FX168财经网_全球视野外汇黄金加密货币NFT资讯网_关键字搜索-FX168

全球数字财富领导者

CoNET｜客户端｜旧版｜｜

FX168 全球视野中文财经

登录 / 注册

万字详谈加密合规：Tornado Cash制裁后时代
 go
主主义人民共和国（DPRK）国家支持的黑客组织 Lazarus Group 窃取，该组织于 2019 年被美国制裁，这是迄今为止已知的最大的加密货币抢劫案。Tornado Cash 随后被用于清洗来自 2022 年 6 月 24 日 Harmony Bridge Heist 的超过 9600 万美元的恶意网络参与者资金，以及来自 2022 年 8 月 2 日 Nomad Heist 的至少 780 万美元的资金。 OFAC 在官网披露中认为：Tornado Cash（Tornado）是一种在以太坊区块链上运行的加密货币混合器，通过混淆其来源、目的地和交易对手，不加选择地促进匿名交易，而无需确定其来源。Tornado 接收各种交易并将它们混合在一起，然后再将它们传输给各自的接收者。虽然据称目的是增加隐私，但像 Tornado 这样的混合器通常被非法行为者用来洗钱，尤其是那些在重大抢劫中被盗的资金。Tornado 被指认为非法网络活动提供实质性协助，可能对美国的国家安全、经济健康或金融稳定造成重大威胁，因此受到 OFAC 的制裁。 2.2 Tornado Cash 所受到的影响截止目前，Tornado 受到的影响主要有两部分：与 Tornado Cash 有交互被列入 SDN 的部分以太坊及 USDC 地址及 USDC 资产 Tornado Cash 的 Github 代码库及前端官网已经限制访问根据 OFAC 制裁规定，SDN 清单主体在美财产会被冻结，任何美国人（包括美国公民、美国绿卡、依美国法律登记设立的机构或法人以及位于美国境内的人等）不得与其交易，这也意味着 SDN 主体将无法进行美元清算与交易。即「美国人」都会禁止与之发生关系，不然除了罚款可能甚至要负刑事责任。对于被列入 SDN 的以太坊及 USDC 地址而言，根据 OFAC 制裁结果，制裁发出后 USDC 发行商 Circle 正式将美国财政部制裁名单中的以太坊地址列入黑名单。Uniswap 屏蔽了 253 个与被盗资金或制裁有关的加密地址，借贷协议 Aave 同样屏蔽了众多与 Tornado Cash 有过交互转账的地址。( 美国财政部官网披露的受制裁地址 SDN List Cyber-related Designation: https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808) 而对于 Tornado 本身来说，这次制裁导致访问 Tornado Cash 被限制，而用户不仅不能登上 Tornado Cash 官网，并且像 Infura 和 Alchemy 这样的第三方节点运营商，也将停止支持 Tornado Cash 的相关服务。此外，最为广泛使用的以太坊钱包 MetaMask 的用户，现在也被禁止与 Tornado Cash 互动（因为 MetaMask 依赖 Infura 与以太坊互动，仍然想使用 Tornado Cash 的用户除非自己手动设置 MetaMask 的节点配置，不用 Infura，才能保证 MetaMask 可以和 Tornado Cash 交互），严重限制了 Tornado Cash 用户数量。对于 Tornado Cash 的制裁，虽然影响了大量用户对协议的访问、代码的协作开发以及部分协议功能，例如 Distributed Relayer Network。会使得普通用户更加难以参与上述这些活动。但是，由于 Tornado Cash 是部署在以太坊（无法篡改区块链）上的去中心化应用程序，该应用程序本身将继续在网络上不受影响地运行，并且几乎无法停止运行。 2.3 Tornado Cash 制裁本身的程序性合规争议正由于 Tornado Cash 去中心化的本质，所以 OFAC 列出制裁的加密货币钱包也不能表明这些被制裁的钱包背后有实体、法人、自然人可以被制裁，因为安装在以太坊智能合约上的钱包，可以不被人控制，自动根据代码进行混币。并没有证据表明，部署了 Tornado Cash 的自然人或者法人团队现在还对该程序进行控制。在 Tornado Cash 的逻辑里，混币的用户可以来自五湖四海，但并没有中心审查团队或者机制去甄别这些客户，但这并不一定是有人故意为之，而是系统与算法自动进行去中心化的匹配和处理。在这种情况下，有律师认为 OFAC 是否可以将一个自动协议列入 SDN，该情况是否违宪？如果被制裁的 Tornado Cash 是一个实体，实体如果认为 OFAC 制裁不公，是可以通过法律手段进行申辩并且在联邦法院提起诉讼。由于诉讼只有实体可以提出，所以请愿移出 SDN 名单也只有实体才可以做到，那么制裁没有中心的实体是不是不公平？同时，制裁相关钱包并无法改变该自动算法自动进行交易的行为，那制裁是否违背了 OFAC 的初衷，即促使某组织或个人改变行为。加密货币智库 Coin Center 认为 OFAC 制裁 Tornado Cash 的行为超出了该组织的权限，由于制裁并未推动在「实体」上，同时不能有效改变行为。最后它并不在 IEEPA（《国际紧急经济权利法》）规定的对「财产」封锁的范畴内，且没有提供美国宪法规定的程序性正当程序要求，所以 OFAC 此行为超出其本身的行政权力。在荷兰政府羁押了 Tornado Cash 创始人 Alex Pertsev 之后，8 月 20 日有超过 50 人的集会在阿姆斯丹游行抗议该羁押，要求释放 Alek Pertsev。目前，对 OFAC 这次制裁存疑的律师在组织力量和 OFAC 联系并试图在法律层面推动抗议与诉讼。海外资产控制办公室（OFAC）概述 3.1 OFAC 由来海外资产控制办公室（the Office of Foreign Assets Control，简称 OFAC）成立于 1950 年，是美国财政部下属的一个机构，主要对反对美国利益的外国人和组织进行经济或者贸易制裁，权力很大、名声相对较小，制裁效果明显，往往上了 OFAC 名单会给被制裁的目标带来深远的影响。 OFAC 的创立来源于国会于 1977 年通过的一项法案 -《国际紧急经济权力法》（简称 IEEPA），该法案首先要遵守美国宪法，所以行使法案相关权力的行为也要符合美国宪法。IEEPA 给予总统（国家行政机构）宣布国家紧急状态的权力，从而阻止受美国管辖的人和组织进行任何涉及外国势力损害美国利益的活动。IEEPA 给予了 OFAC 封锁财产的权力，其核心是「财产」。911 之后，为了从财务上更好地打击恐怖组织，当时的美国总统布什推进国会通过了另一项法案《美国爱国者法案》，实质上将 IEEPA 拟定的行政权扩大了，并给予了 OFAC 很大的权力。该法案允许 OFAC 封锁「调查中（Pendency of an Investigation）」的财产，并不必为此提出解释或提供确凿的证据。 