FX168财经网_全球视野外汇黄金加密货币NFT资讯网

Cregis Research：解读BRC-20的前世今生

比特币网络之上的第二层技术，可能会存在安全漏洞和风险。（三）风险 BRC-20 代币可能会引发名为 time-bandit attacks 的 MEV 策略攻击。这是因为 BRC-20 代币在比特币网络上的交易和应用可能导致矿工有机会利用 MEV（矿工可提取价值）策略攻击，通过操纵交易顺序来谋取利益。这对网络的整体安全性和可靠性产生负面影响。此外，BRC-20 代币还可能引起监管对比特币的打击风险。这是因为 BRC-20 代币的发行和交易可能涉及到一些非法活动，如洗钱、金融欺诈等，从而导致政府和监管机构对整个比特币网络产生担忧并采取措施进行打压。六、BRC-20 投资建议虽然 BRC-20 协议目前处于实验阶段，但 BRC-20 协议为比特币社区提供了一种新的代币实现方式，BRC-20 协议的出现有助于推动比特币生态的创新，吸引更多的开发者和用户加入比特币社区。未来，随着比特币社区对 BRC-20 协议的优化和改进，它将在加密货币领域发挥更大的作用。目前面临的一些挑战。首先，与以太坊的 ERC-20 相比，BRC-20 无法与智能合约进行交互，无法执行自动化操作，如自动转账或分红等。这限制了 BRC-20 在某些场景下的应用潜力。其在去中心化金融（DeFi）和其他应用场景的应用可能受到限制。此外，由于 BRC-20 协议尚处于实验阶段，其可扩展性和兼容性仍需进一步探讨。 BRC-20 作为基于 Ordinal 协议的一个实验，其本质是对 Ordinal 协议的一次应用实验，该实验为我们提供了新的思路。投资者在进行投资时，应具备长期的视角。未来可能会有更多基于 Ordinal 协议的优化和创新出现，投资者应关注这些发展趋势，以做出更明智的投资决策。来源：金色财经

金色财经2023-05-22

金色观察 | 当区块链遇上债券：加密货币如何解决资本市场桎梏

债券同样很容易受到黑客攻击以及面临其他安全漏洞的风险。在这必须要说明的是，与加密货币不同，智能债券并不是无记名资产，相反，其所有权会自动在区块链上进行注册，因此智能债券将无法被欺诈性转移。此外根据监管要求，智能债券的所有权也可以通过代理进行记录，这可以避免发生在恶意攻击中冻结、取消或是更换代币的情况，以此帮助客户保护资产。总结不可否认，金融工具数字化正在引领着资本市场运作的重大创新。尽管如此，由于加密货币在一种新的主权领域中运作，在一个不属于任何政府的货币上运作，因此仍将受到不小的监管挑战，而这一挑战很可能会在短期内阻碍智能债券的采用。不过市场参与者也大可不必过于焦虑，因为伴随着基础设施的不断升级发展，越来越多的组织和市政当局已经开始采用新型技术，相信在不远的将来区块链技术一定会迎来更重大的创新、获得更可观的增长。本文部分内容编译自MSN 来源：金色财经

