发言人认为：「鉴于我们已采取的补救措施以及利用此漏洞所需的难度级别，我们认为对客户的潜在影响很小。」虽然该报告的重点是 IBM，但这实际上是所有云服务提供商的潜在全行业漏洞，感谢 Eclypsium 将其引起业界的关注。参考文献：https://www.techtarget.com/searchsecurity/news/252458402/Eclypsium-Bare-metal-cloud-servers-vulnerable-to-firmware-attacks 八、Web3 业务场景的应用随着数据中心越来越呈现分布式，以及部分大厂为了降本增效，选择自建数据中心，分布式数据中心也成为了新的潜在趋势之一。那么，这和 Web3 和区块链又有什么关系呢？已知常识是，区块链具备不可能三角，这个不可能三角指的是，去中心化、安全、可扩展性这三者是无法同时满足的，也就是说，任何系统的设计只能满足其中两个。比如极端的去中心化方案 BTC（比特币）和 XMR（门罗）都是以牺牲可扩展性为代价的，这导致 BTC/XMR 技术架构无法提供更复杂的业务，所以对于这类似这两种方案的业务来说，Layer 2 的存在是必然的，因为需要支持更复杂的业务。但是，Layer 2 对于安全主要有几个方面的挑战：首先，安全和可扩展性对于去中心化系统也至关重要，超级节点的引入会增加系统安全的风险。举个例子，PoW 的模式下，以前需要搞定几万个节点才能发起攻击比如 51%。但 PoS 时代，超级节点的诞生让需要掌控节点数量大大降低，安全存在的隐患也就更大。其次，跨链协议实现中存在缺陷。这个缺陷要怎么理解？其实就是目前例如跨链桥的实现中存在 bug，比如 A 到 B 链经过跨连桥 C，但 C 在没有完成 A 和 B 的检查就把 transaction 放行，那就可能被攻击者利用去进行无限制转账。第三就是供应链安全。主要包括开发人员是否会植入后门以及 build 基础设施的需要安全加固等考量因素。不过，如果牺牲一部分去中心化的特性，采用邦联化的架构，那这个三角就可以成为可能（也就是可以满足可扩展性和安全的特性）我们认为，Scalability 和 Security 是不能牺牲的，因为一旦这么做了，复杂业务也无法开展。不过，如果用分布式\邦联化替代 100 % 的完全去中心化，就会导致技术架构转变。因为完全去中心化指的是每个节点都有验证的权利，那即使某几个节点被攻击，也只是钱包安全的问题。但如果是 PoS 选出超级节点成为 validator 的节点受了攻击问题那严重性就非常高了。那么对于 Web3 领域来说，假设某项业务全球有几十个超级节点，一个节点放到德国的 Hetzner 数据中心，一个在法国节点放到 OVH 数据中心，然后日本的节点又是一个当地机房进行托管。如何保证这些服务器本身的运行状态是可信的，比如没有遭到机房管理人员或者其他 Evil Maid（邪恶女仆）的篡改，如果能做到这点那 web3 超级节点的物理服务器可以被扔进这个星球上任何一个数据中心并且放心大胆的运行，毕竟验证服务器是关系到钱的组件。另外一方面，不同超级节点之间可以使用邦联化协议或者跨链桥的方式进行通信，在这样的情况下，也会对底层的基础安全提出更高的要求。八、总结&后记笔者一位非常钦佩的 GP 前辈讲过一句话：要找到正确的「非共识」。这句话我一直记着，如何在大趋势开始之前观察到不一样的东西，是笔者每天都乐于探索的事情之一。回首我自己的经历，也在 2014 年前后看到 USV 合伙人对 Metaverse 的博客描述（他这篇文章是 2012 年写的，提到了推特和元宇宙）当时也突然觉得眼前一亮：如下图图片来源：Twitter and the Metaverse - AVC 也有 2019 年 USV 合伙人 Fred 博客写道他对 NFT 和虚拟人的关注之时，引发了我的思考（不过当时周围可以找到的能交流 NFT 的朋友并不多：）（如下图）。图片来源：Twitter and the Metaverse - AVC 这篇文章的写作，主要也是想给大家一个思考的新领域，新方向。来源：金色财经

金色财经2022-10-10

24小时热点