FX168财经网_全球视野外汇黄金加密货币NFT资讯网

专访 Bedrock 核心贡献者 Zhuling Chen 专注多资产再质押释放 Babylon 流动性潜力

的是，最近也在 BNB Chain 的黑客马拉松中获得了冠军。目前也已获得 Babylon 联创、OKX Venture 和 LongHash 等的投资。 Foresight News：你们不仅获得了 OKX Venture 、 LongHash 等机构的融资，还有 c98 社区，Amber Group、 Babylon 联创的投资，你觉得他们投资的是何种未来？你们又是如何吸引和选择投资者的？ Zhuling Chen：它们对未来的投资首先是对市场规模的认可，BTC 的蓝海市场现阶段仍未得到充分开发，市场需要释放 BTC 流动性。其次在于对我们节点运营和技术能力的认可，我们与这些机构在追求安全性去中心化等理念上更为契合。此外，天使投资人在与我们项目的日常合作中，更真实感知了团队实力，相信团队具有穿越牛熊的能力。而社区通常更关注去中心化建设，注重生态可持续性。相信它们投资我们也是因为 BedRock 具有这样发展的未来潜力。我们在选择投资者时，希望他们不仅在行业内有广泛的认知，而且需要对安全性有较高的重视，减少激进和高风险带来的问题，希望可以共同构建一个可持续发展的生态系统。来源：金色财经

金色财经08-14 13:21

DeFi 协议应提供多类封装型比特币， wBTC 不应作为唯一选择

付给原始存款人，这样 BTC 就不会在黑客攻击中被盗或被政府行动没收。完全自动: 由于 BitGo 托管过程中存在手动步骤，wBTC 的铸币或销毁需要花费 3-12 个小时。而 dlcBTC 则完全自动化，在 3-6 个 BTC 块确认中即可完成铸币或销毁。费用灵活: 由于 DLC.Link 不是托管方，dlcBTC 的开销更低，从而提供了更具竞争力的铸币和销毁费用。在不会爆仓的链上期权协议 Jasper Vault 上，已支持 wBTC 与 dlcBTC 交易品种，产品分为面向散户的，旨在降低准入门槛的日内到期期权，以及面向专业投资者的美式期权，提供实物交割模式和差额利润交割模式两种交割模式来适配持续上涨行情和震荡行情。 Jasper Vault 协议上的 dlcBTC 目前交易的时间段从 2 小时到 24 小时，杠杆率最高可达 300 倍而没有爆仓的风险。 Jasper Vault 称，客户如果担心 wBTC 价格不稳定，可以在 Jasper Vault 协议上用看跌期权来做风险对冲，或者买入高杠杆看跌获利，也可以选择直接交易 dlcBTC 的看涨看跌期权。由于平台近期提供了大量免费的 NFT 来让用户尝试交易 dlcBTC，dlcBTC 的交易量显著增加。