金色财经2023-05-21

一文了解Web3.0数据泄露事件分类及保护措施

遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对 Web3.0 目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了 2011 年以来针对 Web3.0 公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽 gas 或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持「长期蹲守」的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数 Web3.0 组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了 74 个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件：理论上可检索的数据丢失事件，包括 PII 和内部数据库等。资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020 年 6 月日本中心化交易所Coincheck被攻击，200 多名客户的 PII 落入攻击者手中。攻击者破坏了 Coincheck 的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供 PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在 2020 年 6 月的另一起事件中，加拿大中心化交易所 Coinsquare 也经历了一次漏洞攻击，泄露和丢失的数据涉及 5000 个电子邮件地址、电话号码和家庭地址。攻击者在 Coinsquare 之间来回「横跳」后表示他们将在 SIM 卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的 74 起事件中，其中 23 起可被归类为数据可检索事件，大约占 31%。剩下的 51 起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011 年至 2023 年间发生的事件中，可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019 年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了 Web3.0 生态系统，再加上 2021 年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及 Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或 clear net 上。如果数据被推测具有一定的经济价值（PII 和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是 Telegram 频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在 paste sites 或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会「助力」受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的 Web3.0 数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到 2019 年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括 Raid 论坛、Breach 论坛和 Dread 论坛。多个违规事件选择将 Raid 论坛作为倾销和出售违规数据的首选论坛之一。Raid 论坛始于 2015 年，多年来一直在 clear net 上运行。然而在 2022 年，Raid 论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在 Raid 论坛网站上撤下通知 Dread 论坛成立于 2015 年，似乎一直活跃到 2022 年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和 IP2 版本，但这些似乎也已关停。在 Raid 论坛关闭后，Breach 论坛立即上线了。对于那些因 Raid 论坛关闭而「流离失所」的用户来说，Breach 论坛为他们提供了一个合理的落脚处。它和 Raid 论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到 Raid 论坛原始用户群的 60%（约 55 万名用户）。仅仅一年后的 2023 年 3 月，FBI 逮捕了经营 Breach 论坛的 Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach 论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的 Pirata（@_pirate18）运营。但它只有 161 名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3 月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach 论坛关闭后的 VX-Underground 论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些 Web3.0 数据。据报道，ARES 论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开 Telegram 频道，该频道在其锁定的 VIP 销售频道中宣传过数据的销售。该频道于 3 月 6 日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES 论坛的 Telegram 中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括 Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的 74 起泄露事件中，有 23 起是有一定可能性检索到的数据。在这 23 个中，我们能够找到 10 个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取 2021 年之后发生的任何违规行为的数据来源。基于 2022 年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代 Raid 和 Breached 的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的 2019 年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或 Web3.0 货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字 / 姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在 2014 年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014 年的黑客攻击了现已倒闭的加密交易所 BTC-E，该交易所于 2017 年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与 Web3.0 的个人长期风险。从这个领域的整体来看，2019 年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从 2022 年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能 100% 消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用 PII 来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在 Web3.0 数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据：减少与你分享个人数据的中心化 Web3 投资机构或交易所的数量；跨平台不要使用重复密码；在所有的账户上启用双因素身份验证；监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露；使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈。来源：金色财经