OFAC 的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁，包括对一切恐怖主义、跨国毒品和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁，目前的 OFAC 仍然是美国最重要的针对特定国家、地区和人员进行的经济和贸易制裁的政府部门。近年来，随着世界性的反贪腐、反洗钱运动的深入，OFAC 的政策和指令，已经成为世界金融业，尤其是美国和与美国金融业有密切联系的金融机构无法忽略的经营原则。 3.2 OFAC 主要处罚类型在 OFAC 开始将制裁的大棒挥向加密货币和区块链行业之前，OFAC 的传统制裁对象一般是意识形态上挑战美国的与主权国家相关的个人与组织。2021 年 10 月，OFAC 发布了针对加密货币的合规引导（Sanctions Compliance Guide for the Virtual Currency Industry），里面重申了 OFAC 的制裁类型，一共是四类： i) 广泛商贸制裁和封锁，目前主要针对伊朗、朝鲜、古巴、叙利亚、克里米亚地区； ii) 针对政府或者政权的制裁； iii) 清单制（目前有许多加密货币行业的制裁走的是清单制，包括本次的 Tornado Cash 制裁）； iv) 行业制，针对某些外国的某特定产业； 3.3 受到 OFAC 处罚的主要原因根据美国财政部出具的《A Framework for OFAC Compliance Commitments》，受到 OFAC 处罚的原因值得加密企业注意的有以下五点： A. 缺乏正式的 OFAC Sanctions Compliance Program（SCP） OFAC 不强制需要企业具备正式的 Sanctions Compliance Program（SCP），但是 OFAC 鼓励受美国管辖的组织，尤其是那些从事国际贸易的组织，或交易或拥有位于美国境外的任何客户或对手方采用正式的 SCP。从 OFAC 已经敲定的多项民事罚款中可以看出，没有 SCP 是在 OFAC 调查过程中发现的违反制裁的主要原因之一。此外，OFAC 在进行制裁判断时，经常将此因素确定为加重因素。 B. 与受制裁的非美国人员进行交易（包括通过海外子公司或关联公司）受美国管辖的组织 - 特别是那些在美国境外拥有海外业务和子公司的组织 - 通过将商业机会转交给海外子公司与非美国地点受 OFAC 制裁的国家、地区或个人进行交易，从事了违反 OFAC 规定的交易或活动。 C. 制裁筛选软件未更新或过滤器故障许多组织对其客户、供应链、中介机构、交易对手、商业和财务文件以及交易进行筛选，以识别并避免与 OFAC 所制裁的地区、当事人进行交易。有时，组织未能更新其制裁筛选软件以将更新的制裁名单实体纳入其组织内部的 SDN 列表或 SSI 列表。 D. 对客户的不当尽职调查有效的 OFAC 风险评估和 SCP 的基本组成部分之一是对组织的客户、供应链、中介机构和交易对手进行尽职调查。 OFAC 采取的各种制裁行动涉及原因包括组织对其客户的不适当或不完整的尽职调查，例如他们的实控主体、地理位置、关联方和交易本身，以及他们对 OFAC 制裁的了解和认识。 E. 个人责任在一些情况下，个别员工 - 尤其是在监督、管理或行政级别的职位，在导致或促成违反 OFAC 管理的法规方面成为了主要原因。具体而言，在其中一些案例中，外国实体的员工还努力向公司组织内的其他人（包括合规人员）以及监管机构或执法部门隐瞒和隐瞒他们的活动。在这种情况下，OFAC 将考虑使用其执法机构不仅针对违规实体，还针对个人。 3.4 OFAC 处罚所带来的影响不遵守 OFAC 制裁要求可能会对美国制裁计划及其相关政策目标的完整性和有效性造成重大损害。因此，对违规行为的民事和刑事处罚可能很重，具体的处罚行为会因制裁计划而异。加密企业的合规策略怎么做自 BTC 诞生以来，Crypto 行业的相关犯罪就集中在金融领域，其中以近年来发展迅速的 DeFi 犹甚。相较于其他种类犯罪，经济金融领域犯罪往往波及人群范围广，涉及金额巨大（如本次受制裁的 Tornado Cash 所涉金额就数以亿计），因此也是各国监管机构最主要关注的领域和监管抓手。相较于 DeFi，其他领域的 Crypto 合规市场需求则相对较小或已经有较为成熟的标准化流程。比如像 BAYC/Clonex 等蓝筹 NFT IP 侵权问题，即使侵权方未经允许使用前述 IP 形象以盈利为目的进行商业经营，IP 持有人在耗费时间金钱成本后也往往只是让对方撤下 IP 形象，难以获得高额赔偿。且由于 NFT 本身去中心化及全球化的特性，跨境执行也会成为难点。此外，实践上另一个符合监管合规市场需求较多的就是交易所牌照的事，这个领域已经有比较成熟的标准化流程，市场中也以有许多中介机构可以做该领域业务，这里不做过多探讨。因此，本文主要是针对 DeFi 领域，并结合实践中存在的监管处罚从项目方角度进行合规策略探讨。 4.1 首先，DeFi 项目在合规方面可以分为两个层面：(1) 智能合约本身；(2) 提供各类前端服务的项目公司。一个 DeFi 项目的组成，除了本身去中心化自动运行的智能合约以外，还需要一些人力的支持从而方便用户使用。比如 Uniswap，其不仅通过智能合约实现去中心化交易所的属性功能，还需要 Uniswap Labs 来雇佣工作人员运行如前端网站或使用 Twitter 进行市场推广营销。对于 Uniswap Labs 而言，其面临的合规要求也更贴近一家普通的公司。 A. 智能合约本身正如前述章节「Tornado Cash 制裁本身的程序性合规争议」所谈到，对于智能合约本身，目前的法律框架并未将其视为一种法律实体，其本身是否能够成为被制裁的对象存在争议。从实践的角度看，OFAC 通过间接方式，如禁止其他机构或个人与该受制裁智能合约进行交互的方式来实施制裁。目前来看，此种方式还是可以对该智能合约用户产生较大影响。图片来源：TRM Labs B. 提供各类前端服务的项目公司作为智能合约背后提供前端服务的公司，其受到制裁的影响会更加直接。如 Tornado Cash 受到制裁后，其本身的前端网站就无法正常连接 Metamask 钱包进行使用，其 Twitter 账号也暂停更新，Github 代码库也受到了限制访问。对于项目公司而言，其作为一个法律实体提供 DeFi 相关的金融服务，应当按照当地法律法规完成相关要求，如运营牌照的申请注册或互联网信息服务合规要求。 4.2 内部合规设置 - Sanctions Compliance Program（SCP）对于前述 DeFi 合规两个层面的认识，作为项目方还是可以通过项目公司内部安排来满足监管的合规要求。根据美国财政部 OFAC 于 2021 年 10 月出具的《Sanctions Compliance Guidance for the Virtual Currency Industry》，DeFi 项目方可以在内部合规方面安排以下五个部分： A. 管理层承诺（Management Commitment）高级管理层对公司制裁合规计划的严格遵守执行是决定该计划成功的最重要因素之一，高级管理层的支持对于确保制裁合规工作获得足够的资源并完全融入公司的日常运营至关重要。