TechubNews08-14 10:22

深度解析拥有明星投资阵容的Movement

为智能合约中的漏洞被攻击者利用，每年被黑客攻击导致资金损失的项目不计其数。 2. 开发调试难度：Solidity的开发和调试过程较为复杂。由于区块链的不可变性和去中心化特性，开发者很难在主网环境中直接调试合约。虽然有诸如Remix和Truffle等开发工具，但调试仍然需要一定的技巧和经验。 3. 学习曲线陡峭：对于传统的Web开发者来说，Solidity的学习曲线较为陡峭。Solidity是一个类似于JavaScript的编程语言，但它引入了区块链特有的概念，如Gas费、合约状态等，这使得初学者需要花费更多时间来掌握。 4. 合约升级困难：Solidity智能合约的升级是一项挑战，因为合约一旦部署到区块链上就不能修改，所以在合约需要功能更新或修复错误时，开发者往往需要使用代理模式等复杂的设计模式来实现合约的升级，这增加了开发的复杂性。 5. Gas成本优化：Solidity代码的执行会消耗Gas，而Gas的成本直接影响用户的使用体验和开发者的成本控制。编写高效的Solidity代码以减少Gas消耗是开发者必须考虑的问题，但这往往需要对EVM（以太坊虚拟机）的深入理解。 6. 合约复杂度管理：随着智能合约功能的增加，代码的复杂性也会增加，管理复杂合约变得更加困难。复杂合约容易出现意外行为，难以测试和维护，这对开发者提出了更高的要求。 7. 工具和生态系统不够成熟：尽管以太坊有一套相对完整的开发工具链，但与传统开发生态系统相比，Solidity及其相关工具仍有较大的改进空间。一些工具可能功能不全或存在兼容性问题，影响开发效率。这些痛点使得Solidity开发需要开发者具备较高的专业技能，并且在开发过程中需要谨慎处理，以避免潜在的安全风险和高额的Gas消耗。幸运的是Move语言因其独特的优势，可以解决Solidity语言中存在的很多问题，比如： 1.安全性高：Move语言专注于资源安全管理，设计时就考虑到了防止常见的区块链攻击，如重放攻击和双花攻击。它通过类型系统和资源模型来确保资产的安全管理，使得资源只能以特定方式创建、销毁或转移，避免了不安全的操作。 2.资源模型：Move使用了独特的资源模型，将资产（如代币）视为“不可复制和不可丢失”的资源。这意味着资产在转移时只能从一个所有者转移到另一个所有者，消除了重复创建或意外丢失资产的风险。 3. 灵活性和模块化：Move语言支持模块化设计，使得开发者可以重用代码，创建更加复杂和可扩展的智能合约。此外，Move的类型系统允许定义自定义的资源类型，使得开发者可以构建复杂的金融和商业逻辑。 4.形式化验证：Move语言支持形式化验证，这使得开发者可以在代码部署之前验证智能合约的正确性，进一步提高了安全性。通过数学证明的方式来验证智能合约行为，可以减少智能合约的漏洞和错误。 5.并发处理：Move设计中考虑了并发执行的需求，支持多个交易的并行处理。这对于区块链网络的性能提升至关重要，能够显著提高区块链的吞吐量。 6.适应性强：虽然Move最初是为Libra/Diem设计的，但由于其独立于具体区块链的特性，Move可以适配到其他区块链平台上。已经有多个区块链项目（如Aptos、Sui）开始采用或探索使用Move语言。这些特性使得Move语言在开发安全、高效、灵活的智能合约时具有显著优势。而EVM在当今加密领域的地位几乎无法撼动，那么有没有一种既能利用Move语言的优势又能将EVM连接打通的方案呢？这就是今天的主角Movement的诞生背景。什么是Movement？简单的来说Movement就是要将安全高效的MOVE语言引入EVM生态，Movement由M1和M2两个核心组件构成，通过M1和M2的结合，提供了一个安全、高效、去中心化的区块链生态系统。Movement 是一个模块化框架，用于在任何分布式环境中构建和部署基于 Move 的基础设施、应用程序和区块链。团队正在构建一套产品和服务，使非Move协议能够利用Move编程语言的强大功能，而无需编写一行Move代码。团队的第一个版本 M1 将 L1 重新定义为可垂直组合和水平可扩展的第1层框架，该框架与 Solidity 兼容，连接 EVM 和 Move 流动性，在如今的加密市场中，公链开发的技术层面已经相当内卷了，吸引足够多的用户和资金入场才是公链能否持续生存的关键因素，而Movement另辟蹊径，打通与EVM的流动性，使其生态可与EVM取得互操作性，从而可直接获得EVM所带来的用户和资金。工作原理 Movement网络有三个主要组件可增强其性能、安全性和互操作性：移动执行器、质押结算模块和去中心化共享排序器（M1）。每个组件在确保基于 Move的rollups 运行方面都发挥着至关重要的作用。 1.移动执行器 Move 执行器是 Movement-SDK 的核心组件，支持 MoveVM 和 EVM 字节码。这种双重兼容性提供了强大的执行环境，使开发人员能够利用 Move 语言的高级功能，同时保持与现有以太坊应用程序的兼容性。Move 执行器将MoveVM 的并行执行功能与现有的 EVM解释器集成在一起，确保了兼容性和可扩展性。质押结算模块：质押结算模块旨在为 Move Rollups 网络内的交易提供快速终结性。通过利用质押资产来验证状态转换的证明者网络，该模块可确保较高的经济安全性并减少延迟。验证者质押资产并证明状态转换的正确性，将质押的安全性优势与快速交易终结性的效率相结合。 2. 安全机制：以太坊结算，验证者质押资产以提供经济安全，确保网络完整性中的重大经济利益。zk 和 Optimistic Rollups：zk-rollups 通过有效性证明提供安全性，而 Optimistic Rollups 则依靠挑战期来解决争议。