金色财经2023-05-18

丢什么比丢钱更可怕？当然是数据 Web3领域数据泄露你的信息挂暗网已出售10天

遗漏中心化项目和公司也未能解决的同类型安全漏洞。我们希望仔细研究针对Web3.0目标的网络安全事件历史，并评估过去的事件是否对当今的社区成员构成持续风险。要做到这一点，需要细致分析本报告中的安全事件与利用智能合约协议导致的漏洞有何不同。我们研究了2011年以来针对Web3.0公司的许多事件，大致可以将它们分为两类：协议恶意利用：利用智能合约代码获取经济利益的事件漏洞：攻击者破坏目标组织的内部网络，并使用获得的权限来窃取公司数据或资金的事件就近期和长期风险而言，这两个类别之间有几个重要的区别。协议恶意利用发生在一个确定的时间范围内，从攻击者执行利用开始，到他们耗尽所有可用资金、耗尽gas或导致目标项目终止时结束。其中一些事件可能会持续数小时或数天，事件后的谈判会进一步延长这个时间段，也有项目随后立即关闭的情况。然而，关键是这些攻击具备明确的开始节点与结束节点。相比之下，漏洞类算得上是持续型事件（攻击者获得网络访问权并在那里保持“长期蹲守”的状态）。漏洞的定义通常是数据的泄漏，这些数据被用于攻击利用或随后在暗网或在线论坛上出售。网络漏洞也可能导致严重的资金损失。大多数Web3.0组织都是金融实体，其资金流动量非常大，这自然而然让他们成为了黑客的目标。数据泄露可能具备巨大的破坏性，且风险可持续多年——尤其是在泄露期间丢失个人身份信息 (PII) 的情况下。考虑到这一点，我们收集了74个过去的事件样本，我们将其归类为对社区成员构成持续风险的违规事件（仅包括公司内部网络遭到破坏的事件，不包括有关协议利用的数据）。我们认为有必要区分敏感数据丢失的事件和仅发生资金损失的事件。为了更好地评估这些违规事件的持续风险，我们将重点介绍其数据仍可在暗网或明网的其他区域出售或免费获取的违规事件，并对这些平台的可访问性发表看法。数据泄露与资金丢失为了评估与这些事件相关的持续风险，我们将它们分为以下定义的事件： ① 理论上可检索的数据丢失事件，包括PII和内部数据库等。 ② 资金或数据丢失且数据无法再检索的事件。第二类无法检索的数据丢失事件主要由仅导致资金或私钥丢失的违规事件构成。在这种情况下，损失的资金通常无法被追回。异常事件包括那些被盗数据从未被放出来、被归还或被用于其他目的的事件。例如，2020年6月日本中心化交易所Coincheck被攻击，200多名客户的PII落入攻击者手中。攻击者破坏了Coincheck的网络，然后通过公司内部电子邮件地址发送网络钓鱼电子邮件，要求客户提供PII。但该起事件中并没有特定的数据库丢失，丢失的数据也只是回复这些邮件的客户的数据。在2020年6月的另一起事件中，加拿大中心化交易所Coinsquare也经历了一次漏洞攻击，泄露和丢失的数据涉及5000个电子邮件地址、电话号码和家庭地址。攻击者在Coinsquare之间来回「横跳」后表示他们将在SIM卡交换攻击中使用这些数据，但不会试图把它们出售，以便「放长线钓大鱼」。这种类型的事件也被归类为第二类无法挽回的事件。在我们确定的74起事件中，其中23起可被归类为数据可检索事件，大约占31%。剩下的51起事件要么是上文描述的异常事件，要么是那些仅遭受资金损失的事件。图表：2011年至2023年间发生的事件中可检索的数据与不可检索的数据（来源：CertiK）我们可以看到几点： ① 2019年后高度可能被检索到或恢复的数据事件显著增加。这与疫情期间各行业黑客攻击和数据泄露事件的增加成正比关系。 ② 在此期间政府援助增长，其中的一些注入了Web3.0生态系统，再加上2021年的牛市，可能为攻击者提供了更多的勒索软件和数据销售机会。被盗的数据都去了哪里？暗网及Telegram 丢失的数据通常最终会被出售或转存到暗网（.onion 网站）或clear net上。如果数据被推测具有一定的经济价值（PII和其他用于欺诈的数据），那么它将高频出现在暗网市场甚至是Telegram频道中。如果攻击者要求（勒索软件）未被满足，数据即会被丢弃在paste sites或黑客论坛中。数据的最终去向决定了它对其原始所有者构成的长期风险。相比于只能在暗网上被购买的数据，以极低的成本或零成本转储到黑客论坛上的数据其泄露的风险会更高。此类网站的持续可访问性也会“助力”受害者数据泄露的长期风险。下文中，我们将更深入地研究这些场所中发现的Web3.0数据销售情况。在线论坛多年来，在线黑客论坛层出不穷。考虑到2019年后可检索数据事件的增长，在这种情况下只有少数几个论坛值得被当作案例分析。这些论坛包括Raid论坛、Breach论坛和Dread论坛。多个违规事件选择将Raid论坛作为倾销和出售违规数据的首选论坛之一。Raid论坛始于2015年，多年来一直在clear net上运行。然而在2022年，Raid论坛的域名被美国执法部门与欧洲刑警组织合作查封。图片：美国和欧洲执法部门在Raid论坛网站上撤下通知 Dread论坛成立于2015年，似乎一直活跃到2022年底，不过社交媒体上有许多迹象表明该论坛目前可能也已倒闭。我们尝试访问该论坛的暗网 (.onion) 和IP2版本，但这些似乎也已关停。在Raid论坛关闭后，Breach论坛立即上线了。对于那些因Raid论坛关闭而「流离失所」的用户来说，Breach论坛为他们提供了一个合理的落脚处。它和Raid论坛具备类似的界面、会员声誉评分系统和极高的活跃度，用户达到Raid论坛原始用户群的60%（约55万名用户）。仅仅一年后的2023年3月，FBI逮捕了经营Breach论坛的Conor Brian Fitzpatrick，在内部发生了一波关于重新部署网站的闹剧之后，该网站倒闭。 