FX168财经网_全球视野外汇黄金加密货币NFT资讯网_关键字搜索-FX168

全球数字财富领导者

CoNET｜客户端｜旧版｜｜

FX168 全球视野中文财经

登录 / 注册

康龙化成(03759.HK)延续跌势，午后一度触及31.65港元再创年内新低，尾盘时段跌约7%
go
%。9月份，公司H股前最大股东The Capital Group好仓降至5%以下。同时，JPMorgan等股东当月也有减持动作。今年8月，公司实控人宣布拟减持不超过公司总股本的2.33%。截至发稿，康龙化成跌7.01%，报32.50港元，成交额0.39亿港元。截至2022年10月10日收盘，康龙化成(03759.HK)报收于34.95元，上涨0.58%，换手率0.95%，成交量191.97万股，成交额6741.71万元。投行对该股的评级以买入为主，近90天内共有4家投行给出买入评级，近90天的目标均价为78.63。国泰君安国际最新一份研报给予康龙化成买入评级，目标价70.31。机构评级详情见下表：康龙化成港股市值70.26亿港元，在医疗服务Ⅱ行业中排名第9。主要指标见下表：以上内容由证券之星根据公开信息整理，与本站立场无关。证券之星力求但不保证该信息（包括但不限于文字、视频、音频、数据及图表）全部或者部分内容的的准确性、完整性、有效性、及时性等，如存在问题请联系我们。本文为数据整理，不对您构成任何投资建议，投资有风险，请谨慎决策。
证券之星2022-10-11
孙宇晨方回应收购传闻：其与波场均非火币买家,将作为顾问支持火币发展
 go
割事宜已完成，百域资本（“About Capital”）旗下基金成为Huobi Global的第一大股东和实控人。 10月10日，针对此次并购，有自媒体发布报道称，孙宇晨其实是百域资本并购基金的核心出资人，因而指出孙宇晨是Huobi Global本次交易的实际买家。同日，火币公告，Huobi Global决定成立全球顾问委员会，百域资本创始人、原景林资产创始合伙人Ted Chen（陈亦骅）、Huobi Global联合创始人杜均、香港科技大学副校长汪扬、波场创始人孙宇晨、Valkyrie投资联合创始人Leah Wald成为该顾问委员会委员。对此，孙宇晨在推特中进行了回应。孙宇晨表示，他非常荣幸地被任命为Huobi Global全球顾问委员会成员，他将其他委员一起，在行业发展、学术研究、合规风控等领域指导Huobi Global发展，进一步加强机构间合作，提升品牌影响力和市场竞争力，让全新的Huobi Global获得更多用户认可，引领Huobi Global进入崭新的里程碑。 2017年9月，孙宇晨创立波场TRON，致力于通过区块链技术和去中心化应用程序加速互联网的去中心化。目前，波场TRON已成为全球最大的开放式区块链平台之一，拥有超过1.15亿用户和超过500亿美元的链上加密货币资产。就锁定在DeFi（TVL）的总价值而言，它在全球排名前三，目前超过110亿美元。TRON网络于2021年12月完成了完全去中心化，成为一个纯粹由社区管理的DAO。孙宇晨还积极关注艺术品的数字化创新和公益事业。他2021年度分别拍得毕加索、贾科梅蒂、安迪·沃霍尔等艺术家的经典作品，藏品价值接近10亿元人民币，后将大部分藏品捐赠给APENFT基金会，用于艺术品的NFT化及数字化创新。孙宇晨2019年以456.8万美元的价格拍下“巴菲特慈善午餐”。2021年，孙宇晨发起“星辰大海”公益活动，邀请5名伙伴计划于2023年乘坐贝佐斯旗下蓝色起源公司的“新谢泼德号”火箭一起飞往太空。来源：金色财经
金色财经2022-10-11
系好安全带！准确预言1987年股市崩盘的“神算子”：美国已处于或接近衰退比特币或将迎来大涨
 go
而一举成名。他还是非营利机构Just Capital的主席，该公司根据社会和环境指标对美国上市公司进行排名。美国股市今年已陷入熊市，原因是投资者预计，美联储为冷却通胀而快速大幅加息的步伐，将导致美国经济出现所谓的“硬着陆”。标普500指数今年迄今下跌了约24%，纳斯达克综合指数下跌了近33%。琼斯说:“我认为，当我们陷入衰退时，美联储会在某个时刻停止升息。”“总有一天，它会开始放缓，甚至在某个时候，它会逆转这些削减。当这种情况发生时，包括加密货币在内的各种遭受重创的通胀交易可能会出现大幅上涨。” 他说，他“少量”配置了比特币。“我在这方面的配置一直很小。” 比特币今年以来下跌了近60%，周一交易价约为19190美元。去年11月，比特币触及6.8万美元以上的历史高点，随后大跌并陷入“加密货币冬天”。
夏洛特2022-10-11
“最后的投降即将到来”！比特币再遭抛售这一指标预示加密大行情蓄势待发
 go
间。加密资本风险公司(Crypto Capital Venture)创始人Dan Gambardello说：“我认为我们被夹在了熊市的中间，最后的投降即将到来。”“这意味着我们正在接近加密领域的最大机遇。做好准备！” 随着全球逆风加剧，市场下跌周一，衡量市场波动短期预期的芝加哥期权交易所(CBOE)波动指数(VIX)飙升至32以上，而美国国债收益率继续攀升，全球金融市场交易普遍出现亏损。美国股市收盘时，标普500指数、道琼斯指数和纳斯达克指数均下跌，分别下跌0.75%、0.32%和1.04%。代币市场的情况也类似，前200名中的绝大多数代币当天均下跌。（加密货币市场的当日表现，来源：Coin360）在这场影响深远的低迷中，值得注意的例外包括火币Token (HT)上涨27%，Maker (MKR)上涨16.85%，Just (JST)上涨9%。目前加密货币的总市值为9340亿美元，比特币的市占率为39.5%。