来自高层的适当语气也有助于使计划合法化，赋予公司制裁合规人员权力，并在整个公司培养合规文化。管理层对公司基于风险的制裁合规计划的严格遵守执行的重要性在加密货币行业与在任何其他行业都是一样的。在许多情况下，OFAC 观察到加密货币行业的成员在开始运营数月甚至数年后才开始遵守 OFAC 制裁政策和程序。延迟制裁合规计划的制定和实施可能会使加密货币公司面临各种潜在的制裁风险。从实践操作上而言，项目方的高级管理层可以考虑采取以下步骤来证明他们对制裁合规的支持：审查和批准制裁合规政策和程序确保充足的资源（包括人力资本、专业知识、信息技术和其他资源）支持合规职能向合规部门授予足够的自主权和权力任命至少一名具备必要技术专长的专职制裁合规官，这些人员具备在 OFAC 的法规、流程和行动方面的技术知识和专长；这些人员了解复杂的金融和商业活动、将他们对 OFAC 的了解应用于这些项目并具备识别与 OFAC 相关的问题、风险和禁止活动的能力 B. 风险评估（Risk Assessment）制裁风险如果忽视或处理不当，可能导致违反 OFAC 法规和随后的执法行动，损害美国外交政策和国家安全利益，并对公司声誉和业务产生负面影响。OFAC 建议制定制裁合规计划的加密货币行业的公司进行例行并在适当的情况下持续进行风险评估，以避免公司可能遇到的制裁问题。虽然没有「一刀切」的风险评估方式，但通常应包括对公司的全面审查，以评估公司与 OFAC 制裁的个人、国家或地区存在接触的潜在风险。通过定期进行的风险评估，项目方可以实时调整内部合规筛选标准从而满足最新的监管要求。案例：诊断有风险的关系 2021 年，OFAC 与一家美国加密货币支付服务提供商签订了一项和解协议，以处理该公司客户与位于受制裁司法管辖区的个人之间的虚拟货币交易。虽然该公司的制裁合规控制包括筛选其直接客户（美国和其他地方的 to B 商家）是否与制裁有潜在联系，但该公司未能筛选出有关使用其支付处理平台并从平台商家购买产品的个人制裁信息。具体来说，在进行交易之前，公司会收到一些买家的信息，例如姓名、地址、电话号码、电子邮件地址，有时还包括互联网协议（IP）地址。包括了解谁在访问公司的平台或服务在内的全面的风险评估可以帮助项目方确定为其每项产品和服务设置的适当筛选标准。 C. 内部控制（Internal Controls）有效的制裁合规计划将包括旨在解决公司风险评估中确定的风险的政策和程序。这些可能包括对 OFAC 实施的制裁禁止的交易或活动进行识别、阻止、升级、报告（如适用）和维护记录。有效的制裁合规计划将使公司能够对客户、业务合作伙伴和交易进行充分的尽职调查，并识别「危险信号」。危险信号表明可能正在发生非法活动或合规性障碍，促使公司进行调查并采取适当的行动。公司应执行政策和程序，并找出弱点（包括通过对任何违规行为的根本原因分析）并进行补救以防止可能违反制裁的活动。在 Crypto 行业，公司实施内部控制将取决于公司提供的产品和服务、公司运营地点、用户位置以及公司在风险评估过程中识别出的特定制裁风险。虽然 OFAC 不要求加密货币行业使用任何特定的内部或第三方软件，但这些对于有效的制裁合规计划来说可能是有用的工具。案例：双重审查加密货币行业成员面临的一项制裁风险来自位于受制裁司法管辖区的用户使用其产品和服务。2020 年，一家在国际上提供数字资产托管、交易和融资服务的美国公司与 OFAC 签订了一项和解协议，原因是公司给位于受制裁司法管辖区的个人处理加密货币交易。尽管该公司出于安全目的在用户登录时跟踪其用户的 IP 地址，但该公司并未使用其收集的 IP 地址信息来筛选和防止潜在的制裁违规行为。因此，尽管当时乌克兰、古巴、伊朗、苏丹和叙利亚的克里米亚地区的作为司法管辖区受到制裁，该公司未能禁止上述地区的个人使用其非托管安全数字钱包管理服务，实施内部控制以筛选可用数据并阻止涉及某些 IP 地址的活动可以防止违反制裁。 OFAC 建议项目公司采用以下方案来加强内部控制，作为有效制裁合规计划的一部分： a) Know Your Customer (KYC) Procedures 了解您的客户（KYC）程序 - 在与客户接触初期并在客户关系的整个周期中获取有关客户的信息，并针对这些信息进行充分的尽职调查，以减轻潜在的制裁相关风险。此信息可用于制裁筛选过程，以防止违规行为。例如，信息收集可能包括合作初期、定期审查和处理客户交易时的以下要素：个人：法定姓名、出生日期、实际地址和电子邮件地址、国籍、与交易和登录相关的 IP 地址、银行信息以及政府身份证明和居住文件。实体：实体名称（包括商业和法定名称）、业务范围、所有权信息、物理地址和电子邮件地址、位置信息、与交易和登录相关的 IP 地址、有关实体开展业务的信息、银行信息和任何相关政府文件。高风险客户可能需要额外的尽职调查。例如，这可能包括检查客户交易历史，以了解与受制裁司法管辖区的联系或与已与受制裁行为者相关联的加密货币地址的交易。此外，根据现有反洗钱（AML）义务收集的信息（如适用）也可能有助于评估和减轻制裁风险。 b) 制裁筛选（Sanctions Screening）制裁筛选可能是 Crypto 公司内部控制的最重要组成部分，可能包括地理位置、客户识别、交易筛选等。Crypto 公司应考虑在其制裁合规计划中实施以下内容：根据 OFAC 管理的制裁名单（包括 SDN 名单）筛选客户信息筛选交易以识别与受制裁人员或司法管辖区存在关联的地址，包括物理、数字钱包和 IP 地址，以及其他相关信息利用筛选工具的模糊逻辑功能来检索出常见的名称变化和拼写错误，例如：与受制裁的司法管辖区相关的拼写错误或替代拼写（例如，「Yalta, Krimea」）OFAC 制裁名单上所列人员姓名的大小写、空格或标点符号的变化（例如，「Krayinvestbank」可能出现在 SDN 名单上，但「Krajinvestbank」或「Kray Invest Bank」可能出现在 Crypto 公司的交易信息中）持续的制裁筛选和基于风险的重复筛选以检索出变更的客户信息、更新的 OFAC 制裁名单或监管要求的变化 c) 识别风险指标或危险信号风险指标或危险信号：除了 KYC 信息识别与制裁筛选外，Crypto 公司还应考虑监控交易和用户来发现风险，以及可能表明制裁关系的「危险信号」。风险指标的示例可能包含以下个人或实体行为：尝试开户时提供不准确或不完整的客户身份或 KYC 信息通过与受制裁司法管辖区有关联的 IP 地址或 VPN 访问加密货币交易所没有回应或拒绝提供更新的客户身份或 KYC 信息对 Crypto 公司的要求没有回应或拒绝提供额外的交易信息尝试使用与受制裁的个人或司法管辖区相关的加密货币地址进行交易此外，在适当情况下，表明洗钱或其他非法金融活动的「危险信号」也可能表明潜在的逃避制裁情形 d) 交易监控和调查交易监控和调查软件可用于识别在 SDN 上列出的与受制裁个人和实体有关联的，或位于在受制裁的司法管辖区的加密货币地址。这种内部控制有助于使项目公司能够防止资产转移到与受制裁者相关的地址并避免违反美国制裁。Crypto 行业的人士还可以使用交易监控和调查工具来持续审查此类地址的历史信息或其他识别信息，以更好地了解他们面临的制裁风险并识别制裁合规计划的缺陷。 