Breach论坛倒闭后不到一周，又出现了另一个替代者，该论坛据称是由一个自称是前匿名黑客的Pirata（@_pirate18）运营。但它只有161名成员，意味着这次的替代者没能吸收到那些论坛老玩家。在这次的断档期里（3月的最后几周）中冒出了许多其他论坛。其中一些作为典型违规论坛被取缔，所以可以合理推测剩下的也许是执法部门伪装的。图片：Breach论坛关闭后的VX-Underground论坛列表（资料来源：推特）我们只能确认其中一个论坛上存在一些Web3.0数据。据报道，ARES论坛吸纳了其他被关闭的论坛的一些活动，但不清楚具体数量。该论坛据称与勒索软件团体和其他恶意行为者有关联，还运行着一个公开Telegram频道，该频道在其锁定的VIP销售频道中宣传过数据的销售。该频道于3月6日上线，投放了数百个广告（包括两个与中心化交易所相关的数据库的帖子）。图片：ARES论坛的Telegram中心化交换数据频道广告（资料来源：Telegram）从整体上看，黑客和数据转储论坛社区目前功能比较混乱。传统论坛没有明确的替代者，而且国际执法机构也加大了对这些团体的打击力度，因此几乎可以肯定的是，论坛在短期内不会成为任何重大数据（包括Web3.0）泄露的首选途径。暗网—.onion 网站上的数据泄露长期以来，暗网市场和论坛一直是人们转储或出售数据的场所。这些生态系统也面临着执法部门的打击，尽管这些打击更多的是针对那些促进毒品销售的市场。也就是说，即使在不太知名的市场上，数据泄露的频率似乎也非常高，或者至少是有在被宣传。相比于那些同样存储数据但已全面关闭的在线论坛，这种差异现在显得尤为明显。图片：在暗网市场上出售的分类账客户数据（资料来源：Digital Thrift Shop）回顾一下，在我们确定的数据泄露样本的74起泄露事件中，有23起是有一定可能性检索到的数据。在这23个中，我们能够找到10个活跃的数据销售广告（43%）。这类样本在我们之前的图表中以绿色突出显示：图表：已确认的在暗网市场上出售的泄露数据实例以绿色突出显示（资料来源：CertiK）该图表中增加的付费数据销售表明了几件事。首先，我们无法获取2021年之后发生的任何违规行为的数据来源。基于2022年目标的性质，有一种合理的可能性——数据有可能出现在了一个现已不存在的论坛上。然而这一点很难证明，特别是当这些数据集未出现在任何一个可取代Raid和Breached的论坛上。其次，这些数据集也明显没有出现在任何一个我们能看到的2019年及之前的暗网市场中——可能是因为我们获取这些数据的市场非常早且鲜为人知。我们无法评估这些数据是否实际上仍然可以通过这些供应商获得，但这些广告仍然存在。这些数据泄露会带来长期风险吗？很难去尝试量化长期风险，但至少可以将数据丢失风险与该样本中的非数据相关事件进行比较。注意，我们可以把那些仅导致直接财务损失的违规事件的风险归类为较低风险，因为：损失是即时的，我们可以根据丢失的法定或Web3.0货币来衡量其影响这个过程中丢失的数据都是可替的。如果发生泄露，必须更改私钥、密码和特权网络访问点以解决问题。丢失敏感数据（尤其是客户数据）的漏洞的违规事件确实会带来更大的长期风险这些数据大多在暗网或明网出售或免费提供，从而延长了其长期可用性。客户的个人数据点，即电话号码、名字/姓氏、地址和交易数据很难或不可能被更改。因此即便有人因信息泄露而改变了自己的个人信息，泄露事件中涉及的其他个人的所有数据仍然存在风险。这种违规事件的影响很难或无法衡量。根据丢失的数据，受害者可能成为多个欺诈的目标，也可能不会成为目标。我们在2014年的一次违规事件中发现了可供出售的数据。这个特定的数据点进一步证明了衡量长期风险的困难性。2014年的黑客攻击了现已倒闭的加密交易所BTC-E，该交易所于2017年被美国执法部门查封——实际上此数据丢失相关的风险远低于其他风险。然而，需要明确的是风险仍是持续的，即这些数据可能与来自较新的违规事件的数据相匹配，从而增加了在此期间参与Web3.0的个人长期风险。从这个领域的整体来看，2019年以后丢失的数据（尤其是那些在暗网市场上仍然容易出售的数据）极有可能构成最高的持续长期风险。从2022年起，受到影响的人几乎必然面临着他们的数据可用于欺诈活动的重大风险（即使这些数据无法在物理层面上被找到）。尽管许多在线论坛被关闭，但我们应该假设所有丢失的数据，尤其是最近发生的数据泄露事件，很可能在某个地方仍然可用，并且可以随时重新出现。写在最后现实事实就是安全漏洞不可能100%消失。当数据由一个集中的实体存储和处理时，大多数受数据泄露影响的用户的补救手段十分有限。不过，我们可以通过限制中心化服务的使用数量来降低暴露风险，包括中心化交易所等。个人还应尽可能使用双因素身份验证，以帮助防止不需要的交易所钱包活动，或使用PII来访问或修改账户详细信息。根据泄露的性质，我们甚至可以考虑尝试更改泄露事件中暴露的一些信息，例如电子邮件地址或电话号码。而在Web3.0数据泄露中，如果打算匿名操作，那么你的身份将面临额外的泄露威胁。人们还可以采取其他措施来保护数据和投资。比如通过将资产分布在自托管钱包和硬钱包中来降低投资和财务风险。当然，还可以通过以下方式保护数据： ① 减少与你分享个人数据的中心化Web3投资机构或交易所的数量 ② 跨平台不要使用重复密码 ③ 在所有的账户上启用双因素身份验证 ④ 监控报告数据泄露的网站，这些网站会告诉你你的电子邮件地址是否涉及泄露 ⑤ 使用信用监测服务，以监测企图进行的身份盗窃和银行相关的欺诈来源：金色财经