夏洛特2022-10-11
孙宇晨才是火币真正收购者百域只是白手套
 go
人李林）已向香港百域资本（About Capital）旗下并购基金转让所持有的全部Huobi Global股份，成为Huobi Global的第一大股东和实控人。不过据《吴说区块链》稍早引述多位知情人士的最新报道，其实百域资本只是收购火币的中间桥梁，其背后真正的核心收购者是波场（Tron）创办人孙宇晨。《吴说》表示，多位知情人士向其透露，孙宇晨其实是百域资本并购基金的核心出资人，孙本人出现在8日新加坡交割现场。火币成立全球顾问委员会，孙宇晨名列其中据悉，孙宇晨回应《吴说》时表态他「没有参与」火币的收购。但引人注意的是，就在10日清晨，火币发公告表示成立全球顾问委员会。当前五位顾问包含：百域资本创始人陈亦骅、火币共同创办人杜均、香港科大副校长汪扬、Valkyrie 共同创办人 Leah Wald，以及这次的讨论主角 – 孙宇晨。稍早十点钟，孙宇晨也在他的个人推特上发文表示：很荣幸受邀担任 Huobi Global 全球顾问，我将和其他委员一起，在行业发展、学术研究、合规风控等领域指导 HuobiGlobal 发展，进一步加强机构间合作，提升品牌影响力和市场竞争力... 在此敏感的时机曝光该消息，也让人不禁猜测他与 Huobi Global 的真正关系，是否真的如他所言并没有参与收购、还是他真的如报道所言是背后主要出资者？稍早，孙宇晨的英文推特账号更是将简介内的链接更换为火币官网。为什么孙宇晨要保密？《吴说》报导进一步解释，其实百域资本更多只是作为孙宇晨收购火币的桥梁。而之所以保密的原因，知情人士则分析是因为：李林担忧其安全因素。孙宇晨在中国政府眼中不是好的买家，而百域资本则似乎和具有中国官方背景的博裕资本有关。孙宇晨害怕引发一直支持它的币安（Binance）不满他与 FTX 在此次交易中相交甚密（市场传闻币安目前最大的竞争对手 FTX 有出资帮助孙宇晨），孙或许担忧此举会导致他与币安关系恶化。 Huobi Token（HT）今早涨逾 6% 今早火币成立全球顾问委员会、以及孙宇晨的消息曝光之后，其平台币Huobi Token也迎来一波上涨，撰稿当下最高来到4.37美元，今日最高涨幅超6.6%。火币曾为世界前三大交易所之一，但自2021年5月中国出台加密禁令后，在去年年底大举清退中国用户，改往土耳其与巴西等海外市场扩张，中国业务大受打击。据 Coingecko 即时数据显示，Huobi Global 现为世界第八大中心化交易所。艰难的时期会带来真正的友谊，那些在熊市期间仍然在磨炼和学习的人是那些将长期留在这个行业的人，他们和你一起渡过难关，牛熊。一个人的加密道路总是那样坎坷。你需要加入一个由一群志同道合的人组成的队伍。共同交流探讨。感谢观看，关注我，我们下期再见！来源：金色财经
金色财经2022-10-10
DeFi第四季度有哪些值得关注的趋势和叙事？
go
求1亿美元以上的融资 Pantera Capital正在为其第二只区块链基金筹集12.5亿美元资金 DeFiance Capital正在筹集1亿美元投资于流动性代币。作者观点：虽然私人市场活动似乎进展得非常顺利，但毫无疑问，我们需要一些资金流入公共加密市场，以使行业重新焕发活力。我们不能重蹈2017-2018年ICO周期的覆辙，由于缺乏PMF（产品市场契合度）和对私人投资者有利的融资条款，ICO周期给零售投资者带来了很多痛苦，从长远来看，损害了更广泛的生态系统。来源：金色财经
金色财经2022-10-10
MDEX的下一站：永续合约
 go
Research、Lingfeng Capital、SafePal、Token Pocket、3Commas 和 LUX Capital等参投。而所谓的「DEX Engine」，是由 ApolloX 于 7 月推出的一站式衍生品交易品解决方案。根据 ApolloX 的官方介绍，通过「DEX Engine」解决方案，任何希望为自身平台提供全新交易功能的项目均可轻松、快速地搭建起一套衍生品交易框架，项目只需要关注前端呈现，依照自身的品牌调性来提供更符合用户操作习惯的产品界面，后端的所有其他事情均由 ApolloX 代为完成。在具体的交易实现机制上，「DEX Engine」与 dYdX 等头部衍生品交易所一样选择了更适合永续合约交易的订单薄模型。同时为了兼顾效率及安全性，「DEX Engine」采用了「链下撮合+链上结算」的混合，交易撮合将在云端完成，资金的结算和托管则将完全放在链上。截至发文，ApolloX 所设计的这套一站式解决方案已获得了业内多家交易所的支持，包括 BNB Chain 上最大的去中心化交易所 PancakeSwap，而 MDEX 则是该解决方案最新的支持者。虽然暂时官方释放出来的信息并不太多，但据知情人士透露，MDEX 与 ApolloX 的这项合作成果预计将于十月正式落地。届时，MDEX 的用户将可在该平台直接参与多个币种的永续合约交易，体验由「DEX Engine」带来的深度流动性和紧密点差。