FX168财经网_全球视野外汇黄金加密货币NFT资讯网

比特币再次冲击72000 以太坊维持箱体等待突破

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。昨晚纽交所出现了故障导致包括巴菲特老爷子的伯克希尔哈撒韦在内的多只股票出现暴跌甚至归零，以前我们常常自嘲币圈项目方都是草台班子，你以为高大上的项目方、机构、交易所其实都是几个刚毕业的大学生，合约代码都是一周之前刚学会的，只不过他们发掘了正确的商业模式并且通过信息差才成为割韭菜的庄家而已，而纽交所事件告诉我们，整个世界可能都是一样的，纽交所本周已经发生三起交易故障了，只不过之前没有众多明星股票瞬间归零这么严重的事故所以大家不知道而已，而之所以故障频出只是因为美国交易所正处在T+2向T+1转换之际，就这么一个小小的变化，世界第一大所都能频频出错，这再次告诉我们千万不要对你不了解的任何公司付出100%的信任。市场方面，昨晚老美公布的5月制造业PMI指数不仅预期并创近三月的新低一下就浇灭了老美经济强劲的幻想，降息预期大大提升，昨晚CME预期9月降息概率已经增加至62%了，比前天的54%有上涨了8个百分点，这在币市肯定是利好，昨晚大饼也再次冲破7w点，不过好玩的是，纽交所事故突然传来，美股没怎么着，大饼吭哧吭哧的下跌，不知道的还以为大饼出啥利空了呢，下跌的无厘头；以太坊和其他山寨走势相比大饼更惨，昨晚大饼突破之前，市场就出现了被吸血行情，而当大饼回调后，山寨市场反而加速下跌，这就是所谓的跟跌不跟涨吧。比特币维持昨天的分析不变，短期底部支撑验证结束，将重新进入上攻阶段，昨天拉升到71000后没能有效站稳，不过后续还会继续上攻，直至站稳且创新高。以太坊本周相比大饼走势偏弱，也没有最新的ETF消息出来，而且上周五拜登变相支持SAB121法案后，也让大家再次看不懂他到底支不支持加密，这个可能一定程度的会影响大家对ETF短期上市的信心，另外就是木头姐推出以太坊ETF的申请队列，对ETH也有一定负面影响，不过关于后市，我还是维持我之前的看法，在6月底之前还会有一波不错的行情。文/我是周悦盈感谢阅读来源：金色财经

金色财经06-05 14:37

区块链动态2024年6月5日早参考

道，日本加密货币交易所DMM比特币遭到黑客攻击，损失4,502.89美元BTC，价值3.05亿美元。黑客已将4,502.89美元的BTC转移到10个地址。 26. 金色财经报道，由华尔街巨头贝莱德(BlackRock)和Citadel Securities支持的机构正计划在得克萨斯州成立一家新的全国性证券交易所，旨在对抗他们认为纽约证券交易所和纳斯达克的监管不力。德克萨斯证券交易所(Texas StockExchange)首席执行官James Lee告诉《华尔街日报》，该交易所已经从个人和大型投资公司筹集了约1.2亿美元，计划今年晚些时候向美国证券交易委员会提交注册文件，目标是在2025年开始促进贸易，并在20)6年举办第一次上市。德克萨斯证券交易所将完全采用电子交易方式，但计划在达拉斯市中心设立实体机构。德克萨斯证券交易所还希望吸引ETF产品上市。来源：金色财经

金色财经06-05 11:48

巴菲特“爱股”闪崩99%！纽约证交所曝光事发原因斯诺登发表“大胆声明”……

xchange)报告称，没有迹象表明有黑客攻击。针对这一事件，斯诺登在推特上简单地表示，“比特币解决了这个问题。” (来源:Twitter) 他的简短评论强调了他相信去中心化金融系统比传统的中心化交易所更具优势。 Bitcoinist报道，比特币是一种去中心化的数字货币，在点对点网络上运行，没有中央权威。这种结构与传统证券交易所形成鲜明对比，传统证券交易所的集中控制可能导致系统性风险，例如最近纽约证券交易所的故障所表明的风险。比特币的设计旨在确保透明度、不变性和安全性，从而降低因技术问题或集中错误而发生此类灾难性故障的可能性。斯诺登在此背景下对比特币的支持凸显了加密货币对传统金融系统可能存在的漏洞的抵御能力。斯诺登指出“比特币解决了这个问题”，暗示比特币的去中心化性质可能会防止金融系统出现类似的混乱，为传统交易平台提供更可靠的替代方案。值得注意的是，自诞生以来，比特币的正常运行时间高达 99.989%。这种非凡的可靠性证明了其底层区块链技术的稳健性。比特币早期只发生过两次事件：第一次发生在2010年，被称为“价值溢出事件”，当时一个漏洞凭空创造了数十亿比特币。第二次发生在2013年，涉及由于不兼容的软件升级导致的临时区块链分叉。核心开发人员迅速解决了这两起事件，增强了比特币的弹性。