2018 年，OFAC 开始将某些已知的加密货币地址作为 SDN 名单上所列人员的识别信息。这些加密货币地址可以使用 OFAC 制裁列表搜索工具中的「ID#」字段进行搜索。作为合规实践方式，在加密货币行业运营的公司应使用类此交易监控和调查软件，从而识别 SDN 名单内的加密货币地址及被制裁人员。此外，OFAC 将加密货币地址纳入 SDN 名单可能有助于行业识别可能与被制裁方相关或以其他方式构成制裁风险的其他加密货币地址，即使这些其他地址并未明确列在 SDN 名单中。 e) 可采取的补救措施作为对 OFAC 执法行动的回应，项目公司可采取行动纠正其明显违规原因，找出其内部控制的弱点，并实施新的控制以防止未来的违规行为。其中一些补救措施包括：对受制裁的司法管辖区实施 IP 地址封锁和电子邮件相关限制创建一个受制裁辖区城市和地区的关键字列表，用于筛选 KYC 信息审查和更新最终用户协议以包括有关美国制裁所要求的信息对所有用户进行追溯批量筛选为所有员工实施与 OFAC 相关的培训计划对与合规工作相关人员进行额外的制裁合规培训雇佣额外的合规人员和专门的主管或制裁合规官 D. 测试与审计（Testing and Auditing）确保制裁合规计划按预期实行的最佳方法是测试该计划的有效性。在其制裁合规计划中纳入全面、独立和客观的测试或审计职能的公司可以了解其计划的执行情况，以及需要更新、增强或重新校准哪些方面以应对风险评估或制裁环境变化。依据公司的规模和成熟度可以决定是否对其制裁合规计划进行内部或外部审计。加密货币行业制裁合规计划中测试和审计程序的一些方式包括：制裁名单筛选 - 确保对 SDN 名单和其他制裁名单的筛选有效运作，并适当标记交易以供进一步审查关键字筛选 - 确保筛选工具适当标记与 KYC 相关的筛选或其他筛选相关的关键字 IP 封锁 - 确保 IP 地址软件正确地阻止用户从受制裁的司法管辖区访问其产品和服务调查和报告 - 对在筛选过程中确定为具有潜在制裁关系的交易进行调查的审查程序（例如：涉及被制裁人员或与受制裁管辖区相关的交易），以及向 OFAC 报告被封锁财产或被拒绝交易的程序 E. 合规培训（Training）最后，项目公司应当为其内部员工制定制裁合规计划方面的培训。公司培训的范围将取决于公司的规模、复杂程度和风险状况，OFAC 培训应提供给所有适当的员工，包括合规、管理和客户服务人员，并应定期进行，并且至少每年一次。完善的 OFAC 培训计划将根据需要提供特定于工作的知识，传达给每位员工制裁合规方式，并通过使用评估制度让员工满足培训要求。此外，针对加密货币行业的不断变化与新兴技术，OFAC 培训也应不断进行更新调整。结尾在目前的加密市场不断扩张的大背景下，越来越多的合规要求成为了加密领域创业者无法忽视的话题。与此同时，许多传统基于合约安全审计的公司，如 Certik 也开始推出合规方面的审计服务。在可预见的未来，不论是交易所还是 DeFi 公司等都会在合规市场呈现出不小的需求。「Code is law.」尽管这句话在加密社区广为流传。但正如克雷格 · 赖特博士反复强调的那样，「代码不是法律，政府不会长期容忍有人试图绕过他们的法律」。参考文章：加密法律专家激辩 WEB3 监管：要合规还是去中心化？美国政府制裁 Tornado Cash 后，我们如何更好地应对审查威胁？万字长文：美国加密货币监管史进击的虚拟货币监管和摩擦从美国监管角度看，为什么 Tornado Cash 会迎来制裁及后续猜想美财长耶伦演讲全文：以美元地位为核心看待数字资产监管 TRM Labs：DeFi 平台如何应对 Tornado Cash 制裁全面解读：美国财政部制裁 Tornado Cash 带来的影响 OFAC 宣布制裁 Tornado Cash 的行业影响解读及风险合规方案 Tornado 被制裁将成为 DeFi 监管分水岭 Tornado Cash 被制裁，CertiK KYC 加入隐私之战 TRM Labs：帮 DeFi 项目拥护制裁行动的「侦探公司」从法律视角解读 OFAC 制裁 Tornado Cash 是否合理合规？资深加密律师：Tornado Cash 被制裁后新的监管挑战即将到来？Cryptocurrency Regulations Around The World Appendix A to Part 501 Economics Sanction 美国监管相关整体框架及现有监管情况初步理解—Leo 君合法评丨浅谈全球稳定币监管 US Cryptocurrency Regulation: Policies, Regimes & More How DeFi platforms are using data from TRM Labs to respond to Tornado Cash sanctions 行业影响解读及风险合规方案—OFAC 宣布制裁 Tornado Cash U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash Sanctions Compliance Guidance for the Virtual Currency Industry A Framework for OFAC Compliance Commitments 来源：金色财经
金色财经2022-10-18
JZL Capital 数字周报第42期 10/17/2022
go
降原因当然与Mango Market的黑客攻击事件分不开关系，可以看到最近一周内Mango的TVL归零，同时Solana生态内另外4个dapp的TVL也有超过50%的下降，生态资金收缩严重。 Mango是Solana生态中较为头部的借贷项目，具备杠杆交易和借贷功能，由于DeFi的可组合性，多个使用Mango的DeFi项目也受到本次攻击的影响。经过多日的跟踪，Mango 漏洞事件的幕后推手 Avraham Eisenberg浮出水面并布声明确认是由其策划了对 Mango 的攻击，其加入了一个执行高利润交易策略的团队，并通过使用设计好的协议完成了“合法”的公开市场行动。 Avraham Eisenberg 共计投入 1000 万美元，平均分为2个账户进行价格操纵（多空双开的原因在于，Mango 平台深度较差，如果不和自己作对手盘，仓位就很难开到这么高）：首先向第一个帐户（CQvKSNn...）提供了500万枚USDC（包含测试）；随即在订单簿中提供了4.83亿单位的MNGO perps（做空）；再向第二个账户（4ND8FVPjU...）注资500万枚USDC（包含测试）；然后以每单位0.0382美元的价格做多了4.83亿单位的MNGO perps；完成初步建仓后，黑客转身攻击多个平台上 MNGO 的现货价格，致使价格出现 5- 10倍的增长，该价格通过 Pyth 预言机传递到其中 Mango 交易所，进一步推动价格上涨；该行为最终操纵价格预言机将 Mango Token 价格提高接近24倍，从 0.0382 美元上涨至 0.91 美元，空头账户资不抵债，但多头账户有约4亿美金的账面利润，这提高了抵押品的价值，使 Eisenberg 及其团队能够从协议中借到更多的资金，如BTC、USDT、SOL、USDC等资产，最终从 Mango Markets 获利 1.14 亿美元。