从体验角度来说，永续合约交易在操作层面变化并不大，用户仍可以在不进行任何 KYC 的情况下直接用钱包进行链接，区别是合约交易将不会涉及资产的直接买入与卖出，而是需要在存入一定的保证金后再买入（开多）和卖出（开空）更大面值的杠杆仓位，押注市场波动。与现货交易相比，这将带来更高的资金利用效率，放大潜在的收益空间，当然风险也会同步放大。对于 MDEX 来说，永续合约的上线无疑是其对其产品矩阵的一项关键扩充，也符合 MDEX 长期所秉信的“始终致力于满足不同用户的不同交易需求”的理念。自去年 1 月上线以来，虽然伴随着行业整体的起伏兴衰，MDEX 的数据表现也经历了较大波动，但单从产品层面来说，MDEX 却一直都在各个维度上持续扩展。横向的生态覆盖上，MDEX 在 HECO 之外现已扩展至 BNB Chain、以太坊等多个生态；纵向的产品更新上，随着永续合约功能的落地，MDEX 即将成为集现货交易、流动性挖矿、Boardroom、IMO、Fun Buyback、永续合约等六大板块于一身的综合性 DeFi 协议。衍生品，DeFi 的未来而若将目光落在行业的发展趋势上，布局永续合约也是 MDEX 也是朝向未来发力的一大战略举措。去中心化金融体系的搭建是自下而上的，稳定币、借贷、DEX 作为底层金融基础设施，依次满足了用户对于资产保值、资金融通、资产交易的基础层需求，随着 DeFi 乐高的逐渐堆高，下一步自然就要向着更高层级的用户需求瞄准。衍生品交易脱胎于现货交易。与现货交易相比，衍生品交易有着更加丰富的应用场景，可帮助用户灵活应对不同的行情走势，放大利润、对冲风险、套期保值、优化资源配置……满足用户更多样、更复杂的金融需求。在 DeFi 用户增速日渐放缓的当下，衍生品交易有望带来新的增量用户，为市场引入更多活水，从而为 DeFi 的再次爆发打下基础。从市场潜在的增长空间来看，无论是传统金融世界还是基于中心化交易所（CEX）的加密货币市场，衍生品交易量都要远高于现货交易量。CryptoRank数据显示，截至 10 月 10 日 13:00，过去 24 小时内加密货币市场的期货交易量高达 453.86 亿美元，与之相对比，现货交易量仅为 135.51 亿美元，前者交易量是后者的 3.35 倍。反观 DeFi 领域，以 CoinGecko 数据为基准，除了龙头项目 dYdX 尚有一战之力外，其它衍生品交易所较现货交易均有着较大的数据差距。从整体交易量上看，当前 DeFi 领域之内现货交易总额仍远高于衍生品交易总额，与 CEX 之内的状况出现了倒挂。数据对比给出了最为直观的结论，未来链上的去中心化衍生品交易仍有着很大的增长空间。虽然受限于基础设施尚不完善、产品设计仍需探索、用户教育有待提高等各方面原因，去中心化的衍生品交易距离完全普及还有着很长的路要走，但不可否认这就是未来 DeFi 市场的增量引擎之一。相较于中心化交易所的服务，去中心化衍生品交易所在资产托管方式以及透明度上都有着明显的优势。一个不需要依赖任何中间商的去中心化交易平台可以规避掉用户的一些普遍担忧，比如资产挪用、极端行情资产兑付、卷款跑路、画线清算、坐庄收割等等，从底层构架上实现了“安全”及“可信”两大关键属性的升级。回到 MDEX 身上，正是看到了这一大势所趋，该项目才会选择将永续合约作为下一步的战略发展方向，以期在未来 DeFi 再次复苏之时提前抢占身位。加密货币市场正熊，DeFi 更是深处寒冬之中，想要渡过如此惨淡的时段，需要业界的每一份子戮力同心。幸运的是，我们能够看到许多项目在面临严峻挑战之时仍未停下前进的脚步，从以太坊顺利完成合并，到多家新公链带着新的技术概念涌现，再到 MDEX 等应用层项目推陈出新，我们有理由相信阴影终将过去，Web3 的未来仍是一片光明。来源：金色财经
金色财经2022-10-10
盘点固件安全赛道 a16z看到了什么？
go
轮、B 轮的融资也包括 Intel Capital（英特尔的投资部）。不过，Eclypsium 这家公司，在国内并不是特别为人熟知，简单说一下就是他们主要是做基础安全 / 固件安全类别的，主要是为企业供应链中关键硬件、固件等等提供安全服务的供应商，主要专注于服务器、笔记本电脑和网络设备（交换机、路由器等）的固件层的检测和防护。公司成员中，Yuriy Bulygin 曾在英特尔工作 11 年（高级工程师），在 McAfee 工作了两个月（CTO）。Alex Bazhaniuk 和 John Loucaides 也来自英特尔，在此之前，这三位均负责英特尔的硬件、固件安全。Ron Talwalkar 在 McAfee 工作了 11 年，作为终端安全业务部产品管理高级总监，负责英特尔安全相关的业务。那么，他们到底发现了什么呢？特别是从领域专家和创业出身的投资人的角度来看，到底有什么新趋势、或者比较新的趋势出来？这也是笔者写这篇文章的主要原因。 3.是近期复盘过去 RSA 大会的时候观察到的之前比较少见的东西为了以终为始地观察，我先把前些年 RSA 大会（一个世界级别的顶级安全大会）的一些创新项目和演讲拿出来看看，发现 2017 年 BlackHat Asia（世界顶级安全大会）上也有研究员介绍了针对 UEFI（Unified Extensible Firmware Interface）固件的渗透测试工具集，2018 年，RSA 创新沙盒的入围公司中有一家叫做 Refirm Labs，专注于物联网设备的固件安全分析，这家公司的业务重点是：网络基础设施中除了包含物联网设备，还有服务器和路由器、交换机等网络设备，用户侧还有个人电脑，那么这些设备的底层和硬件的安全问题也是值得关注的。