颜辞06-05 11:40

提高加密资产安全意识

。因此只要我们的加密资产信息被曝光，黑客很容易定位我们的身份，进行定点作案。尤其加密资产的转移还是在网上进行的。这更加利于黑客专门针对加密用户进行作案。这起安全事故打开了潘多拉的盒子，我相信往后魔鬼会接二连三地被放出来。而对这些新式作案方式，恐怕现有的CEX以及个人用户是防不胜防的。关于加密资产的安全问题已经谈得老掉牙了，但这个话题却永远不会过时。每次谈到相关的安全事件或话题时，我总是强烈建议我们的读者一定要使用冷钱包，把自己不交易的加密资产存放在冷钱包里。在冷钱包中的资产只有自己才能提取，只要严格按照规程操作外人很难把资产从冷钱包里划走。技术的进步一日千里。在加密生态，很多时候黑客对新技术的使用远比我们普通人更前卫、更先进。和黑客比攻防，我们肯定比不过他们的。但我们根本不需要在这方面较劲，只要自己麻烦一点，用一个冷钱包就能避免绝大部分资产被盗的事故。希望这次事件能再次给我们所有的读者提个醒，不要再有侥幸心理了，一定要准备一个冷钱包，把重要的大额资产保管在冷钱包里。来源：金色财经

金色财经06-05 08:18

金色百科 | 什么是去中心化应用程序 (dApp)？

在点对点网络上运行，这使得它们不易受到黑客攻击和数据泄露。然而，由于整个区块链网络的批准，dApp 可能很难更新和维护，这使得它们容易受到攻击和黑客攻击。金融交易、供应链管理、房地产销售、医疗数据存储和跟踪、教育、社交媒体平台和预测市场等各个行业都在使用 dApp。各行业可以使用它们来建立去中心化的学习平台和去中心化的预测市场。他们还帮助医疗保健专业人员、学生和教师在社交媒体上进行交流和协作。 Web3 和 dApp 有什么不同？ Web3 和 dApp是两种不同的技术，旨在使用区块链技术创建一个超安全、无需信任和自治的网络。加密生态系统的万维网被称为 Web3，Web3 应用程序是连接到加密钱包的任何基于区块链的应用程序。它包括游戏以及DeFi 和 NFT平台。 Web3拥有广泛的 dApp，例如游戏、金融服务以及社交和内容共享功能，创建了一个融合社交媒体和去中心化网络的生态系统。基于区块链技术的 dApp 或“去中心化应用程序”使服务提供商能够收集和监控用户的在线数据和浏览习惯。然后，消费品牌利用这些信息来制作更相关的广告。 DApp 的工作方式与常规应用程序类似，但如果没有中央服务器，任何实体都无法对其拥有更大的权力。用户在使用dApp之前通常需要购买代币，帮助构建区块链环境。它们包括智能合约和实用代币，这是使用服务或购买数字商品的主要区块链支付方式。 dApp 是短暂的趋势还是长期的答案？去中心化应用程序是在去中心化网络或区块链上运行的计算机系统，为用户提供不受公司控制的未来。这些应用程序为区块链游戏、交易 NFT 以及在平等对待每个人的网络上投资去中心化金融(DeFi) 提供了新的机会。它们依靠计算机网络而不是单个实体来执行其功能。这使得它们不易受到黑客攻击或信息违规等漏洞的影响。它们可以更加透明和安全，因为任何人都可以看到区块链上的代码和交易。凭借所有这些优势，dApp 作为未来金融的长期解决方案而广受欢迎，因为它们提供隐私保护和对数字财产的控制。虽然一些人认为当前围绕 dApp 的热潮只是一种短暂的趋势，但另一些人则认为早期采用者和加密货币爱好者主要使用它们。尽管存在一些怀疑，但仍有许多人认为dApp是解决当今技术行业面临的各种问题的最终解决方案，因为它们提供了更大的隐私和个人控制，允许人们保持对其信息的控制并选择访问它。 dApp将如何改变区块链行业？去中心化应用程序正在彻底改变区块链行业，支持新的业务模式，减少中介机构，并通过在区块链上存储用户数据来增强隐私，防止未经授权的访问和数据泄露。例如，音乐流媒体 dApp Audius 将艺术家与粉丝直接联系起来，并在区块链上创建他们的作品的不可变记录，允许表演者将他们的作品货币化。 DApp 还提供增强的隐私性，通过仅共享用户想要的内容来减少停机时间并减少中央数据存储。他们使用区块链网络进行去中心化，并且通常包含用于资产和数据传输的智能合约。此外，它们还提供广泛的其他用途，包括点对点金融交易、供应链管理、身份验证、财产所有权跟踪和医疗保健相关活动。此外，去中心化应用程序通过记录和轻松证明交易来保证金融交易的透明度。因此，dApp 可以利用智能合约创建新的商业模式，使其透明、防篡改和自动化，并借助区块链技术的力量减少对中介机构的需求。来源：金色财经