这两种方法的延迟和计算成本都较高。 Staked Rollups：与 zk 和 optimism Rollups 相比，它能提供快速的终结性和较高的经济安全性，无需大量的证明生成或挑战期，从而减少延迟并改善用户体验。与其他Rollup:与 zk-rollups 不同，Staked Rollups 不需要昂贵的证明生成设备。与乐观汇总和 zk-rollups 相比，Staked Rollups 显著降低了延迟，并在几秒钟内完成。快速终结对于互操作性和原子跨 rollup 交易至关重要，这使得 Staked Rollup 成为许多应用程序的理想解决方案。 3. 去中心化共享排序器（M1） M1 排序器是一种去中心化和共享的排序机制，可增强网络稳健性、公平性和抗审查性。通过提供可定制的交易排序，M1 支持 Move Arena 生态系统中的跨链原子交换和池化流动性。此共享排序器可确保所有参与汇总的交易排序公平高效。项目团队 1. Rushi Manche：Movement Labs 联合创始人，此前是 Aptos 软件工程师； 2. Cooper Scanlon 从范德比尔特大学退学后打造了一个 SPAC DAO 工具。完成该合资企业后，他与 Move 建立并审计了第一个收益聚合器。然后，他创立了 Movement Labs，这是一家下一代基础设施公司，将区块链环境与可组合的 Move 模板统一起来； 3. Franck Cassez 是 Movement 的研究主管，此前他曾是 Windranger Labs 的区块链研究主管，他还曾在 ConsenSys 任职。他拥有南特中央大学的计算机科学博士学位； 4. Andy Bell 是 Movement Labs 工程主管，毕业于诺丁汉大学，此前是 Biconomy 工程副总裁、Ajuna 首席技术官； 5. Brian Henhsi 是 Movement Labs 的战略主管，毕业于清华大学此前他曾在 Sui / Mysten Labs 和 Chia 任职。投资机构 1.2023年9月13日Movement Labs 完成 340 万美元的 Pre-Seed 轮融资，由Varys Capital、dao5、Blizzard The Avalanche Fund、Borderless Capital 及其专注于 Wormhole 生态系统的跨链基金领投； 2.2024年4月25日Movement Labs 完成 3800 万美元 A 轮融资，Polychain Capital 领投，Hack VC、Foresight Ventures、Placeholder、Archetype、Maven 11、Robot Ventures、Figment Capital、Nomad Capital、Bankless Ventures、OKX Ventures、dao5 和 Aptos Labs 等参投； 3.2024年5月7日 Movement Labs完成了由Polychain Capital领投的3800万美元A轮融资，Hack VC、Foresight Ventures、Nomad Capital、Bankless Ventures、OKX Ventures等投资机构参投，同时Binance Labs也宣布投资Movement Labs。我们可以看到Movement的明星豪华投资阵容非常强大，这种投资阵容项目的测试网我们尽量都去参与交互一下，后期应该会有不错的空投预期。项目发展目前Movement上的生态项目已经达到了一百多个，涵盖Gaming、Wallet、NFTs、SocialFi、DeFi、Infra等多个板块，这对于一个仅仅在测试阶段的公链来说已经非常繁荣了，这也代表Movement团队的强大同时也表明其他项目对Movement的前景非常看好。同赛道项目对比 Movement和Aptos以及SUI有什么区别？ 1.Movement： Movement是一个新的区块链项目，旨在通过提供去中心化金融（DeFi）和去中心化应用（DApp）的解决方案来增强区块链生态系统的功能性和效率。特点：可能包括高吞吐量、低交易费用和强大的安全性。 2.Aptos： Aptos是一个以开发高性能智能合约平台为目标的区块链项目。它是由前 Facebook 的 Libra 项目团队（现在称为 Diem）的一部分发起的。特点：APTOS 注重于高性能、可扩展性和安全性，致力于解决传统区块链的扩展性问题，并支持复杂的智能合约和去中心化应用。 3.SUI： SUI 是一个相对较新的区块链平台，目标是提供一个去中心化、可扩展的网络环境，用于支持各种去中心化应用和金融服务。特点SUI可能强调高吞吐量、低延迟和用户友好性，同时也可能提供支持创新功能的开发工具和平台。这三个项目各有其独特的设计理念和技术实现，适合不同的应用场景和需求。总结： Movement自身定位是第一个以太坊上的MOVEEVM的L2，其作为一个模块化的Move区块链框架，具有很大的发展潜力，Move作为一种新的智能合约编程语言，提供了更高的安全性和灵活性，Movement利用Move开发语言的先天优势，可能会吸引更多开发者和项目使用其框架。Movement的模块化设计可以提高区块链系统的灵活性和可扩展性，开发者能够根据需求选择和组合不同的模块，简化开发过程并提高效率。作为一个新兴框架，Movement 需要证明其技术的成熟性和稳定性，以赢得市场信任，区块链领域竞争激烈，其他框架和平台的创新也可能对 Movement 形成威胁，Movement 需要不断创新和优化，以保持竞争力。我们期待 Movement 能够在未来带来更多的创新和突破，推动整个区块链行业的发展。来源：金色财经