2018 同年美国的 BlackHat 上，也有安全研究员介绍了近三年 UEFI 固件的大量安全漏洞，包括一些 UEFI、bootloader 等底层启动代码的检测工具和攻击工具层出不穷。三、市场痛点&部分大企业的动向那么，到底固件安全能解决啥问题？随着行业的成熟度不断提升，软件安全性在逐步提升。但是与此同时，固件和硬件安全近年来已经成为攻击者的热门目标。基于固件的恶意软件很大程度上被安全团队忽略，这使服务器、存储和网络设备的固件成为企业安全的「软肋」。固件存储有证书、密钥等敏感信息，成为攻击者的重要目标。83% 的被调查企业在过去 2 年曾经遭遇过固件攻击。固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。企业对固件安全重视程度必须等同于操作系统和应用安全。继续看一个数据：Gartner 预测：到 2022 年，缺乏固件更新方案的机构，70% 将会因固件漏洞遭遇数据泄露。而近年来，固件漏洞的数量激增。固件漏洞可以在设备内部任何组件中存在，包括 UEFI 或者 BIOS 系统、驱动器、网络适配器、内存、处理器、显卡以及很多其它的集成或外围组件。2016 年之后，美国国家漏洞数据库中漏洞数量每年都创出新高。2019 年，暴露出的固件漏洞数量比 2018 年增加了 43％，比 2016 年增长了 7.5 倍。根据微软 2021 年委托进行的一项调查：83% 的被调查企业在过去两年曾经遭遇过固件攻击。美国国家标准技术研究院（NIST）国家漏洞数据库的数字则显示，过去 4 年中，针对固件的攻击增加了五倍以上。在硬件生命周期报告中，将安全作为优先事项的研究参与者，约有一半（52％）宣称，至少遭遇过一起恶意软件感染固件引入了公司系统的事件，而 17％的参与者表示，该事件带来了实质影响。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 目前安全问题的严峻性。 2021 年，报告显示，有 3000 万戴尔设备面临着远程 BIOS 攻击、RCE 攻击风险。也就是这类别的漏洞可以让远程攻击者在戴尔设备的预启动环境中获得任意代码执行的权限，预估这些漏洞会影响到了全球 3000 万个戴尔终端设备。这些漏洞允许有特权的网络黑客绕过安全启动保护，控制设备的启动过程，突破操作系统和更高层的安全控制。它们的累计 CVSS 评分为 8.3 分。具体来说，这些漏洞影响了 Dell SupportAssist（一种技术支持解决方案，预装在大多数基于 Windows 的戴尔机器上）中的 BIOSConnect 功能。BIOSConnect 用于执行远程操作系统中的恢复或更新固件的功能。研究人员在一份分析报告中指出：「各种类型的技术供应商正越来越多地实施云端更新程序，这样可以确保他们的客户尽可能使他们的固件处于最新版本。虽然这是一个非常优秀的功能，但如果这些程序中出现任何漏洞，如我们在戴尔的 BIOSConnect 中看到的那些漏洞，都会产生严重的后果。」这些特定的漏洞允许攻击者远程利用主机的 UEFI 固件，并获得该设备上的最高控制权。这种远程攻击和高权限相结合进行利用，很可能使远程更新功能在未来成为攻击者的最青睐的目标。从智能手机到服务器，几乎所有设备都包含固件。计算机包含许多固件，从 USB 键盘到图形和声卡，应有尽有；即使是计算机电池也包含固件。考虑到固件的广泛普遍性，人们会自然地期望固件安全问题会被置于首位考虑——但遗憾的是，这距离事实很遥远。图片来源：虎符智库 - 固件安全：被忽视的企业安全「软肋」2021-04-16 09:18 固件通常是常规漏洞管理工具和流程的盲区。大多数漏洞扫描器关注的是软件，回避了固件漏洞和硬件配置错误扫描。另外，对于指定的设备，人们并不总是清楚其内部是否安装了最新固件，有漏洞的固件是否已经被正确地更新。这就给 CISO 们和安全团队提出了挑战，他们需要具备确认产品固件状态的能力，而不是完全靠他们提供商的漏洞更新流程。基于固件的恶意软件很大程度上被安全团队所忽略，这使得服务器，存储和网络设备中的固件成为企业安全的「软肋」。根据微软的调查，企业对固件保护没有给予足够的投入，只有 29％的安全预算被用于固件保护；21％的被调查的决策者承认，公司的固件数据未受到任何监测。四、为什么关注固件安全领域？为什么要关注这个领域？固件安全赛道重要在哪？天花板多高？能用于哪些场景？解决什么问题？ 1.各国国家的导向以及不断攀升的针对固件攻击的安全事件频繁发生根据近期的报告，有 80% 的组织因供应链中的漏洞而遭遇网络攻击，2021 年，供应链攻击同比增长超过 100%。全球政府机构越来越多地发出警告和授权，如白宫 OMB 关于加强供应链安全的备忘录指出，设备软件和固件已成为主要来源，占网络安全和基础设施安全局（CISA）公布的已知已利用漏洞的近四分之一。