金色财经06-04 19:29

投资人沦为“大型交易所牺牲品”！账户100万美元资金突然“消失” 究竟怎么回事？

所币安(Binance)卧底的牺牲品，黑客透过“对敲交易”盗走他账户内的100万美元资金，罪魁祸首被锁定在谷歌Chrome插件Aggr上，引发社群热议。 CryptoNakamao表态：“我成了币圈卧底的牺牲品，币安账户里100万美元灰飞烟灭。” 他阐述事发过程指出，在Alpha Tree向加密社区公布插件问题之前的一周或几周前，这个插件的问题早就能被公布和发酵了。他找到推广这个插件的意见领袖(KOL)，以确定其是否是黑客的同谋。在此过程中，他得知币安早就知道这个插件的存在，甚至鼓励这名KOL与黑客进一步获得更多的信息，CryptoNakamao表示：“而我就是在该插件被进一步推广之时被盗的。” “币安至少在三、四周前就追查到黑客的地址了，也从该KOL处获取到插件的名字和链接。” “但即便如此，币安很可能是为了继续追查这个黑客，避免打草惊蛇，而没有及时通知暂停这个产品。” “我也就此成为了牺牲品。” 他指责币安工作人员的反应十分迟缓，没有帮用户挽回任何损失。他写道：“按照时间线总结来看，首先，币安在已知该黑客和插件存在问题情况下，几周不作为也不预防，任由推广继续，让资金损失扩大。” “其次，币安已知被盗和对敲频发的情况下，仍然不作为。黑客肆意操纵账户长达一个多小时造成多个币对极端异常交易而未有任何风控。” “再来，币安未及时冻结平台内显而易见的黑客单一账户对敲资金。” “最后，错过最佳时机，时隔一天多，币安才联系相关平台冻结。” 他在文章末尾写道：“之前总看到币安关于彰显自身安全性的文章，每年币安的年度总结也总少不了安全二字，让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任，但当遇到风险后，币安的一系列行为让我感到陌生。那些华丽的词藻，动辄几亿上百亿的数据，我都没办法相信了。” “我在这个把这个故事写下来，一方面是对被盗后的一切都深感迷茫无助。另外更想为大家敲响安全问题的警钟，不要重蹈我的覆辙。随加密货币越来越为人熟知，任何参与者的资产安全和人身安全，都值得重视。” 消息在推特传出后，已获得2200万浏览量。 (来源:Twitter) (来源:Twitter) (来源:Twitter) (来源:Twitter)