金色财经08-13 18:37

频繁更换CEO背后 Starknet深陷信任危机

过于悲观。从6月参与Starknet的黑客松情况来看，其生态开发者活跃度并没有想象中那么惨淡。 @cryptonerdcn提到在币价暴跌过后，原以为没有太多用户参加，但最终估算，至少有75只队伍参加。“要知道因为starknet使用的cairo语言，相比solidity懂的人本来就很少（我记得只有几十分之一），比起evm系的可以拿着各种换壳的东西参赛，这个黑客松不少项目都是完全从0做起。” 在@cryptonerdcn看来，Starknet如果能在市场营销等短版上努力补齐，至少不会直接变成“天亡”。从Starknet近日的动态来看，持续的技术升级仍然是头等大事。Starknet 社区发布 v0.13.2 和夏季路线图中来看，8 月将推出的 v0.13.2 版本，将不增加 L1 成本的情况减少出块时间，目标是将交易确认时间缩短至平均 2 秒左右。 10 月至 11 月推出 v0.13.3 版本，该版本必备内容是 Cairo-native，强调更快的执行将进一步缩短确认时间。但是以太坊Layer2太卷了，光靠卷TPS和低费用已经带不来带来新增长预期。后续以太坊Layer2叙事如果仍萎靡不振，@cryptonerdcn期待Starknet在BTC生态上的叙事空间。今年6月，Starknet 宣布将成为第一个同时在比特币和以太坊上结算，并扩展比特币到每秒数千笔交易的网络。将在比特币潜在升级 OP_CAT 之后的六个月内实现。加密技术分析师Haotian 表示，Starknet 布局比特币生态虽然在技术上面临着太多的挑战和不确定性。“但一旦突破（以太坊）layer2的叙事束缚，Starknet的想象空间会大为不同。” 在Haotian 看来，Starknet如果向比特币生态应用场景延伸，它的ZK技术底层和并行交易、Cario语言等原先高性能的基础为成为其区别于其他Layer2的核心优势。来源：金色财经

金色财经08-13 11:28

Cartesi生态系统#12

开发者提供更强的安全保障，并确保为伦理黑客提供无争议的体验。我们邀请所有白帽黑客、漏洞赏金猎人和研究人员加入我们的旅程！目前它提供了 Solidity 编译器的漏洞赏金。请继续关注它何时上线主网 ? 想了解更多 Cartesi 生态系统中的其他项目吗？访问 rolluplab.io，查看所有使用 Cartesi 构建的项目概览。你有没有看到新的 DevAd 漏洞赏金计划？这是一个有趣的方式，让你深入了解 Web3，观看视频教程掌握 Cartesi 的基础知识，并开始构建。完成后，你将获得 30 美元奖励，还可以解锁我们不断增长的生态系统中的一系列其他酷炫机会。 DevAd 的“我构建，故我在”节目已经上传了三集新内容，你可以在这里查看。此外，还可以在 The DApp List 上看看 Cartesi 的表现。 Cartesi Grants Program (CGP) CGP 目前正在全力推进，最新的提案已经上线 Snapshot。上周一，World Tycoon 提案上线 Snapshot。World Tycoon 是一个完全链上的城市建设游戏，基于 Cartesi 构建。你可以使用游戏内资金从零开始建设你的城市，利用新型加密技术和“玩赚”激励。完整提案可以在这里查看。 CGP 在第一轮中已经取得了显著增长，共提交并审查了 49 个提案！到目前为止，已有 4 个项目获得了 141,000 美元的资助，还有 7 个提案在审查中。另一个更新是，初步审查阶段之后，提案将会在 Discord 的 #cgp-questions 频道中公开审查。有兴趣与我们合作并获得资助吗？点击这里申请。 DevAd Seed Grant 进展在 DevAd Seed Grant 方面也取得了进展，这是一种 Cartesi 的快速资助计划： CartDevKit - CLI 工具，帮助启动用于 Cartesi 的全栈项目仓库。 Seed Grant 完成前端完全集成了 Apollo SDK，用于 GraphQL 交互 Smart Bus - 智能公共交通管理。提案被接受完成了第一阶段目前正在审查中 PrivadoID 已上线 Polygon-Amoy 正在开发一个去中心化的凭证颁发系统 Peeps - 一个将传统的微博客与 DeFi 结合的社交媒体平台完成了资助完成了平台资产管理的完整钱包集成已上线 Arbitrum Sepolia Prism - 将 NFT 转换为可穿戴艺术品。稳定扩散的视频教程已部署在 Sepolia 第一位用户创建完成正在完成前端开发要了解所有正在进行的 DevAd Seed Grants 项目的最新概况，请点击这里。如果你有一个构建的想法，查看 Cartesi Grants Program 或 DevAd Seed Grants 并申请资助吧！社区动态 The Defiant 采访了 Gabriel C 和 Luca，他们来自 L2beat，讨论了关于欺诈证明以及合作在改进欺诈证明中的重要性。 Erick 在 CryptoSlate 上撰写了一篇专栏文章，探讨了模块化技术不仅仅是技术上的改进，而是区块链基础设施设计中的战略性转变，为未来的应用提供了更强的基础。此外，别忘了查看 Guilherme 的文章，探讨如何安全、无信任地升级 Web3 应用，并讨论了涉及的权衡。活动正如之前提到的，7月对 Cartesi 来说是一个充满挑战的月份。EthCC 的氛围非常棒，Felipe 的脸上也体现了这一点。本周以我们与 Espresso 共同主办的“Back to the Future”事件拉开帷幕。晚上包括了两个讨论小组以及大量饮品。晚上的主题是模块化和比特币 L2s。这些讨论小组也不只是普通的讨论，为了增加趣味，我们要求与会者写下随机词汇并放入一个桶中，参与者在演讲时需要使用这些词汇。成功使用所有五个词汇的参与者会获得奖励。想知道谁赢了吗？请在这里观看完整的讨论小组。 https://youtu.be/ddqbXYuGzAA 贡献者聚焦本月的贡献者亮点是 Michael，他在 Discord 的 #beginner-friendly 频道中持续发布“每周工具”帖子。由 DevAd 主办的 Dev Tool Spotlight 系列每周三展示一个令人兴奋的工具，专门设计来提升你在 Cartesi 上的开发体验。可以在我们的 Discord 上查看。即将举行的活动我们在布鲁塞尔活动后稍作休息，但这并不意味着我们没有为即将到来的会议做准备。保持关注我们的活动安排，并在有机会时与我们打招呼，订阅我们的实时公开活动日历。同时，不要忘记参与 Link3、Galxe 和 Zealy 上与活动相关的活动！ 8月15日之前 - RIVES Game Jam #2 与 Forgotten Runes（在线）（https://itch.io/jam/rives2） 8月13日 - Cartesi 参与 Mario Nawfal X Space 举办的 Crypto Town Hall（在线）（https://x.com/Crypto_TownHall） 8月14日 - I Build, Therefore I Am 第五集（在线）（https://lu.ma/i.build.i.am_ep5） 8月23日 - RIVES & Vibes | 社区电话会议（在线）（https://discord.com/invite/FQnQqKWVn8） 9月2日 - Cartesi 与 Web3 开发者俱乐部 - 大师班培训项目（线下）（https://medium.com/@Web3Clubs/calling-all-developers-join-the-cartesi-web3clubs-residency-program-in-nairobi-486c0be58a3e）想了解所有已完成的 Cartesi 活动和电话会议，请前往我们的 YouTube 频道！关于 Cartesi Cartesi 是一种特定于应用程序的汇总协议，具有运行 Linux 发行版的虚拟机，为 DApp 开发人员创造了更丰富、更广泛的设计空间。 Cartesi Rollups 提供模块化扩展解决方案，可部署为 L2、L3 或主权 Rollups，同时保持强大的基础层安全保证。免责声明本文章仅供一般参考和信息分享之用，不构成法律、金融或投资建议。本信息的准确性和完整性不受保证，也不应被视为对特定情况的建议。读者应自行进行独立的研究和咨询，以做出任何决策。作者和相关机构对任何因依赖本信息而产生的损失或损害概不负责。在做出任何金融或投资决策之前，强烈建议咨询专业人士以获取个性化的建议。虚拟货币属于高风险投资品，在做出投资决策前，请咨询相关监管机构是否存在投资亏损风险。来源：金色财经