可怕的是，早在今年三月，名为 @Ozcal 的 Discord 用户就在社群中提醒，Mango 对 MNGO 的头寸没有进行限制，可能导致黑客利用价格攻击，套取平台资产。攻击成功后，剧情走向开始不同，这次黑客的“戏瘾很足”，自己发布了一项新提案，表示希望官方利用国库资金（7000 万美元）偿还用户的协议坏账，自己偿还接近一半资产，另一半留下作为赏金。虽然提案因为没有达到规定票数未通过，但提案获得 3290 万投票赞成（99%），其中 3241 万票由黑客自己所投。 Mango 社区16日已投票同意 Eisenberg 保留 4700 万美元，同时将剩下的 6700 万美元返还给项目。根据链上数据，投票开始后不久，Eisenberg 归还价值约 800 万美元的 Token。剩余资金现已归还给 Mango Markets（Solana 和以太坊链上），其中包括 4800 万美元的 SOL、1000 万美元的 USDC 和 9 万美元的 GMT。 3 ）Cosmos生态 BNB Chain由跨链桥安全漏洞导致的黑客事件发生后，Cosmos核心团队即开始对IBC进行审计，由此发现了一个严重漏洞，影响所支持IBC的链。目前该漏洞的补丁已经发布，未产生重大影响。跨链桥的安全性历来备受质疑，被戏称为“黑客提款机”。此前Cosmos生态和IBC机制并未出现严重黑客事件，或许只是由于生态中除ATOM外，并无高价值资产，且在离开生态DEX后，缺少可以变现的交易渠道。然而，随着当前生态发展向好，市值逐渐扩大，并引入了以太坊资产后，黑客攻击将更加有利可图。本次漏洞的发现和升级补丁有利于防患于未然，但效果如何还需拭目以待。 4 ）重点投资 Copper在C轮融资中已获投1.96亿美元，包括从新老股东处获得的1.81亿美元，以及1500万美元的可转换贷款票据。 Copper 成立于 2018 年，使用多方计算（MPC）技术，这是一种用于保护私钥的新兴加密方法，帮助保护加密资产免受网络犯罪侵害。该公司还提供支付结算和大宗经纪服务。 Copper 的标志性产品 ClearLoop 是一个将加密货币交易所连接在一起的系统，以实现即时、离线的交易结算。该产品系 Copper 与加密货币衍生品交易所 Deribit 合作推出，有了该工具，用户无需将自己托管账户中的加密货币资产转移到交易所的热钱包中，即可直接进行交易。ClearLoop 将交易所的入金和结算时间从 30-60 分钟缩短至 100 毫秒。随后，Copper 扩展了其 ClearLoop 交易框架，增加对机构级加密货币衍生品交易的支持。Copper 表示，新功能的推出旨在降低机构参与衍生品场外交易的风险。 4. DAO 去中心化自治组织 DeepDAO 项目简介： DeepDAO是一个DAO 的综合数据分析平台，提供24小时更新的 DAO相关的数据洞察，目前共收录了4828个DAO组织的相关信息；同时DeepDAO 基于多个维度对市面上现存的 DAO 组织进行资金规模、治理的分析和排名，类似于 DAO 版本的 defilama。功能介绍： 1. DAO的基本面信息汇总资金情况：直接检索对应dao项目的最新的国库资金量情况，并可细分到liquid和vesting两个维度。社区治理情况：Deepdao可根据由合约地址数量反映的dao社区成员数量、由投票议案更新速度反映的社区活跃度，对dao项目进行相关的排序评级。 2. 成员评级通过dao社区投票次数及提案数量和相应的被采用通过率，汇总并排名了各个DAO项目建设过程中的重要贡献者。 3. Daofeed 可按照信息流的形式，推送所订阅dao的链上行为。 4. 工具提供针对开发者，汇总了一系列dao基础工具。 5. DAO沟通软件目前正在开发中。商业模式：按提供信息的完整度，每月收费分25USD、450USD、3000USD三个版本。 Deepdao本身为中心化组织，目前暂无代币发行计划。小结： DeepDAO起步较早，且随着DAO生态的繁荣，自身的数据收录、分析等功能逐渐完善，属于DAO聚合分析赛道里最成熟的一批产品；未来mass adoption过后，DeepDAO势必有着更大的需求，成为一个更大的流量入口。目前产品在资产核算上还需要更大的包容度，目前仅支持核算ETH、SOL、Polkadot、KSM。项目20年3月上线，到22年10月的时间里，推特关注量一般，粉丝在1.3万左右，但用户整体口碑较好。目前项目组正在打造专门为DAO设计的聊天工具，未来值得关注。五、关于我们： JZL Capital 是一家注册于海外，专注区块链生态研究与投资的专业机构。创始人从业经验丰富，曾经担任过多家海外上市公司CEO和执行董事，并主导参与过 eToro 的全球投资。团队成员分别来自芝加哥大学、哥伦比亚大学、华盛顿大学、卡耐基梅隆大学、伊利诺伊大学香槟分校和南洋理工大学等顶尖院校，并曾服务于摩根士丹利、巴克莱银行、安永、毕马威、海航集团、美国银行等国际知名企业。 Website www.jzlcapital.xyz Twitter @jzlcapital 与我们联系我们一直在寻找有创意的想法、业务与合作机会，我们同样也期待您的阅读反馈，欢迎联系 hello@jzlcapital.xyz。如果以上内容存在明显的事实、理解或数据错误，欢迎给我们反馈，我们将对报告进行修正。来源：金色财经
金色财经2022-10-18
金色观察｜Cosmos 终局
 go
早几年假设了跨链桥的必然性，并在跨链桥黑客司空见惯的时代开发了迄今为止最全面、最安全的跨链区块链通信系统。 IBC 的安全性反对 appchain 论点的最有力的论据之一是跨链桥本质上是不安全的。一方面，确实没有任何协议或链间消息传递系统在本质上和任何时候都是安全的，但这对于以太坊合约和 IBC 一样都是如此。任何代码都可能有错误，攻击者总是试图利用它们。另一方面，自 DeFi 夏季以来，我们已经收集到足够的证据表明用户永远不会将自己限制在单个链上——他们将使用可利用的多签名来获得跨链到最新的千篇一律的 EVM 克隆。他们会更渴望使用 IBC 和跨链的完全可互操作、UX 优化、可组合的 DeFi 吗？如果桥梁是不可避免的，为什么 IBC 是最好的？为什么它应该被认为足够安全以成为金融的未来？答案在于信任最小化设计。参与的链运行彼此的轻客户端，这意味着它们各自独立地验证另一条链的块头。因此，除非攻击者接管了整个链，否则攻击者无法用谎言来说服另一条链关于一条区块链上发生的事情。如果发生这种情况，控制链的一方可能会无限铸造自己链上的代币，通过 IBC 传递它们，并使用它们在 AMM 上或通过其他 DeFi 机制窃取资金。这与代币保存在可利用的合约（多重签名或其他）中的桥梁形成鲜明对比，传统上不允许通用消息传递（尽管Axelar 应用程序链在改进非 IBC跨链通信方面取得了长足进步）。因此，应用链与信誉良好、安全的链建立 IBC 连接非常重要。然而，攻击 IBC 连接链的漏洞窗口也非常小。