秉哥说市06-04 15:59

OKX Web3、BlockSec：@所有巨鲸 DeFi世界最新避险攻略

差异，了解项目的安全改进情况。 Q5：黑客攻击历史、赏金计划，对DeFi项目安全性的参考价值？ OKX Web3 钱包安全团队：黑客攻击历史和赏金计划，对于DeFi项目的安全性评估提供了一定的参考价值，主要体现在以下几个方面：第一，黑客攻击历史 1）揭示历史漏洞：攻击历史可以展示项目曾经存在的具体安全漏洞，让用户了解过去哪些安全问题被利用过，以及这些问题是否得到了彻底的修复。 2）评估风险管理能力：项目如何响应历史上的安全事件，能够体现出其风险管理和危机处理的能力。一个积极响应、及时修复漏洞并赔偿受影响用户的项目，通常被视为更可靠和成熟的投资选择。 3）项目信誉：频繁的安全问题可能减损用户对项目的信任，但如果项目能展示出从错误中学习并加强安全措施的能力，这也能够构建其长期的信誉。第二，赏金计划赏金计划在DeFi及其他软件项目中的实施，是提高安全性和挖掘潜在漏洞的重要策略。这些计划对项目的安全性评估带来了多方面的参考价值： 1）增强外部审计：赏金计划鼓励全球的安全研究者参与到项目的安全审计中。这种“众包”方式的安全测试能够揭露内部审计可能忽视的问题，从而增加了发现和解决潜在漏洞的机会。 2）验证安全措施的有效性：通过实际的赏金计划，项目可以在实战中测试其安全措施的有效性。如果一个项目的赏金计划历时较长但报告的严重漏洞较少，这可能是一个表明项目相对成熟和安全的指标。 3）持续的安全改进：赏金计划提供了一种持续改进的机制。随着新技术和新攻击手段的出现，赏金计划帮助项目团队及时更新和强化其安全措施，确保项目能够应对最新的安全挑战。 4）建立安全文化：项目是否设立赏金计划，以及该计划的严肃性和活跃度，能够反映出项目团队对安全的态度。一个积极的赏金计划显示了项目对建立坚实的安全文化的承诺。 5）提升社区和投资者信心：赏金计划的存在和效果可以向社区和潜在投资者证明项目对安全的重视。这不仅可以增强用户信任，还可能吸引更多的投资，因为投资者倾向于选择那些显示出高度安全责任感的项目。 Q6：参与DeFi时，用户如何构建监控感知能力 BlockSec安全团队：以巨鲸用户为例，巨鲸主要是指个人投资者或小团队的投资机构，这些用户的资金规模较大，但通常没有非常强的安全团队，也没有自研安全工具的能力。因此，目前为止，实际上大部分巨鲸都没有足够的风险感知能力，否则就不会遭受如此巨大的损失了。由于面临巨大损失的风险，一些巨鲸用户开始有意识地依赖一些公开的安全工具来监控和感知风险。现在，有很多团队在做监控产品，但是如何选择非常关键。这里有几个关键点：首先，是工具的使用成本。许多工具虽然非常强大，但需要编程，使用成本并不低。对于用户来说，搞清楚合约的架构，甚至收集地址都不是容易的事情。其次，是精准度。没有人希望在晚上睡觉时连续收到几个警报，结果发现是误报，这样会让人心态炸裂。因此，准确度也非常关键。最后，是安全性。特别是在这种资金规模下，不能忽视工具研发及其团队的各种安全风险。最近的 Gala Game 被攻击事件，据说就是由于引入了不安全的第三方服务商。因此，可靠的团队和可信的产品至关重要。截至目前，也有许多巨鲸找到我们，我们会为其推荐专业的资管方案，从而使巨鲸用户既能保证资金的安全，又能兼顾日常的资金管理如“挖提卖”，感知风险，甚至在紧急状态下的资金撤退。 Q7：参与DeFi的安全建议、以及如何处理安全风险 BlockSec安全团队：对于大额资金参与者，参与 DeFi 协议首要是要保证本金安全，在对可能的安全风险进行了比较充分的研究后进行投资。通常可以从以下几个方面保证资金安全。首先，要多方位判断项目方的安全重视和投入程度。包括上面说的是否经过比较彻底的安全审计、项目方是否具有项目安全风险监控和自动响应能力、是否具有比较好的社区治理机制等。这一些都能反映出项目方对于用户资金安全是否放在比较重要的方面，是否对用户的资金安全具有高度负责的态度。其次，大额资金的参与者也需构建自己的安全监控和自动响应系统。在投资的协议发生安全事件后，大额资金的投资人应该第一时间能感知并且能撤退资金，尽可能地挽回损失，而不是将所有的希望都寄托在项目方身上。在 2023 年我们能看到多个知名项目都被攻击过，包括 Curve、KyberSwap、Euler Finance 等。很遗憾的是，我们发现在攻击发生的时候，大额投资者往往缺乏及时、有效的情报，也没有自己的安全监控和应急撤退系统。另外，投资人需要选择比较好的安全合作伙伴来对投资的项目标的安全进行持续的关注。无论是对项目方代码的升级、重要的参数改变等都需要能及时感知并且评估风险。而这样的事情没有专业安全团队和工具的参与是很难完成的。最后，需要保护好私钥安全。对于需要经常交易的账户，最好通过线上多签和线下私钥安全解决方案相结合的方法来进行，杜绝单个地址和单个私钥丢失后的单点风险。如果一旦投资的项目面临安全风险，又该如何处理？相信对于任何巨鲸和投资者而言，遭遇安全事件的第一反应一定是先保本，尽快撤资是最优先的动作。