图片来源：https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity 美国国家标准与技术研究院（NIST）于 2021 年 5 月 12 日发布了 EO 14028 行政命令）（如上图，其中最重要的概念之一就是 SBOM（Software Bill of Materials)，怎么理解这个 SBOM?也就是说，未来企业在交付客户软件使用时，需要根据情况应该向公众或者向客户公开其方案的组成部分的清单，长期目标是为了降低软件供应链的风险。 2021 年 5 月 26 日，CISA( 美国网络安全和基础设施安全局）在 RSA 2021 大会上公开了 VBOS 计划，目的是表明连同操作系统在内以及更底层的安全都需要防护，因为固件是拥有比操作系统更高的权限的软件，它会负责芯片 internal ROM 后硬件初始化的工作，这一特点也让它成为了一种特殊的软件，过去的 15 年中固件层面的安全对抗从未停止，只是这个层面的威胁对于普通企业难以理解所以并未受到行业的重视，但近年来固件安全问题越发严重，Google/AWS 等国际大厂为了对抗高级攻击为自己量身定制了固件安全方案，VBOS 计划是把固件安全推上的桌面，这也变相的把 SBOM 扩展到了固件层面。基于 EO 14028 的计划和框架，6 月 26 日美国国家标准与技术研究院（发布了了关键性软件的定义，其中操作系统，虚拟化，容器，中心化认证及权限管理系统，浏览器，终端安全（包含全盘加密，安全漏洞风险评估系统以及会搜集硬件，固件和操作系统基础信息的软件产品），网络协议（DNS，VPN，SDN，路由协议等），网络防护（传统防火墙，IDS/IPS 等产品）等软件包含其中。 7 月 11 日 NIST 发布了 EO- 关键性软件的安全度量，这份文档从高级防御的角度，阐述了关键性软件应该使用哪些现存的合规指南进行，7 月 11 日 NIST 同时发布了针对厂商出厂前安全测试的最低要求，其中对于模糊测试 (Fuzzing) 以及回归测试 (Regression test) 都提出了要求。 2021 年 10 月 28 日，CISA 和 NSA 发布了 5G、云基础设施安全指南、和 5G 基础设施潜在威胁，其明确提出单个节点必须具备防御已知和未知漏洞的能力以及重要 MEC 边缘节点高级防护能力必须覆盖到固件层。 2021 年 11 月 16 日，CISA 发布了联邦政府网络安全应急和漏洞响应手册，目的是持续标准化安全事件应急的的流程。 2.市场需求在哪？无论是 EO14028 与 VBOS，未来都会影响全球信息安全产业的走向，会有更多的国家跟进，各国都会逐步对 EO 14028 进行回应，并制定符合国家和行业实际情况的合规指南只是时间问题，对于企业而言，出海则可能会面临更复杂的合规要求以及审计，在亚太地区，日本和新加坡可能成为第一批参考 EO14028 的国家。并且随着勒索软件（RaaS) 的出现频率越来越高，企业将不得不将固件安全放在很重要的战略地位。我们国家对于保护关键性基础设施条例：2021 年 4 月 27 日通过了《关键信息基础设施安全保护条例》，并于 2021 年 9 月 1 日实施，条例中明确定义了关键信息基础设施的范畴包括：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。我们无法指望固件漏洞的增长速度会减弱：一方面，笔记本电脑，服务器和网络设备中组件的数量和复杂性不断增加。在英特尔披露的 2020 年的安全漏洞中，93 个属于驱动和其他软件漏洞，66 个为固件漏洞，58 个为固件和软件组合漏洞。此外，从攻击者的角度来看，固件是具有异常高价值的战略目标。固件使攻击者可以轻易访问可被窃取或用于勒索的数据。此外，通过固件攻击，可以对组件或整个设备进行完全禁用。固件还为攻击者的长期攻击提供了途径。 3.市场天花板有多高？根据 grandviewresearch 的研究，2020 年全球服务器市场规模为 836.6 亿美元，预计从 2021 年到 2028 年将以 7.8% 的年复合增长率（CAGR）增长。增长的原因主要来自于全球新数据中心数量的增加，包括一些云服务提供商和行业，如 IT 和电信，医疗保健，BFSI 以及政府和国防，正在升级其服务器以管理不断增长的数据量，因为 IT 基础架构的升级为管理更高的数据量提供了增强的安全性、存储和处理速度。资料来源：Grandviewresearch 为什么服务器市场会持续增长？首先从图上来看，亚太地区机架式服务器的销售激增，主要是受超大规模企业的持续需求推动对高容量服务器的需求增加，其次，支持大数据分析、软件定义解决方案和超融合基础设施的应用对高性能计算服务器的需求也在增加。还有就算，5G 网络技术的持续推出和公共云供应商对超大规模数据中心建设的积极投资也有利于服务器市场的增长。不断增长的市场，也为服务器等固件的安全提了更高的要求。五、近期部分固件安全赛道的融资情况 Eclypsium：2018 年 A 轮融资 880 美金；2022 年 10 月 4 日宣布，B 轮融资 2500 万美元； Cylus：铁路安全初创公司 Cylus2021 年底 B 轮融资 3000 万美元； Oxide Computer：2019 年底，Oxide Computer 种子轮融资 2000 万美金。 Binarly：2022 年 6 月，固件安全初创公司 Binarly 种子轮融资 360 万美元。