金色财经08-12 18:34

狙击钓鱼：一文读懂 OKX Web3 钱包四大风险交易拦截功能

场景。绝大部分的场景就是在于诱导用户对黑客的EOA账户进行授权。恶意授权给 EOA账户，一般是指黑客通过各类福利活动等形式诱导用户进行授权，并将其用户地址授权给一个EOA地址的签名。 EOA 全称 Externally Owned Accounts，也译为“外部账户”。是以太坊为主的区块链网络上的一种账户类型，这与以太坊上的另一种账户类型—合约账户（Contract Account）不同，EOA是由用户拥有的，且不受智能合约控制。玩家链上冲浪时一般都是授权给项目方的智能合约账户而非个人拥有的EOA账户。目前，最常见的授权方式有三种： Approve 是存在于 ERC-20 代币标准中的常见授权方法。它授权第三方（如智能合约）在代币持有者的名义下花费一定数量的代币。用户需要预先为某个智能合约授权一定数量的代币，此后，该合约便可在任何时间调用 transferFrom 功能转移这些代币。如果用户不慎为恶意合约授权，这些被授权的代币可能会被立刻转移。值得注意的是，受害者钱包地址中可以看到 Approve 的授权痕迹。 Permit 是基于 ERC-20 标准引入的扩展授权方式，通过消息签名来授权第三方花费代币，而非直接调用智能合约。简单来说，用户可以通过签名来批准他人转移自己的 Token。黑客可以利用这种方法来进行攻击，例如，他们可以建立一个钓鱼网站，将登录钱包的按钮替换为 Permit，从而轻易地获取到用户的签名。 Permit2 并非 ERC-20 的标准功能，而是由 Uniswap 为了用户便利性而推出的一种特性。此功能让 Uniswap 的用户在使用过程中只需要支付一次 Gas 费用。然而，需要注意的是，如果你曾使用过 Uniswap，并且你向合约授权了无限额度，那么你可能会成为 Permit2 钓鱼攻击的目标。 Permit 和 Permit2 是离线签名方式，受害者钱包地址无需支付 Gas，钓鱼者钱包地址会提供授权上链操作，因此，这两种签名的授权痕迹只能在钓鱼者的钱包地址中看到。现在Permit 和 Permit2 签名钓鱼已经是 Web3 资产安全领域的重灾区。该场景下，OKX Web3 钱包拦截功能如何发挥作用？ OKX Web3钱包会通过对待签交易进行前置解析，若解析发现交易为授权行为且授权的地址为EOA地址时，则为用户告警提醒，防止用户被钓鱼攻击，造成资产损失。 2、恶意更改账户 owner 恶意更改账户 Owner的事件通常发生在 TRON、Solana 等底层机制有账户 owner 设计的公链上。用户一旦签名，就将失去对账户的控制权。以 TRON 钱包为例，TRON 的多重签名权限系统设计了三种不同的权限：Owner、Witness 和 Active，每种权限都有特定的功能和用途。 Owner 权限拥有执行所有合约和操作的最高权限；只有拥有该权限才能修改其他权限，包括添加或移除其他签名者；创建新账户后，默认为账户本体拥有该权限。 Witness 权限主要与超级代表(Super Representatives) 相关，拥有该权限的账户能够参与超级代表的选举和投票，管理与超级代表相关的操作。 Active 权限用于日常操作，例如转账和调用智能合约。这个权限可以由 Owner 权限设定和修改，常用于分配给需要执行特定任务的账户，它是若干授权操作（比如 TRX 转账、质押资产）的一个集合。一种情况是黑客获取用户私钥/助记词后，如果用户没有使用多签机制（即该钱包账户仅由用户一人控制），黑客便可以将 Owner/Active 权限也授权给自己的地址或者将用户的 Owner/Active 权限转移给自己，该操作通常都被大家称为恶意多签。如果用户 Owner/Active 权限未被移除，黑客利用多签机制与用户共同控制账户所有权。此时用户既持有私钥/助记词，也有 Owner/Active 权限，但却无法转移自己的资产，用户发起转出资产请求时，需要用户和黑客的地址都签名，才能正常执行交易。还有一种情况是黑客利用 TRON 的权限管理设计机制，直接将用户的 Owner/Active 权限转移给黑客地址，使得用户失去 Owner/Active 权限。以上两种情况造成的结果是一样的，无论用户是否还拥有 Owner/Active 权限，都将失去对该账户的实际控制权，黑客地址获得账户的最高权限，就可实现更改账户权限、转移资产等操作。 