但是攻击者的速度通常很快，手动操作往往来不及，因此最好能够根据风险自动撤资。当前，我们提供相关的工具，可以实现发现攻击交易后自动撤资，帮助用户优先撤离。其次，如果真的遭遇了损失，除了吸取教训，还应该积极推动项目方寻求安全公司的帮助，对受损资金进行追溯和监控。随着整个 Crypto 行业对安全的重视，追回资金的比例在逐步提升。最后，如果是大户，还可以请安全公司盘点投资的其他项目是否有类似问题。很多攻击的 Root cause 是一致的，例如 Compound V2 的精度损失问题，去年许多项目都存在相似的问题并被连续攻击。因此，可以请安全公司分析投资组合中其他项目的风险，如果发现风险，应该尽快与项目方沟通或撤出。 OKX Web3 钱包安全团队：参与 DeFi 项目时，用户可以通过采取多种措施来更安全地参与 DeFi 项目，降低资金损失的风险，享受去中心化金融带来的收益。我们分别从用户层面、以及OKX Web3 钱包2个层面来展开。第一，对于用户而言： 1）选择经过审计的项目：优先选择经过知名第三方审计公司（如 ConsenSys Diligence、Trail of Bits、OpenZeppelin、Quantstamp、ABDK以及今天我们对话的嘉宾BlockSec）审计的项目，审阅其公开的审计报告，了解潜在风险和漏洞修复情况。 2）了解项目背景和团队：通过研究项目的白皮书、官方网站和开发团队背景，确保项目具有透明性和可信度。关注团队在社交媒体和开发社区中的活动，了解其技术实力和社区支持。 3）分散投资：不要将所有资金投入到单一 DeFi 项目或资产中，分散投资可以降低风险。选择多个不同类型的 DeFi 项目，如借贷、DEX、Farming等，以分散风险敞口。 4）小额测试：在大额交易前，先进行小额测试交易，确保操作和平台的安全性。 5）定期监控账户及应急处理：定期检查自己的 DeFi 账户和资产，及时发现异常交易或活动。使用工具（如 Etherscan）监控链上交易记录，确保资产安全。检测到异常后及时采取应急措施，比如撤销账户的所有授权，联系钱包安全团队获取支持等。 6）谨慎使用新项目：对于刚上线或未经验证的新项目，保持谨慎态度。可以先投入少量资金进行试验，观察其运行情况和安全性。 7）使用主流Web3钱包进行交易：仅使用主流的Web3钱包与DeFi项目交互，主流Web3钱包提供更好的安全防护。 8）防范钓鱼攻击：谨慎点击陌生链接和不明来源的电子邮件，不要在不受信任的网站输入私钥或助记词，确保访问的链接是官方网站。使用官方渠道下载钱包和应用程序，确保软件的真实性。第二，从OKX Web3 钱包层面而言：我们提供了很多安全机制以保护用户资金安全： 1）风险域名检测：在用户访问DAPP时，OKX Web3钱包会在域名层面进行检测分析，如用户访问的是恶意DAPP，则会进行拦截或提醒，防止用户上当受骗。 2）貔貅盘代币检测：OKX Web3钱包支持完善的貔貅盘代币检测能力，在钱包中主动屏蔽貔貅盘代币，避免用户尝试跟貔貅盘代币交互。 3）地址标签库：OKX Web3钱包提供了丰富完善的地址标签库，在用户跟可疑地址交互时，OKX Web3钱包会及时给予告警。 4）交易预执行：在用户提交任何交易前，OKX Web3钱包都会模拟执行该交易，并将资产和授权变化结果展示给用户参考。用户可根据该结果评判是否符合预期，以便决定是否继续提交该交易。 5）集成DeFi应用：OKX Web3钱包已经集成了各类主流的DeFi项目的服务，用户通过OKX Web3钱包可以放心与集成的DeFi项目进行交互。另外OKX Web3钱包也会对DEX，跨链桥等DeFi服务进行路径推荐，以便给用户提供最优的DeFi服务和最优的Gas方案。 6）更多安全服务：OKX Web3钱包还在逐步增加更多安全功能，建设更多先进的安全防护服务，将更好更高效地保障OKX钱包用户安全。 Q8：不仅是用户，DeFi项目方面临的风险类型以及如何防护？ BlockSec安全团队：DeFi项目方面临的风险类型包括：代码安全风险、运营安全风险和外部依赖风险。第一，代码安全风险。即DeFi项目在代码层面可能存在的安全隐患。对DeFi项目而言，智能合约是其核心业务逻辑（前后端处理逻辑等属于传统的软件开发业务，相对而言比较成熟），也是我们关注和讨论的重点，包括： 1）首先，从开发角度来说，需遵循业界公认的智能合约安全开发实践，比如对于用于防止重入漏洞的Checks-Effects-Interactions模式等等；此外，常用的功能尽可能选择可靠的第三方库来实现，避免因为重复发明轮子带来的不可知风险。 2）其次是做好内部测试，测试是软件开发中的重要环节，能够帮助发现很多问题。但对于DeFI项目而言，仅通过本地测试并不足以暴露问题，更需要在贴近实际上线的部署环境中做进一步测试，这方面可以通过使用类似Phalcon Fork这样的工具来帮助实现。 3）最后，在测试完成之后，接入口碑良好的第三方审计服务。审计虽然不能确保100%不出现问题，但系统性的审计工作能够在很大程度上帮助项目方定位已知常见的各类安全问题，而这些往往是开发者不熟悉或者因为思维方式的不同而较难触及的部分。