六、商业模式的案例这部分讲几个笔者觉得值得关注的案例和它们的商业模式： 1.Eclypsium 主要业务：一方面主要是给 IBM 等大厂的固件做审计，帮助其企业和公共部门客户保护和确保硬件、固件和软件供应链的完整性。另一方面还是夯实行业安全研究的功底，及时向公众及企业披露安全风险。 Eclypsium 的投资人的评价：Eclypsium 解决了网络安全难题中关键而又经常被忽视的方面，确保每台设备都能持续地受到保护，免受供应链安全风险的影响。虽然设备安全在历史上更多地由原始设备制造商控制，但今天复杂的供应链和对第三方软件和组件的依赖已经成倍地扩大了攻击面，Eclypsium 进入市场的时机比较好，以其综合解决方案解决这些复杂问题。 2.Oxide（这个公司就更有意思了，中文互联网它的资料简直寥寥无几，但是种子轮就拿了 2000 万美金，神不神奇？） Oxide 是做什么的？商业模式又是什么？简单地说给 Oxide 钱，Oxide 就会卖给你一台电脑。问题来了，它们究竟是什么样的电脑？以及为什么大家会想买？在 90 年代末和 21 世纪初，网络服务的运行对应会有服务器放在数据中心的机架上，如果需要更多流量，数据中心就会升级，大家会买更大、更强的服务器，服务器又大又贵，而且难以管理，针对这样的情况，在 2006 年，像谷歌这样的公司会选择建立自己的服务器，这样一是可以节约成本，还有就是因为市场的标准产品无法完全满足业务的需求。谷歌这样的公司开始拒绝「服务器级」硬件的概念，而纯粹依靠更便宜的消费级硬件。但是，纯粹依靠消费级硬件就需要建立一堆软件，使服务器集群更加可靠。不过这种方法也有弊端：随着这些公司的发展，和数据中心逐步上云，一旦开始管理这么多的计算机，就发现，互联网和软件巨头开始设计甚至制造自己的硬件，以提高效率和建立竞争优势。比如说，谷歌定制了自己的服务器，用了英特尔的数百万个芯片，并在 5 月宣布，它已经设计了自己的特定应用集成电路（ASIC），用于神经网络。 Facebook 在其数据中心使用自己的交换机。公有云公司亚马逊网络服务公司不仅设计了自己的路由器、芯片、存储服务器和计算服务器，还设计了自己的高速网络。但是，企业们也会遇到扩展问题：解决办法很简单：雇用一些人建立基础设施。有人好奇，为什么不买现成的呢？因为目前的计算机公司真的是在垂直扩展的时代成长起来的，并没有可以买的现成产品，那么标准化的产品又存在问题，由于每个企业的计算需求不一定一样，就出现了这样的情况：在现成的服务器系统中，很多硬件，还有软件，在系统的各个部分都有大量浪费的部分。由于计算领域发展的专用性很强，这也意味着，如果不愿意建立自己的硬件，你能获得这种新技术的唯一途径就是租用。公共云的按使用量计费的模式是相当标准的，也是相当有利可图的。定制硬件有助于在帮助自己的业务挖出一条更深的护城河。 Oxide 正在做的是建造适合超大规模使用者的计算机，并将其出售，不过和公共云。这些计算机将由硬件和软件一起设计，创建优秀的、专用定制的安全的底层系统。 Oxide 的创业思考： Oxide 的 CEO Steve Tuck 写过一篇博客，尽管创办一家卖电脑公司，在这个阶段听起来可能很疯狂，但是他认为，硬件和软件在建造时都应互相考虑。这个信念可以追溯到它在 90 年代中期第一次来到 Sun Microsystems（很早的科技公司鼻祖）时的经验。除了不可避免的技术信念外，还有他提出的商业信念：即使世界正在（或已经）转向弹性的、API 驱动的计算，仍然有很好的理由在自己的设备上运行，此外，随着以云计算为基础的 SaaS 公司从严格意义上的以增长为中心走向以利润为中心，似乎更多的人将考虑购买数据中心或者自建数据中心，而不是总是租赁机器（成本太高）。他的创业想法开始形成：世界需要一家公司来开发并向更广泛的市场提供集成的、超级别的基础设施。七、固件安全在传统业务场景有什么应用模式？应用场景 1 ：服务器的加固 Eclypsium 的研究人员从 IBM 的 SoftLayer 云服务中租用了一台裸机服务器，该服务器使用 Maxmicro 的 BMC，这是一家具有已知固件漏洞的硬件供应商。在确认它具有最新的 BMC 固件可用后，研究人员记录了机箱和产品序列号，以帮助他们以后识别系统。然后，研究小组以单个位翻转的形式对 BMC 固件进行了「良性更改」。在将服务器释放回 IBM 之前，还创建了 BMC 的 IPMI 中的其他用户的帐户。研究人员总结道，使用易受攻击的硬件和不重新刷新固件的组合使得将恶意代码植入服务器的 BMC 固件成为可能。黑客想要做的事情包括窃取数据并从其他租户那里泄露一些秘密信息。另一个有趣的想法是通过有效地关闭这些机器来对基础设施造成实质性的破坏。如果黑客有权访问此固件层，则可以永久地「破坏」机器。针对这一发现，IBM 公司已经通过强制所有 BMC（包括那些已经报告最新固件的 BMC）在重新配置给其他客户之前使用工厂固件进行重新刷新来应对此漏洞。BMC 固件中的所有日志都被删除了，BMC 固件的所有密码都被重新生成。 IBM 发言人认为：「鉴于我们已采取的补救措施以及利用此漏洞所需的难度级别，我们认为对客户的潜在影响很小。」虽然该报告的重点是 IBM，但这实际上是所有云服务提供商的潜在全行业漏洞，感谢 Eclypsium 将其引起业界的关注。