首先，如果一条链被经济或治理攻击接管，或者如果它发生灾难性的故障，IBC 连接可以立即关闭，这意味着它不能吸走任何价值。为了覆盖 IBC 连接关闭之前的短暂时间，IBC 速率限制将很快可用。这将允许应用链在给定时期内限制代币流动，允许正常活动，同时限制攻击链可以获取的价值，从而使任何攻击的经济计算变得不那么有利。 IBC 实践：上图（此处为实时交互式版本）显示 IBC 在 IBC 连接的链之间发送和接收，图标大小与交易量成比例。即使在这个熊市中，在过去的 30 天里，也有大约 80 万笔交易和价值 2.64 亿美元的价值通过 IBC 发送。请注意，这只是跨链活动；它不计算单链交易。尽管如此，Cosmos 还没有类似以太坊的采用已经不是什么秘密了。跨链 DeFi 要充分发挥其潜力仍然存在技术挑战——尽管我们开始在跨链安全、加密内存池、协议控制的套利和同步区块空间拍卖的网格中看到它们的可能形态。随着跨链采用的增加，需要扩展的应用链也可以访问以太坊上正在开发的全套汇总和其他扩展解决方案，以及像 Celestia 这样的模块化应用链。 ATOM 2.0：跨链的单片链优势我们在上面讨论了以太坊多年来如何变得更像 Cosmos。在其最近的ATOM 2.0 白皮书中，Cosmos Hub——长期没有用例——提议提供几个生态系统范围的用例，使其成为一个成熟的应用链。 “跨链调度器”提议为整个生态系统的代币化区块空间拍卖行，如果有足够的参与，它将实现未来的跨链区块同步。跨链分配器将允许使用 ATOM 资金库在整个生态系统中进行投资。 Hub 还在开发 Interchain Security v1，它是网状安全性的前身，也是一种即插即用安全性的选项，适用于不希望负责招募和管理自己的验证者的消费者链。在其最终的网状安全形式中，跨链安全充当 Cosmos 和以太坊之间的另一个融合点，使跨链能够实现以太坊目前提供的那种单片协议级安全的更灵活、自我主权的版本。应用链：枢纽和前哨目前，区块链活动已经融入了一些半流动的生态系统。这些区域现在通过各种桥梁和中心化交易所松散地互连，但 IBC 可以安全地将它们互连——尽管为某些链开发具有成本效益的轻客户端仍在进行中。应用程序链和单体链上的应用程序都在为日益互联的未来定位。由于临时跨链桥接现在已经完全失宠，大多数应用程序采用集线器和前哨模型是有意义的，而不是依赖名称识别或试图建立持久的技术护城河，同时受到超出其协议级别的决策的限制。控制。这种枢纽和前哨模式可以采取不同的形式。在所有形式中，中心都是应用程序链的所在地，运行治理、持有国库并在前哨之间进行协调。IBC 未来的主要问题之一是如何最好地处理流动性。对于 Osmosis 而言，至少目前而言，将其所有流动性存放在国内并通过 Osmosis 区块链将其前哨路由从其他链的流动路由是有意义的。但与 Osmosis 密切合作以在 Osmosis 上启动其首个贷款前哨的 Mars Protocol 计划为其每个前哨提供单独的流动性。由不同的应用程序链来权衡在分配其流动性（可能导致执行力差）和完全同步交易（电力交易者有时需要而 IBC 尚无法提供）之间进行权衡。也就是说，随着跨链网状安全性的增长，随着链间同步块市场的增长，以及随着 IBC 以我们无法预测的方式发展，完全同步的跨链 DeFi 交易将不可避免地变得可用。终局之战 Cosmos 和以太坊在哲学上一直很接近，两者都在很大程度上借鉴了原始的赛博朋克精神来寻找灵感。虽然以太坊开始尽可能地推动单片链假设，而 Cosmos 选择最大化主权互操作性，但当他们接近尾声时，他们的许多设计选择已经开始再次收敛，这也许不足为奇。 rollup 和 appchain 之间的界限变得越来越细，dYdX 决定从一个转移到另一个就证明了这一点——同时保留了他们将来可能回到 rollup 的可能性。其他应用程序可能会剥离自己的应用程序链，可能同时保留以太坊作为它们的首要前哨。互操作性（一种有限的、不安全的）很久以前在以太坊中得以保留：一旦轻客户端可用，以太坊本身将能够通过使用 IBC 更安全地连接到跨链，IBC 是我们更广泛的生态系统的另一个主权、可互操作的成员所有股。来源：金色财经
金色财经2022-10-18
盘中宝——美股科技股领涨收高比特币后市仍有上涨空间
 go
读——一文盘点 2022 TSH 夏季黑客松获奖项目 2022 年 8 月 1 日至 9 月 17 日，由清华大学学生区块链协会（THUBA）学生发起的去中心化自治组织（DAO ）举办 2022 TSH 夏季黑客松（2022 THUBA DAO’s Summer Hack）,针对本次黑客松获胜项目，本文进行简单梳理： 1.Vitae3 由 Buidler DAO 孵化，被设计为一个通用链上履历，通过 NFT 使用户 ID、数据和活动可追溯并永久保存。项目方或者组织方在申请后，可以向其用户发放证明来鼓励用户参与。 2.SecureDAO 为智能合约、DApp、NFT 构建去中心化漏洞检测平台，用户可以在其中提供安全问题（例如在智能合约方面）和线索（例如可疑地址或交易），然后研究人员或安全人员可以上传自动检查器和分析数据集并获得奖励。 3.CreaderDAO 将利用区块链技术创建版权登记系统。通过这个框架，创作者可以更方便地展示他们的所有权。 4.DF ARTEMIS 是一个在 Dark Forest 中以星球为目标的赏金系统，作为 Funder，可以选定特定的星球来发布悬赏任务，指定悬赏金额，以及希望对这个星球造成多大的能量伤害，设定特定的 Manager 来管理这个任务的激励发放。 5.Sisyphus-protocol 是一个基于 Polygon 上的去中心化社交协议和打卡激励项目，在链上投票审核资质后，Host 可以开始组织打卡活动，设置内容、打卡频率、开始时间、持续周期、人数、质押金额、凭证要求、模式等因素，然后从申请人中选出最符合活动要求的参与者。 6.Planet 建立在以太坊上，旨在为游戏玩家提供与他们灵魂绑定的 Web3 桌面，允许玩家 DIY 自己的星球。 7.SonarMeta 将自己描述为 Web3+5G 时代的 vContent 共创平台，旨在替代现有的 Web2+4G 时代的 UGC 平台。 8.Pin Save 构建于 NEAR 之上，是一个去中心化的图像共享和内容聚合平台，用户不仅可以控制内容，还可以控制平台本身。 9.Art Treasure 旨在开发新型 ERC721T 协议，引进限制 NFT 每次转移必须要满足时间要求的设置，以降低 NFT 的流动性和发掘 NFT 收藏价值，利用生成艺术构建东方的 ArtBlock。来源：金色财经
金色财经2022-10-18
NFT是骗局还是未来？
go