当然，由于各家审计公司在专业和方向上存在差异，如果预算允许，在实践中也推荐2家或者多家审计公司参与。第二，运营安全风险。即项目上线后在运营过程中的产生的安全风险。一方面，代码依旧可能存在未知漏洞。即便代码已经经过良好的开发、测试和审计，依旧可能存在未被发现的安全隐患，这一点在软件开发数十年的安全实践中得到了广泛证明；另一方面，在代码层面的问题之外，项目上线后面临更多挑战，比如私钥泄漏、系统重要参数错误设置等等，均可能造成严重的后果和巨大的损失。运营安全风险的应对策略建议包括： 1）建立健全私钥管理：采用可靠的私钥管理方法，比如可靠的硬件钱包或基于MPC的钱包解决方案等。 2）做好运行状态监控：监控系统实时感知特权操作和项目运行中的安全状态。 3）构建针对风险的自动化响应机制：比如采用BlockSec Phalcon，可以在遭遇到攻击的时候自动实施阻断，避免（进一步）的损失。 4）避免特权操作的单点风险：如用Safe多签钱包来执行特权操作。第三，外部依赖风险是指项目存在的外部依赖带来的风险，比如依赖于其它DeFi协议提供的价格预言机，但预言机出现问题导致价格计算产生错误的结果。针对外部依赖风险的建议包括： 1）选择可靠的外部合作伙伴，如业界公认的可靠的头部协议等。 2）做好运行状态监控：类似运营安全风险，但这里的监控对象是外部依赖。 3）构建针对风险的自动化响应机制：类似运营安全风险，但处置方式可能有所区别，比如切换备用依赖而非直接pause整个协议。此外，对于希望构建监控能力的项目方，我们也给出一些监控建议 1）准确地设置监控点：确定协议存在哪些关键的状态（变量）、在哪些位置需要监控，这是构建监控能力的第一步。但监控点的设置很难覆盖全面，特别是在攻击监控方面，建议采用外部专业第三方、经过实战检验的攻击检测引擎。 2）确保监控的精准性和及时性：监控的精准性是指不能有太多的误报(FP)和漏报(FN)，缺乏精确性的监控系统实质上是不可用的；及时性是做出响应的前提（比如能否在可疑合约部署后、攻击交易上链前检测到），否则只能用于事后分析，这对监控系统的性能和稳定有极高的要求。 3）需要自动化响应能力：基于精准和实时的监控可以构建自动化的响应，包括pause协议阻断攻击等等。这里需要有可定制、可靠的自动化响应框架支持，可根据项目方的需求灵活地定制响应策略并自动触发执行。总体而言，监控能力的构建需有专业的外部安全供应商参与建设。 OKX Web3 钱包安全团队：DeFi 项目方面临着多种风险，其中主要包括以下几类： 1）技术风险：主要包括智能合约漏洞和网络攻击。防护措施包括采用安全开发实践、聘请专业的第三方审计公司对智能合约进行全面审计、设置漏洞赏金计划以激励白帽黑客发现漏洞，以及做好资产隔离来提高资金的安全性等。 2）市场风险：主要包括包括价格波动、流动性风险、市场操纵和组合性风险。防护措施包括使用稳定币和风险对冲防范价格波动，利用流动性挖矿和动态费用机制应对流动性风险，严格审查DeFi协议支持的资产类型和使用去中心化预言机防止市场操纵，并通过持续的创新和优化协议功能来应对竞争风险。 3）运营风险：主要包括人为错误和治理机制风险。防护措施包括建立严格的内部控制和操作流程以减少人为错误的发生、使用自动化工具提升操作效率，以及设计合理的治理机制，确保去中心化与安全性平衡，如引入投票延迟和多签机制。并对上线的项目做好监控和应急预案，一旦出现异常可以立即采取措施，将损失降到最低。 4）监管风险：法律合规要求和反洗钱（AML）/了解你的客户（KYC）义务。防护措施包括聘请法律顾问确保项目符合法律和监管要求、建立透明的合规政策以及主动实施 AML 和 KYC 措施以提升用户和监管机构的信任。 Q9：DeFi项目方，如何判断并选择好的审计公司？ BlockSec安全团队：DeFi项目方如何判断并选择好的审计公司，这里有一些简单标准的可供参考： 1）是否审计过知名项目：这表明该审计公司被这些知名项目所认可。 2）审计过的项目是否被攻击过：固然从理论上来讲审计并不能保证100%的安全，但实践经验表明口碑良好的审计公司所审计的大部分项目未曾有过被攻击记录。 3）通过过往审计报告判断审计质量：审计报告是衡量审计公司专业程度的重要标志，尤其是在同样的审计项目、同样的审计范围可作对比的情况下，可重点关注漏洞发现的质量（危害程度）和数量等，漏洞发现是否通常被项目方采纳。 4）专业从业人员：审计公司的人员构成，包括学历和从业背景等，系统性的教育和从业经验对于确保审计质量有很大的帮助。最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第05期，当前我们正在紧锣密鼓地准备第06期内容，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！免责声明：本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经06-04 15:10