参考文献：https://www.techtarget.com/searchsecurity/news/252458402/Eclypsium-Bare-metal-cloud-servers-vulnerable-to-firmware-attacks 八、Web3 业务场景的应用随着数据中心越来越呈现分布式，以及部分大厂为了降本增效，选择自建数据中心，分布式数据中心也成为了新的潜在趋势之一。那么，这和 Web3 和区块链又有什么关系呢？已知常识是，区块链具备不可能三角，这个不可能三角指的是，去中心化、安全、可扩展性这三者是无法同时满足的，也就是说，任何系统的设计只能满足其中两个。比如极端的去中心化方案 BTC（比特币）和 XMR（门罗）都是以牺牲可扩展性为代价的，这导致 BTC/XMR 技术架构无法提供更复杂的业务，所以对于这类似这两种方案的业务来说，Layer 2 的存在是必然的，因为需要支持更复杂的业务。但是，Layer 2 对于安全主要有几个方面的挑战：首先，安全和可扩展性对于去中心化系统也至关重要，超级节点的引入会增加系统安全的风险。举个例子，PoW 的模式下，以前需要搞定几万个节点才能发起攻击比如 51%。但 PoS 时代，超级节点的诞生让需要掌控节点数量大大降低，安全存在的隐患也就更大。其次，跨链协议实现中存在缺陷。这个缺陷要怎么理解？其实就是目前例如跨链桥的实现中存在 bug，比如 A 到 B 链经过跨连桥 C，但 C 在没有完成 A 和 B 的检查就把 transaction 放行，那就可能被攻击者利用去进行无限制转账。第三就是供应链安全。主要包括开发人员是否会植入后门以及 build 基础设施的需要安全加固等考量因素。不过，如果牺牲一部分去中心化的特性，采用邦联化的架构，那这个三角就可以成为可能（也就是可以满足可扩展性和安全的特性）我们认为，Scalability 和 Security 是不能牺牲的，因为一旦这么做了，复杂业务也无法开展。不过，如果用分布式\邦联化替代 100 % 的完全去中心化，就会导致技术架构转变。因为完全去中心化指的是每个节点都有验证的权利，那即使某几个节点被攻击，也只是钱包安全的问题。但如果是 PoS 选出超级节点成为 validator 的节点受了攻击问题那严重性就非常高了。那么对于 Web3 领域来说，假设某项业务全球有几十个超级节点，一个节点放到德国的 Hetzner 数据中心，一个在法国节点放到 OVH 数据中心，然后日本的节点又是一个当地机房进行托管。如何保证这些服务器本身的运行状态是可信的，比如没有遭到机房管理人员或者其他 Evil Maid（邪恶女仆）的篡改，如果能做到这点那 web3 超级节点的物理服务器可以被扔进这个星球上任何一个数据中心并且放心大胆的运行，毕竟验证服务器是关系到钱的组件。另外一方面，不同超级节点之间可以使用邦联化协议或者跨链桥的方式进行通信，在这样的情况下，也会对底层的基础安全提出更高的要求。八、总结&后记笔者一位非常钦佩的 GP 前辈讲过一句话：要找到正确的「非共识」。这句话我一直记着，如何在大趋势开始之前观察到不一样的东西，是笔者每天都乐于探索的事情之一。回首我自己的经历，也在 2014 年前后看到 USV 合伙人对 Metaverse 的博客描述（他这篇文章是 2012 年写的，提到了推特和元宇宙）当时也突然觉得眼前一亮：如下图图片来源：Twitter and the Metaverse - AVC 也有 2019 年 USV 合伙人 Fred 博客写道他对 NFT 和虚拟人的关注之时，引发了我的思考（不过当时周围可以找到的能交流 NFT 的朋友并不多：）（如下图）。图片来源：Twitter and the Metaverse - AVC 这篇文章的写作，主要也是想给大家一个思考的新领域，新方向。来源：金色财经
金色财经2022-10-10
黑客事件下币安快速决策无监管下的伪去中心化市场
 go
去做出反应。加密风投基金Cyber Capital创始人兼首席投资官Justin Bons在推特上表示，BNB Chain网络的21个“验证节点”是由一个11人委员会选出，而该委员会则是由币安控制的。这些“验证节点”会按照委员会设计的预定顺序轮流处理相关工作，而不是像真正的去中心化区块链那样根据权重随机确定验证。除此之外，Bons还称BNB Chain网络代码是完全闭源的。关于去中心化的质疑问题，赵长鹏回应去中心化和中心化并不重要，安全、易用性、自由比去中心化更为重要，但事实却是不去中心化就很难保证安全性，更谈不上自由。中心化的问题在于权力过于集中化，只要主动权在平台方手里，用户的资金就会有风险，web3小作文戏码大家也看了很多，自导自演更是信手拈来，一旦出现问题，用户可以去哪个国家维权？总部在哪里？资金又在哪里？中心化区块链的前提是拥有良好的平台声誉和强大的法律保障，而不是区块链的密码博弈论。但显然这些都是目前区块链所不具备的，例如在BSC链上，你没有得到任何区块链的安全性保证或任何强有力的法律保障。所以就这点来看，去中心化依然是必要的。关于去中心化有一个比较直观的数据可以用来衡量——节点数量或者说验证者数量，一般来说，节点数量越多意味着去中心的程度越大，目前最主流的几款公链节点数据如下：数据来源：视界对比来看，BSC的21个超级节点是主流公链中最少的，其中心化程度自然更高，这与BSC链的产生背景有一定关系。