合法的资金。这有助于诈骗者、地毯拉客和黑客掩盖他们的踪迹。它还允许受制裁的个人绕过财务限制。根据 Chainalysis 的一份报告，仅在 2021 年第四季度，就有近 140 万美元的加密货币从可疑钱包地址发送到 NFT 交易所。设想一种风险前瞻的方法在不良行为者真正完善复杂的基于 NFT 的犯罪艺术之前，金融科技行业应该抓住时机。以下是 NFT 市场在理想世界中的样子：为链上和链下活动提供清晰的操作系统和 CIP/KYC 流程。用于识别 TradFi 和 DeFi 欺诈模式之间相似性的系统，包括 TradFi 中的个人行为，可以预测 DeFi 中的欺诈可能性。使用警报来监控大量和高价值的 NFT 交易以发现潜在的洗钱活动。跟踪流程和跟踪资金在进出匝道以及链上移动的能力。能够为客户维护允许和拒绝列表，并保留清晰的交易记录以支持 AML 合规性。 NFT 的未来会怎样？ NFT 交易所最终会成为犯罪分子的避风港吗？或者，除了让人们能够买卖稀有收藏品之外，它们还会成为 web3 创新和自由访问的发射台吗？答案将取决于行业遵守监管实践的意愿。来源：金色财经
金色财经2022-10-18
10.18行情多次试探压力日内能否突破起飞？
go
件更新：197枚被盗NFT已销毁，未和黑客谈判并已报警 4.数据：HT市值重返10亿美元上方，创过去近4个月新高 5.纽约梅隆银行CEO：客户需求是推出加密托管服务的关键因素交易心得 1、可做短线，但不能频繁做单 2、不可即兴操作，交易不可操之过急 3、越是明显的趋势越容易赚，不做趋势不明的交易 4、不能赌方向，当时间或幅度超过上一个趋势时，才能认定趋势有改变可能 5、不能重仓以防轻微变动束手无策 6、不能因为为了扩大仓位而缩小单子止损位，导致频繁单子止损，最终无法抵抗正常波动　 7、不能在急涨急跌大幅震荡时介入或加码 8、决定输赢的是点位不是方向，所以一定要在大方向的回调时建仓 9、急涨急跌后的第一个转向要平仓，以防趋势逆转 10、顺势赚钱要跑的慢，而突然赚钱(反弹)和亏钱的要跑的快 BTC 分析大饼昨日走势呈震荡上行，高位触及19675一线承压回落，低位跌至19420附近，目前币价在19500附近运行，四小时级别可以从盘面看出k线三连阳后多头力度较弱，虽承压但回踩力度不大，整体在均线上方运行，ma7拐头上行，macd多头逐步放量双线金叉状态，短期处于震荡走势，日线来看走出多头排列有触摸ma60的需求，macd多头运行双线金叉，行情还有上行需求，日内思路高空低多对待，上方压制19800-20400，下方支撑19300-19000 ETH 分析以太坊昨日未能跌破1290支撑然后行情沿ma7一路震荡上行走出多头趋势，高位触及1337一线承压回落，但未打破多头走势，破位昨日高点至1341一线，短期形成顶背离形态多头上涨力度减弱，四小时级别多次触碰ma200都未曾突破，ma7一路上穿多根均线形成金叉，macd绿色能量柱空心转实心说明多头减弱空头增强双线金叉运行，若能突破站稳1340行情仍有上行需求，短期先看回落，日线k线走出连阳突破站稳ma30上方，macd多头逐步放量双线金叉向上指引，以太坊走势多头占优，日内思路建议回踩低多为主高空为辅，上方压制1340-1380，下方支撑1320-1300 免责声明：以上内容均为个人观点，仅供参考！不构成具体操作建议，也不负法律责任。市场行情瞬息万变，文章具有一定滞后性，如果有什么不懂的地方，欢迎咨询来源：金色财经
金色财经2022-10-18
万字详解LayerZero Labs：普及全链资产抢占多链生态核心
 go
合约权限漏洞导致用户资产流失跨链桥是黑客攻击的高发地带，历史上最大的几次资产流失都来自跨链桥而跨链桥随着支持的功能越来越丰富，在升级过程中可能将会出现各种漏洞，将有可能造成用户资产流失。多链格局无法持续对于当下多链格局，有一种比较流行的批评是：同一些协议（AMM、借贷、GameFi 等）被不断地复制到新公链上重新开设赌局。当圈内逐渐厌倦这样的玩法后，将会使得用户对跨链的需求降低。但是当前以太坊的费用性能问题还是无法解决，加上这轮新公链的火爆已经大量培养了新用户去多链参与的习惯后，我们认为多链格局的熄火在可预见的未来发生的可能性还是比较小的。结论我们认为， Layerzero Labs 团队在跨链通讯方案上以较低的成本换取了可观的安全性，并在资产兑现环节解决了资产兑现的不可能三角。这都离不开团队对区块链安全和数学层面的理解和创新能力，为用户提供了更高性价比的安全方案和更高资本效率的跨链资产兑现。这两项优势已帮助 Stargate 在跨链桥市场获得了可观的份额和收入，相信 Stargate 将能成为多链格局中的重要选手。 Stargate 作为当前 Layerzero Labs 的主要商业化产品，其估值在当前熊市环境下已逐渐进入了较合理的估值区间了。所以相较于高昂的一级市场估值，投资者应更密切关注 Stargate 的业绩表现和功能更新，在能接受的估值倍数下直接投资其代币。来源：金色财经
金色财经2022-10-18
成都链安：PLTD安全事件简析
 go
警与监控平台检测显示，PLTD项目遭受黑客攻击，其交易池中的所有BUSD被全部兑空。攻击交易：0x8385625e9d8011f4ad5d023d64dc7985f0315b6a4be37424c7212fe4c10dafe0，攻击者地址：0x6ded5927f2408a8d115da389b3fe538990e93c5b 攻击者共获利24,497BUSD。经过Beosin安全团队分析，本次攻击主要是利用了PLTD合约中的代码漏洞，通过闪电贷攻击将Cake-LP(0x4397c7)中的PLTD代币余额降为1，然后用手中的PLTD将所有的BUSD全部兑换到攻击合约中。具体细节如下：第一步：攻击者通过DODO协议的闪电贷发起了2次闪电贷借贷，同借贷66.6万 BUSD，作为攻击准备金；第二步：攻击者将66.6万的BUSD全部兑换为157万的PLTD代币，此时，攻击者手中已经持有的大量的PLTD代币，后续将利用这些代币达到操控Cake-LP中的PLTD代币余额的目的；第三步：攻击者查询当前的bron值与Cake-LP的PLTD余额，这是在做攻击前的检查，注意这两个值很关键，关系到攻击的成败；第四步：攻击者直接向Cake-LP(0x4397c7)发送了11.6万的PLTD代币，注意，这个数量刚刚是上一步中Cake-LP中的PLTD代币余额的两倍减去1 为什么是这个数字，我们结合代码就很明显的能够看出来： (1) 直接转账，调用transfer函数 (2) 由于目标地址是uniswapV2Pair，进入344行的else if分支，并且由于from地址是攻击合约，takeFee为true，并调用内部函数_tokenTransferSell (3) _tokenTransferSell函数内部代码如下，注意第423-426行，这部分代码将_bron设置为本次转账数量的一半，即Cake-LP的余额减去1，让我们记住这个_bron的值；第五步：让我们继续回到攻击过程，这里攻击者使用skim将第四步多转入的PLTD取回，由于PLTD合约的transfer函数中，如果from地址是uniswapV2Pair，那么将会调用_tokenTransferBuy这个函数细节不重要，我们知道他不会影响_bron的值就行了。第六步：图穷匕见，前面所有的操作都是为了这一步做准备。