3、恶意更改转账地址恶意更改转账地址的风险交易场景主要发生在DApp 合约设计不完善的情况下。 3 月 5 日，@CyversAlerts 监测到，0xae7ab 开头地址从 EigenLayer 中收到 4 枚 stETH，合约 14,199.57 美元，疑似遭遇钓鱼攻击。同时他指出，目前已有多名受害者在主网上签署了「queueWithdrawal」钓鱼交易。 Angel Drainer 瞄准了以太坊质押的性质，交易的批准与常规 ERC20「批准」方法不同，专门针对 EigenLayer Strategy Manager 合约的 queueWithdrawal (0xf123991e) 函数写了利用。攻击的核心是，签署「queueWithdrawal」交易的用户实际上批准了恶意「提款者」将钱包的质押奖励从 EigenLayer 协议提取到攻击者选择的地址。简单地说，一旦你在钓鱼网页批准了交易，你在 EigenLayer 质押的奖励就将属于攻击者。为了使检测恶意攻击变得更加困难，攻击者使用「CREATE2」机制来批准这些提款到空地址。由于这是一种新的审批方法，因此大多数安全提供程序或内部安全工具不会解析和验证此审批类型，所以在大多数情况下它被标记为良性交易。不仅这一例，今年以来，一些主流公链生态系统中均出现了一些设计不完善的合约漏洞导致部分用户转账地址被恶意更改，造成资金损失的问题。该场景下，OKX Web3 钱包拦截功能如何发挥作用？针对EigenLayer的钓鱼攻击场景，OKX Web3钱包会通过对「queueWithdrawal」的相关交易进行解析，若发现用户在非官方网站交易，且取款至非用户自身地址时，则会对用户进行警告，强制用户进一步确认，防止被钓鱼攻击。 4、相似地址的转账相似地址转账的攻击手法通过欺骗受害者使用与其真实地址非常相似的假地址，使得资金转移到攻击者的账户中。这些攻击通常伴随复杂的混淆和隐匿技术，攻击者使用多个钱包和跨链转移等方式，增加追踪难度。 5 月 3 日，一个巨鲸遭遇了相同首尾号地址钓鱼攻击，被钓走 1155 枚 WBTC，价值约 7000 万美元。该攻击的逻辑主要是黑客提前批量生成大量钓鱼地址，分布式部署批量程序后，根据链上用户动态，向目标转账地址发起相同首尾号地址钓鱼攻击。而在本次事件中，黑客使用了去除 0x 后的首 4 位及尾 6 位和受害者目标转账地址一致的地址。用户转账后，黑客立即使用碰撞出来的钓鱼地址（大概 3 分钟后）尾随一笔交易（钓鱼地址往用户地址转了 0 ETH），这样钓鱼地址就出现在了用户的交易记录里。由于用户习惯从钱包历史记录里复制最近转账信息，看到了这笔尾随的钓鱼交易后没有仔细检查自己复制的地址是否正确，结果将 1155 枚 WBTC 误转给了钓鱼地址。该场景下，OKX Web3 钱包拦截功能如何发挥作用？ OKX Web3 钱包通过对链上的交易进行持续监控，如果发现在1笔大额交易发生后不久，链上立刻发生非用户主动触发的可疑交易，且可疑交易的交互方与大额交易的交互方极其相似，此时会判定可疑交易的交互方为相似地址。若用户后续与相似地址进行交互，OKX Web3则会进行拦截提醒；同时在交易历史页面，会直接对相似地址相关的交易进行标记，防止用户被诱导粘贴，造成资损。（目前已支持8条链）结语总的来讲，2024年上半年，空投钓鱼邮件和项目官方账户遭黑等安全事件仍频发。用户在享受这些空投和活动带来收益的同时，也面临着前所未有的安全风险。黑客通过伪装成官方的钓鱼邮件、假冒地址等手段，诱骗用户泄露私钥或进行恶意转账。此外，一些项目官方账户也遭到黑客攻击，导致用户资金损失。对于普通用户来讲，在这样的环境下，最重要的就是提高防范意识，深入学习安全知识。同时，尽可能选择风控靠谱的平台。风险提示及免责声明本文章仅供参考。本文仅代表作者观点，不代表OKX立场。本文无意提供 (i) 投资建议或投资推荐； (ii) 购买、出售或持有数字资产的要约或招揽； (iii)财务、会计、法律或税务建议。我们不保证该等信息的准确性、完整性或有用性。持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动。您应该根据您的财务状况仔细考虑交易或持有数字资产是否适合您。有关您的具体情况，请咨询您的法律/税务/投资专业人士。请您自行负责了解和遵守当地的有关适用法律和法规。来源：金色财经