赵长鹏从交易所起家，19年推出了币安链（BC），但只能做转账交易，费用低。20年DeFi市场崛起，币安想要从中分一杯羹，又推出了BSC链，可以让DApp在其链上进行开发。构建了以交易所+智能合约的两大生态系统。BSC也依靠币安交易所的法币兑换优势、适合小白操作以及赵长鹏名气等快速发展起来。但币安终究是一家要盈利的中心化团队，只是为了占领市场份额才推出了BSC。技术层面抄袭以太，节点布局很少，所以中心化发展是必然的。如果币安一切行动是以将用户损失降到最低为初衷，那么作为中心化公链尚有一丝责任感，但同为BSC链上的Qubit被盗时，当时近亿资金的BNB和BUSD等待跨链，用户强烈要求币安冻结黑客地址，但得到的却是币安义正言辞的答复：BSC是去中心化的，无法协助找回丢失资金，用户只能眼睁睁看着自己的资金被从容跨链转出。同样的事情再次上演时，我们看到了币安不同于以往上帝视角的做法，相同的资金体量，只有当币安自己的钱被盗增发后，人们才猛然发现，一向标榜“去中心化”的币安智能链，其实只是币安的一条私有链，随时可以拔网线、停机、回档。这种双标行为作为头部交易大所不免让人诟病。此次被盗对BNB价格影响不大，因为增发的BNB只占到流通量的1%，但停链所带来的损失远不止于此，币安对这次事件的应对已经是向世界宣告了BSC链去中心化的虚伪。作为投资人，面对停机链上高收益资产的时候，应该思考如何计算risk reward。资产如何做分散配置，如何避险等。这次事件也更值得行业思考，哪些链值得行业参与者们长期支持，在长期去中心化和短期收益之间应该如何平衡。来源：金色财经
金色财经2022-10-10
波动市中的风险平价策略及启示
 go
资组合的管理外包给Integrity Capital，后者在总投资组合中实施风险平价策略，这一尝试在2015年7月被放弃，因为在金融危机后的7年牛市中，投资组合的表现一直落后于同行。　　2.债券与股票之间的关联性不稳定　　1996~2016年市场对风险平价策略十分有利，这一时期股票和债券一直呈负相关，享受较高收益率的同时，整个投资组合的波动率也很低。情况并不总是这样，在加了杠杆的情况下，假设的负相关实际是正相关的，那会对投资组合非常不利（在极端的“滞胀”环境中，股债收益率呈现正相关，这种情形在2021年下半年出现）。　　3.杠杆　　发达金融市场中，机构投资者获得杠杆的来源变多，从简单的信贷额度到期货和期权市场，到收益互换，到债务抵押债券（CDO）和其他带有内在杠杆的各种工具，使得最优的杠杆资源变得更加复杂。　　首先，在一定的目标收益率下，借款利率即使发生相对小幅的变化，仍然可能影响风险平价组合的杠杆率。　　其次，资产端发生的变化也会影响所需杠杆率。譬如，经济危机后，量化宽松和其他宏观因素使风险资产的预期溢价降至非常低的水平，低收益率加上规模处在历史高位的政府债券使得债券市场的预期波动性降低至历史低点，在风险平价框架内，债券波动性的下降会带来更多的债券配置。债券在投资组合中的高份额与风险资产的低收益率相结合，将导致无杠杆风险平价组合的预期收益率达到历史最低水平，实现目标收益率所需的杠杆率就越高。　　最后，在市场混乱，流动性溢价高企的时期，交易对手对高杠杆率的投资组合会要求更高溢价，或者可能会完全收回自己的信用额度，对风险平价形成破坏性影响。　　四　　风险平价的实践　　最著名的应用来自桥水基金1996年推出的“全天候”投资组合。“全天候策略”通过平衡经济增长和通胀风险的方式来进行风险配置，并将其设计成为在所有经济环境中都表现良好。成立至今年化收益率接近10％。与风险平价类似，更高波动性的资产占比更低。　　　　五　　总结波动性使得资产的复合收益率显著低于算数平均收益（横截面收益率或预期收益率），拉低投资者的长期回报。最优投资组合提供了最佳的收益-波动权衡，但在实践中，收益率和相关性难以捉摸的特征使得理论上的最优投资组合难以落地。风险平价策略使用固定收益产品取代高波动的股票资产，并使用杠杆放大收益，和理论中的最优投资组合十分接近，其风险主要来自：在股票牛市跑输传统组合、股债相关性转正以及高杠杆。注[1]：这个简单的近似公式适用于10％左右的收益率和20％以下的标准差，更大数值下的估算参见Mindlin（2011）。　　参考资料：　　Asness， Clifford S.， Andrea Frazzini and Lasse H. Pedersen. Leverage Aversion and Risk Parity. Financial Analysts Journal， vol. 68, no. 1, 2012: 47-59. 　　Dimitry Mindlin， “On the Relationship Between Arithmetic and Geometric Returns，” CDI Advisors LLC， August 2011. 　　曹实. 多资产投资策略：资产管理的未来，北京：北京大学出版社，2020. 　　希尔达·奥乔亚-布莱姆伯格. 投资的原则，北京：中信出版社，2022. 　　罗伯特·J. 席勒. 非理性繁荣，北京：中国人民大学出版社，2016. 　　注：以上内容不作为任何投资或建议，仅供参考。
金融界2022-10-10

上一页
1
•••
925
926
927
928
929
•••
974
下一页

24小时热点

最新话题更多