这一步，攻击者向0x16b9a82891338f9ba80e2d6970fdda79d1eb0dae这个地址转入1 PLTD，由于这个地址不是Cake-LP的地址，这次转账调用的内部函数是_tokenTransfer这个内部函数，其代码如下：这里我们直接看问题代码，也就是第451行到456行，由于第四步中，我们将_bron设置为了Cake-LP的余额减去1，并且在第五步恢复了Cake-LP的余额，这一步直接将Cake-LP的余额减至1(这里略去了通缩分红型代币的tAmount与rAmount转换，这个转换在本次攻击中并不重要)，然后再调用Cake-LP的sync函数，将余额同步为reserve，此时reserve如下：第七步：攻击者将手中的所有PLTD代币，全部兑换为BUSD，几乎掏空了Cake-LP的全部BUSD余额，攻击者获得了69万的BUSD。并将其中的66.6万 BUSD归还闪电贷，剩余为本次攻击获利24,497 BUSD，并全部转入了0x083c057221e95D45655489Fb01b05C4806387C19地址，截止发文时，该资金未进行转移，Beosin Trace对被盗资金进行持续监控与追踪。针对本次攻击事件，Beosin安全团队提出以下建议： (1) 在合约上线之前，项目方应寻找第三方安全公司进行完整的安全审计； (2) 在代币合约中，直接操作Pair的代币余额是非常危险的行为，建议项目方如非必要，千万不要进行此操作；来源：金色财经
金色财经2022-10-18
比特币目前已经失败了它完全背离了中本聪的设计理念
 go
平台现在比传统银行更容易受到隐私泄露和黑客攻击。在他最初的比特币宣言中，创造者中本聪特别谈到了 “传统银行模式 ”是如何通过 “限制有关各方和受信任的第三方对信息的访问 ”来维护隐私。在这里，薄弱环节是受信任的第三方，这通常是控制我们使用的银行账户和电子系统的金融机构。这些机构可能会受到法律的压力，被要求交出信息，或者干脆被恶意的行为者入侵。相比之下，中本聪使用一种叫做区块链的分布式账本技术，设计了比特币系统，使用整个互联网的志愿计算机网络（称为节点）来保存记录和处理交易。交易方只能通过加密的密钥对来识别，这些密钥对在每次交易发生时都会重新生成。这防止了交易被持续追踪和 “链接到一个共同所有者”。不幸的是，今天大多数加密货币的工作方式，与使用传统银行渠道或现金相比，你作为交易方的身份更容易被确认。这是区块链专家Gurvais Grigg最近在接受CNBC采访时所说的。 “与其他形式的法币欺诈不同，有了区块链中的加密货币……就有了记录……这种透明度和在全球范围内访问该记录的速度使得对这些类型的欺诈的调查比传统金融加快。”—— Gurvais Grigg，Chainalysis首席技术官和前联邦调查局助理局长对中本聪和他的宣言的彻底背叛现在是区块链爱好者们问这个问题的时候了。比特币设计的主要原则——隐私、防欺诈、非通货膨胀——是否已被今天的区块链运营商完全破坏？最近加密货币交易所和数字钱包因黑客攻击而遭受的一连串损失，确实让人怀疑他们的系统是否比传统银行模式更糟糕。 2022年10月8日，世界上最大的加密货币交易所——Binance遭到了5.7亿美元的黑客攻击。这只是2022年期间一连发生的13起不同的区块链黑客攻击事件中的最新一起，导致约20亿美元被盗。在这次Binance事件中，黑客铸造了200万个Binance币（BNB）——这是世界上第五大加密货币，并将其中的大部分转移到他自己的数字钱包。这样的情况正是中本聪在创建比特币时想要防止的。在题为 “计算”的一长节中，他特别描述了数学证明，说明为什么他的设计不会 “让系统向任意的变化敞开，比如凭空创造价值或拿走从不属于攻击者的钱”。不幸的是，他出色设计的这一方面是最先被后来的区块链运营商破坏的东西之一。此后创建的许多加密货币都是无限供应的，包括一些投机性最强的货币，如Solana、Dogecoin和Shiba Inu。这比中央银行的做法更糟糕。至少，一个国家的货币是以其经济价值为支撑的。另一方面，加密货币的价值往往只基于其创造者和追随者认为的价值——其中有一大批是由其创造者在一开始就凭空创造的。这也正是中本聪不希望看到的。比特币被设定为只有在志愿者节点为维护网络做出贡献时才会被创造出来，从而为其用户社区产生实际价值。回归到对某人的信任当你看到加密货币的世界，以及它如何催生了整个去中心化金融（DeFi）的运动，人们不禁要问，我们是否又绕回了我们开始时的问题。 DeFi是一个新的术语，描述了数字交易所、钱包和贷款平台的整个运动，基本上使用加密货币和区块链来做传统银行几个世纪以来做的事情。除了使用区块链技术来做会计和簿记，而不是传统的数据库之外，唯一的区别是，“受信任的第三方”现在是创建和运行这些DeFi平台的人。在任何信任系统中，不可避免地会有不良行为者或薄弱环节。为了克服这个问题，中本聪把比特币设计成不依赖任何人，甚至不依赖他自己和他早期的比特币支持者们。他还让它不依赖于单一的计算机系统或网络。但现在所有这些都被撕掉了。 DeFi本质上只是传统银行模式的翻版，用不同的方式保存记录，由新的公司和个人管理。但是，如果以某种方式使金融系统更加有效和可靠，那么为什么不呢？这里的问题是，只要需要信任第三方，那么就需要有一层监督和监管，以防止欺诈和确保问责。因此，政府的规则和政策将会出现，以管理许多为公众服务的DeFi公司，这些公司已经兴起。当尘埃落定，他们将成为一个制度化和受监管的行业，就像传统金融一样。这没有错，但这肯定不是中本聪的意图。区块链社区需要重新思考比特币和区块链技术背后的最初目的。他们需要问自己，他们是否真的创造了更好的东西，还是在贪婪和炒作中忽略了创始人的愿景。区块链和加密货币是否真的让世界变得更加公平，摆脱了中央权威？还是我们又回到了原点？ P.S.：目前涉及加密货币平台的麻烦浪潮可能只是冰山一角。四年前，我曾写过企业和初创公司如何不顾区块链的固有缺陷而跳上区块链的浪潮。还有许多基于区块链的企业很快就会亏损，不管是由于黑客还是仅仅是在他们自己有缺陷的可行性意识下摇摇欲坠。来源：金色财经
金色财经2022-10-18
为什么 BNB 的复兴尝试应该成为投资者的重要关注点
 go
日，该比率也是 4.449%，这表明该黑客攻击不足以破坏 BNB 生态系统。因此，目前的汇率意味着 BNB 的已实现价值超过了市场价值。因此，BNB 持有者可能面临资产损失更多价值的风险。此外，MVRV 是唯一受影响的链上指标。根据 Santiment 的说法，大假发投资者最近对代币的兴趣趋于负面。鲸鱼供应百分比显示为 41.94%——自 10 月初以来有所下降。你应该少信任 BNB 吗？根据期货市场的最新消息，BNB 投资者可能需要降低对长期上涨的信心。据 Coinglass 称，最近渴望该代币的 BNB 交易者感受到了市场的愤怒。截至发稿时，BNB 多头清算在 10 月 16 日凌晨为 106,230 美元。与最低 15,590 美元的空头清算相比，这已经很多了。然而，发稿时数据显示，BNB 可能不会上涨，尤其是前两天显示有更多的多头清算。由于 BNB 在过去 24 小时内损失了 22% 的交易量，因此投资者可能有必要停止购买可能进一步下跌的底部。尽管如此，毫无疑问，市场动能随时可能发生变化。来源：金色财经
金色财经2022-10-18

上一页
1
•••
329
330
331
332
333
•••
359
下一页

24小时热点

最新话题更多