金色财经08-12 16:03

Zelle发生数亿美元欺诈!摩根大通,美国银行等难逃调查...

分值得讨论的观点：当客户们的账户因为被黑客入侵而蒙受损失时，银行是否应该对其进行赔偿？按照联邦法规的要求，银行是需要偿还客户未经授权的付款，“账户被黑客入侵”便是其中之一。但在银行的眼里，要求银行退还客户被骗批准付款的转账是十分不合理的。按照他们的说法，“覆盖欺诈成本本身就会鼓励更多的欺诈行为发生，并由此造成更大的损失”。但事实上，在很长的一段时间里，“用Zelle转账受骗，银行进行理赔”似乎是一个不成文的规矩。在Zelle转账遭遇诈骗早就有之，仅2021年和2022年，仅仅计算经手的4间银行，就有近20万笔交易涉嫌诈骗，涉及金额高达2亿多元。彼时，为了进一步提高网络转帐的安全性，并杜绝诈骗行为的发生，参与Zelle转账的几家主要银行还讨论制定了理赔指南，并退还了受骗用户的损失和银行间的非法转账，这其中就有摩根大通。据了解，数千家的金融机构都允许顾客通过Zelle系统转帐，诈欺者常常以银行名义发给用户电邮，短信或者是直接打电话，让用户将钱转入一个账户，用户误认为这个账户是自己的。通常情况下，这一类电话的来电显示为银行的客服热线，但实际上是将受害人的电话与诈欺帐户相连。按照规定，银行应当退还未经授权的转帐，但如果用户受了骗，已经将钱寄了出去不，那这些金额是没有办法收到保护的。获得众多银行支持和背书的Zelle，究竟是什么？说到这里，我们就需要来聊聊本次事件的“始作俑者”——Zelle了。 Zelle是一个美国银行间的即时转账系统，最初由几家大银行发起成立。用户们可以使用邮箱和手机号注册这项服务，注册成功后，不同银行间的转账就不需要手续费了（只要双方使用的银行都是Zelle的合作伙伴即可）。转账时，用户只需要输入接收方注册Zelle时所使用的邮箱或者电话即可，实时到账。因为使用Zelle转账无需手续费，所以该项服务一上线，接入Zelle的银行便越来越多，就连华美（East West Bank）和国泰（Cathy Bank）这两家最大的美国本土华人银行也推出了Zelle转账功能。不过，与常规的转账一样，除非接收Zelle转账的邮箱或者手机号没有注册Zelle，否则资金会直接进入对方的银行账户，无法撤回或者取消。一旦转错，也只能看对方愿不愿意退给你，收款方如果不愿意退，银行没有办法解决，即便报警也无济于事。也正因此，有人建议在使用Zelle转账时，可以尽量选择让收款方发起收款请求（Request）, 尽量避免使用自己主动转账（Send）。不过，使用Zelle转账，还有一个pending可以加以利用，防范风险。通常有以下两种情况可以使用pending：一是银行认为这笔转账有风险，需要调查，必要时银行会选择银行账户，需要客户打电话去银行解锁；二是收款方大量接收Zelle转账，银行会认为是高风险，对收款方的账户展开调查，调查清楚后才会变成completed。从根本上说，大家对银行监管方式，监管力度以及监管内容产生了质疑和争议，是包括摩根大通在内的几家银行本次身陷调查风波的根本原因。图片来源于网络来源：金色财经