币安（BINANCE）联合创始人何一：币安不存在安全漏洞!

联合创始人何一就价值 100 万美元的黑客攻击事件发表了公开声明，澄清此次入侵是由于用户设备被攻击，而非币安平台的安全漏洞所致。据报道，一名用户因安全漏洞损失了 100 万美元的加密货币，对此何一进行了回应。他强调，此次损失是由于用户的个人电脑被黑客入侵，而不是币安平台本身的安全问题。此前，加密货币交易员 Nakamao 声称其账户遭受了重大损失，并指责币安存在安全问题。币安没有错何一在详细的声明中否认了币安在此次黑客攻击中存在过错。他解释说，用户的账户是通过一台被入侵的电脑访问的，黑客在获得访问权限后出售了受害者的加密货币，导致交易损失。他强调币安的安全系统依然完好无损，漏洞并非源于平台本身。何一在公开声明中写道：“仔细看看；这个用户的账户被入侵是因为他们的电脑被黑客入侵；他们已经没救了。” 另一方面，Nakamao 提供了不同的视角，他表示黑客通过控制他的网络 Cookie 来操纵他的币安账户。“后来，安全公司告诉我，黑客通过劫持我的网络 Cookie 来操纵我的账户，”他解释道。他描述了黑客如何在流动性高的 USDT 交易对中执行交易，并在流动性较低的 BTC 和 USDC 等交易对中下达不合理的卖单。快速冻结被黑账户币安客服部门在收到冻结请求后迅速采取行动，在 1 分 19 秒内冻结了受影响的账户。客服部门表示，此次入侵是通过一个恶意插件进行的，该插件允许黑客冒充 Nakamao。币安的声明中写道：“我们同情您的经历，但根据我们目前掌握的信息，您资产损失的原因是您的相关设备因安装恶意插件而被操纵。” 尽管币安行动迅速，Nakamao 对币安的解释和处理方式提出了质疑。他声称币安事先知道这个恶意插件的存在，并指责平台没有提前采取行动警告用户。“事实证明，币安很早就知道这个插件的存在，甚至鼓励 KOL 从黑客那里获取更多信息，”Nakamao 说。何一建议用户注意保持安全登录习惯，尤其是对于活跃的 Cookie 插件。她重申，币安无法赔偿因用户行为而导致登录设备受损的用户。“币安无法赔偿用户的登录设备受损，”她敦促用户避免为了琐碎的便利而危及安全。来源：金色财经

金色财经06-04 14:40

新加坡人工智能周即将拉开帷幕 SuperAI成为焦点

每天在城市各处举行的各种研讨会、聚会、黑客马拉松和行业聚会中，共同揭开下一代人工智能技术面纱。 SuperAI 还宣布了 Genesis 的首次亮相，这是最重要的人工智能初创企业竞赛，收到了 700 多个申请。 Genesis 将重点介绍 10 家入围的竞争者，包括 Betterdata、Betterteem、FAIT、Float16.cloud、Hoc-trade、Lytehouse、NeuroMesh、OpenOrigins、SparkBeyond 和 Verbalate，以期给数千名与会者和由知名风险投资家组成的评审团留下深刻印象。Genesis 由亚马逊网络服务提供支持，将成为 SuperAI 的一大亮点。亚马逊网络服务东盟地区初创企业业务发展主管 Ian Sikora 表示：“我们期待在 SuperAI 中发挥关键作用，就像在 AWS 一样，我们热衷于促进创新并支持下一代技术先驱。Genesis 初创企业竞赛提供了一个展示突破性 AI 创新的绝佳平台，我们很高兴看到这次会议上无疑将展示的杰出人才和创新。” SuperAI 的参与者来自全球 AI 生态系统的领导者，包括微软、谷歌、亚马逊、波士顿动力、Nvidia、Salesforce、Stability AI 等，国际参与者占比超过 70%。SuperAI 拥有超过 150 名人工智能前沿创新者和思想领袖的阵容，与会者将亲身体验前沿进步和 AI 的变革性应用，重新定义我们今天所知的技术。 SuperAI 的主要演讲者包括波士顿动力公司创始人兼人工智能研究所执行董事 Marc Raibert、告密者 Edward Snowden、多产天使投资人和企业家 Balaji Srinivasan、Stability AI 创始人 Emad Mostaque、分析师 Benedict Evans、Real Vision 联合创始人兼首席执行官 Raoul Pal、SingularityNET 创始人兼首席执行官 Ben Goertzel、Aleph Alpha 首席执行官 Jonas Andrulis、Appier Group 联合创始人兼首席执行官 Chih-Han Yu、《Hooked and Indistractable》一书的作者 Nir Eyal 等。今年 SuperAI 的小组讨论、主题演讲和炉边谈话将讨论一些突出的话题，例如大型语言模型的演变、生成式人工智能、机器人技术、去中心化人工智能以及人工智能在金融科技、教育、医疗保健、网络安全中的整合及其对未来工作的影响。 SuperAI 的钻石赞助商包括 Google Cloud、Amazon Web Services、io.net 和 Motiff。有关 SuperAI 票务和更新的更多信息，请访问 www.superai.com。 PR Newswire 是 SuperAI 的社区合作伙伴。关于 SuperAI SuperAI 是首屈一指的人工智能 (AI) 会议，向世界揭晓下一代变革性技术。SuperAI 将汇聚全球行业领袖、国家元首、企业家、知名研究人员和爱好者，见证最聪明头脑的充满活力的聚会，塑造人工智能的未来。SuperAI 的首届会议在新加坡标志性的滨海湾金沙酒店举行，深入研究人工智能发展的前沿，发掘人工智能进化的无限潜力。媒体联系人 SuperAI@wachsman.com 来源：金色财经