金色财经08-12 10:45

特朗普竞选团队内部文件被黑客泄露，详细记录万斯对特朗普的攻击

评，被特朗普团队标记为“潜在漏洞”。黑客还提供了部分关于佛罗里达州参议员马可·鲁比奥的研究文件，鲁比奥也是副总统提名的候选人之一。当被问及如何获得这些文件时，黑客回答说：“我建议你不要好奇我从哪里得到的这些文件。任何对这个问题的回答都会让我陷入困境，并在法律上限制你们发布它们。” 目前尚不清楚黑客获取的信息范围有多大，但这代表了特朗普竞选团队的一个重大安全漏洞。特朗普团队指责伊朗是幕后黑手。上个月，有报道称美国情报界获得越来越多的证据，表明伊朗正在策划暗杀特朗普，以报复他在2020年下令暗杀伊朗军官卡西姆·苏莱曼尼的决定。虽然没有迹象表明上个月在集会上对特朗普发动袭击的枪手与该阴谋有关，但这仍引发了担忧。在周六的声明中，特朗普发言人提到了这些报道，并表示：“伊朗人知道，特朗普总统会像他在白宫的前四年一样，阻止他们的恐怖统治。” 伊朗政府官员暂时无法联系到进行置评。 2016年，美国民主党高级官员在总统大选前被黑客攻击，导致一些尴尬的电子邮件被泄露，记录了党内运作和前总统候选人希拉里竞选团队的内部情况。国家安全官员后来指责俄罗斯策划了这次黑客行动。这些电子邮件随后被WikiLeaks发布，在选举日之前让克林顿的政治运作陷入困境。 2017年，美国司法部发起了一项调查，调查俄罗斯干预选举以及特朗普团队在黑客行动中的角色。特别检察官罗伯特·穆勒最终得出结论，他缺乏足够的证据对特朗普或其竞选团队就涉嫌与俄罗斯合谋提出刑事指控。然而，他描述了一个鼓励黑客攻击并急于利用这些材料的特朗普竞选团队，并指出特朗普及其一些盟友对调查者获取关键通信和证词的能力造成了重大阻碍，这些证据可能会揭示更多的内幕。来源：加美财经

加美财经08-12 00:00

英特尔因资金短缺而取消创新博览会

，将集中精力于其他活动，如网络研讨会、黑客马拉松以及Intel AI峰会，代替原定的创新大会。公司现状和计划上周，Intel发布了令人失望的销售预测，并削减了股息，同时计划裁减15%的员工，这表明在首席执行官Pat Gelsinger的领导下，公司复苏仍然遥远。这一决定是在公司最近一份糟糕的财报之后做出的。 Gelsinger的战略目标年会创新活动曾是Gelsinger恢复Intel技术领先地位和影响力的一部分。此活动的模式借鉴了曾经引领计算机行业方向的Intel开发者论坛（Intel Developer Forum）。来源：今日美股网

今日美股网08-11 00:14

剖析当下加密领域盛行的四种观点

ast是诈骗的“完美网络”。在多次遭受黑客攻击和数百万美元损失后，Blast生态系统TVL崩溃。过去数十亿美元的TVL现在只有8亿美元。一些基于Blast的协议TVL跌至个位数。但并非一切都是坏事。 Blast仍排名第7，但它是TVL流失最快的。该图中TVL流失速度第二快的链是……以太坊。注意市场趋势，因为正在改变。来源：金色财经

金色财经08-10 14:25

24小时热点