金色财经06-04 14:09

对话 Puffer：LRT 内卷下,何以吸引 Binance Labs、Franklin 等顶级资本押注？

解决可验证性计算的问题。我们曾在一次黑客马拉松中，建立了一个可以隐私保护的去中心化搜索引擎，它能让用户的输入内容被加密，这个项目经验也为Puffer Finance 提供了关键架构基础。 2、ChainCatcher：你曾在公开的播客采访中提到，你和 Puffer Finance 另一位联合创始人兼CTO Jason Vranek 受到了以太坊基金会研究员 Justin Drake 的质押研究启发，从而选择切入到以太坊基础层开启创业之旅。你们当时做了多长时间的研究，希望解决什么样的市场痛点？ Amir ：最初我们想利用可验证技术，来解决LSD的罚没风险。我们在探索可验证技术的同时，也发现了以太坊流动性质押过程中涉及到很多信任问题。用户将资金存入到流动性质押提供商，流动性质押提供商充当一个中间商角色，将用户的资金提供给一些中心化的节点运营者，信任它们提供验证后会将奖励也分配给用户。但这中间因为信任问题，会带来很多风险。比如节点运营者如果被罚没怎么办？ 2022年6月份，以太坊基金会研究员 Justin Drake发布了一篇《Liquid solo validating》的研究论文，讨论了如果利用硬件来降低单独验证器的罚没风险，提高LSD的资本利用效率。受到这篇论文启发，我们大概在2022年底创建了一个针对Solo Staking/ Home Staking（单独质押）的抗罚没解决方案，现在被我们称为Secure-Signer安全签名技术，它基于英特尔的SGX 运行，来防止罚没行为。此外，通过 Secure-Signer安全签名技术，Puffer 能够安全地将验证者门槛要求从 32 ETH 降低到仅 1 ETH，大幅度降低了单独验证者的参与门槛。Secure-Signer安全签名技术也获得了以太坊基金会的资助。不局限于再质押，致力成为以太坊基础层 3、ChainCatcher：Puffer Finance多次提到你们的叙事并不局限于Restaking，那你们的定位是什么？和其他再质押协议相比有哪些差异化和创新点？ Amir ：首先，Puffer Finance是唯一一个无需许可的以太坊流动性质押协议，允许任何节点验证工作的个体进入。其次，目前很多LRT 或其他 LST 协议团队本质上只是简单的智能合约，它们将架构的很多基础设施建设其实留给了中心化运营商，但Puffer 的定位是致力于成为以太坊的基础层，旨在使以太坊验证器的去中心化运行更加可行。我们希望为用户解锁更多的功能，比如再质押就是其中一种。再质押让以太坊POS机制的安全性可以被共享，并为质押者或节点运营者获得更多奖励。未来Puffer 还计划利用再质押进一步推动以太坊堆栈向前发展。以太坊堆栈目前还有很多问题需要解决，比如它需要可组合性、Layer2 之间存在大量流动性碎片问题等。此外，Puffer还在积极探索一些前沿方案，比如Puffer团队熟悉的AI，如何对链上进行安全数据处理等。 4、ChainCatcher：Puffer Finance目前将质押的资金门槛从32个ETH降低到1个ETH，Puffer Finance 在开发中遇到了哪些难点？ Amir ：也有很多人来问我，为什么相比于一些竞争对手，Puffer速度偏慢。对此我想说的是，Puffer要创建的是原生质押和无许可网络。而构建这样的一个 trustless 系统需要很长时间。你必须解决很多问题，不仅是基于博弈论的、由于不信任而产生的问题，而且还需要解决很多技术障碍。我们需要思考该如何信任节点运营者不离线？如果离线了，又该如何应对？节点运营者的随意下线，意味着用户会面临资金成本、机会成本等多方面的损失。对此，我们引入了经济担保和惩罚机制。基本上在这个惩罚条件下，如果节点运营商离线或者被罚没，他们将会损失他们自己的钱，从而让用户得到很好的保护。 2024 年年底或 2025 年初，以太坊Pectra升级后，智能合约触发验证者提款才被引入，在这之前它是不可用的，因此我们必须创建自定义的协议外解决方案，来解决以太坊中未启用的功能。 5、ChainCatcher：Restaking在提高资金利用率的同时也会增加新的罚没（ slash ）风险。在降低质押资金门槛外，Puffer Finance 又是如何保证流动性质押者或者节点运营商的安全性的？它的难点在哪儿？ Amir ：当然会增加更多的风险，因为你用同样的资产来保护了更多的活动。目前再质押的罚没功能还未正式上线，一旦它上线，作为像我们这样的 LRT，要非常小心以保护用户免受即将到来的罚没风险。我们正在仔细研究每一项 AVS（主动验证服务），密切关注他们的罚没规则。对于罚没规则可能受到外部风险的AVS，比如受到美元升值的影响，那么你很难预测和抵抗罚没的风险波动。我们需要尽力确保用户不接触这类AVS。此外，我们正在与 EigenLayer等团队合作，为 AVS的密钥管理和抗罚没创建标准化。 Puffer V2版本将在未来几个月中推出。我们希望确保所有用户密钥在每个堆栈中都受到保护，从质押、再质押再到我们为用户提供的任何其它应用程序中，都受到质押保护。随着近期我们启用了无许可验证器，我们也正通过自动化的方式，密切跟踪验证器的操作。 6、ChainCatcher：Puffer Finance近期上线了主网，和测试网阶段相比有哪些新的变化？ Amir ：Puffer 主网上线意味着原生流动性再质押功能在 Puffer 上启动了，存入Puffer 的stETH 从 Lido 协议中取出转换为 ETH，进一步实现以太坊网络的去中心化。此外，质押者现在可以享受 AVS 的奖励。抗惩罚和安全密钥管理功能降低了用户在质押和再质押中的罚没风险。 7、ChainCatcher：接下来的重要路线图有哪些？ Amir ：下一阶段目标是进一步降低用户质押门槛，比如让质押资金无限接近于0，这样才会使我们成为完全无许可的、去中心化的协议。具体到今年主网上线后：首先，我们会拓展到一些Layer2上，为用户提供更多低gas的选择。其次，我们将开放提现功能，我知道有一些协议已经提前开放了，但Puffer还是希望确保用户安全，在各项指标检查完成后再逐步开放。我们将提供两种提现方案，一种是快速提现、二是像Lido 一样的传统提现方案。此外，目前AVS 上没有惩罚机制，但一旦上线，这将变得非常重要。Puffer 计划启动自己的 AVS，通过质押为其质押者和节点运营者提供更高的奖励。我相信到2024年底，市场可以看到 Puffer Finance 等LSD/LRT协议为以太坊带来的新范式，就像Layer2对于以太坊那么重要。 8、ChainCatcher：Puffer Finance未来推出自有的AVS服务将有哪些特点？ Amir：AVS是我们路线图的一部分，是针对更复杂节点提供定制化的服务，可拓展的应用落地场景非常大，留给AVS 服务商的空间很大。比如说链上AI 这波热潮下，AI +Crypto项目的最大需求之一可能就是可验证计算、可信的执行环境等。Puffer 过往有过AI+Crypto开发的经验，也围绕过 Layer2制定了很多新的架构计划，Puffer 还在基础层上运行，拥有可信的执行环境，因此拥有作出独特AVS的能力。 Puffer 还更关注改进以太坊基础层本身，比如以太坊的交易、MEV、及时确认等各个方面都有改善的空间。我相信除了为EigenLayer 提供了数据可用层服务外，Puffer 可以提供更多优质的服务。 LRT War 才刚刚开始 9、ChainCatcher：一些再质押协议已经TEG和发布空投，Puffer Finance 在这方面有何计划？预期的时间大致在什么时候？积分激励计划是否有所调整？ Amir ：对于社区治理来说，代币是非常有必要的，我们需要确保社区得到照顾。我和团队正在为TEG做努力，希望可以选择一个好的时机，具体时间暂时还无法公布，但很快会有消息。 Puffer Finance的积分激励活动已进入Chapter 4了， Chapter 4推出了新的Puffer积分机制，同时也拓展了生态系统。参与者只需要持续参与质押，就可以获得更多的收益。 10、ChainCatcher：Puffer Finance 拿到了很多知名资本或个人的融资，其中包含Binance Labs这类交易所基金、传统金融巨头Franklin Templeton、以及 Eigenlayer 创始人等，你认为Puffer Finance吸引投资者的最大亮点是什么？ Amir ：首先，Puffer致力于探索的是基于以太坊的前沿技术。其次，近期Puffer 获得的1800万美元融资中，投资者可能主要对Puffer 接下来的升级非常看好，因为这一升级将为用户提供更好的生态系统服务。此外，Puffer 是以社区驱动的项目，我们非常了解社区的需求，也愿意与社区共建Puffer 。 11、ChainCatcher：目前以太坊质押率在30%左右，你认为随着再质押的兴起，以太坊质押市场还会有哪些突破？目前以太坊再质押赛道的竞争进入了什么阶段？ Amir ：以太坊质押率到达一定地步肯定是会被封顶的，一些项目也会控制以太坊的质押率。这也让再质押可以获得额外的回报。目前再质押还处于非常初期的阶段，一切才刚刚开始，大部分协议和Puffer 一样，还在一个路线图规划阶段，还有很多内容等待实际的落地。来源：金色财经

金色财经06-04 13:19

24小时热点