金色财经2023-05-18

比特币反弹见底了吗？

EVM发布v0.4.2版本，已修复严重安全漏洞； 8. 数据：昨日比特币手续费降至89.8 BTC，已连续一周下降； 9. 数据：以太坊信标链质押总量突破2000万枚ETH，质押率达16.72%； 10. DWF Labs相关地址将15.1万亿枚LADYS存入MEXC、Huobi等交易平台； 11. 数据：Brevan Howard Digital过去3天内将21万枚LDO转至Coinbase； 12. 数据：Lido V2上线至今共774枚stETH申请提款，占stETH总供应量的0.1%； 13. Meme代币LADYS已支持跨链至Arbitrum； 14. 数据：三个巨鲸地址过去一周共增持逾195万枚LDO。来源：金色财经

金色财经2023-05-16

教科书式的黑客攻击解决方案---让MetaBase再度火出圈

级：对所有的权限做了拆分管理，目前，该安全漏洞已修复，并已启动对此次受影响用户的处理进程。随后，MetaBase团队在官方Telegram承认了此次事件的失误在于团队在智能合约安全方面的疏忽，同时承诺将对此攻击事件承担100%责任，并向社区成员征集解决方案。在听取完社区和安全顾问的意见之后，MetaBase很快给出了最终的解决方案。除了前面提到的补偿措施之外，MetaBase在社区中表示，还对事件中积极维护社区信心和坚定持有MBAS的忠实用户进行奖励，用于感谢他们在事件中提供的建议以及让社群避免陷入负面情绪、共识崩塌的情况。总结对于大多数项目而言，遭受黑客攻击往往意味着“灭顶之灾”，项目不是就此宣告结束就是逐渐消亡，而MetaBase此次凭借着教科书式的危机公关，转危为机。在MetaBase即将上线新生态之际，这次事件不仅没让MetaBase名誉受损，反而是让MetaBase狠狠地圈了一波流量和关注，而且社区用户对于项目的好感和忠诚也达到了新的高度，这些因素无疑都将为新生态的成功上线添砖加瓦。来源：金色财经

金色财经2023-05-15

跨链桥在以太坊 PoS 时代还有哪些机会？

复杂，需要保证协议的安全，避免引入新的安全漏洞。合理的收益分配，由于跨链用户比较自由，需要根据用户具体的跨链资金周期合理分配其应得的质押收益。在此方案的基础上，跨链桥还可以提供直接的质押池服务，用户将资产锁入跨链桥合约，即可参与跨链桥提供的PoS网络质押活动来获得收益。区块链行业势如破竹，跨链桥作为链接多链生态的基础设施，不断面临新的挑战，在为用户提供稳定便捷的跨链服务的同时，也在不断寻找新的机遇和突破。如果跨链桥加入网络质押活动，将和区块链网络本身及DeFi用户结合的更加紧密，创造出更多的可能性和互操作性。来源：AaaahWeb3 来源：金色财经

金色财经2023-05-10

比特币Ordinals理论手册（上）

相比之下，以太坊 NFT 受到终端用户安全漏洞的困扰。盲签交易、授予第三方应用程序对用户 NFT 的无限权限以及与复杂且不可预测的智能合约进行交互是司空见惯的事情。这为以太坊 NFT 用户制造了一个危险的雷区，而序数理论家根本不关心这些。铭文较少。铭文需要比特币来铸造、转移和存储。从表面上看，这似乎是一个缺点，但digital artifact存在的理由是稀缺，因此很有价值。另一方面，以太坊 NFT 可以通过单笔交易以几乎无限的数量铸造，使它们本质上不那么稀缺，因此可能不那么有价值。铭文不会假装支持链上版税。链上版税在理论上是个好主意，但在实践中并非如此。如果没有复杂和侵入性的限制，就不能在链上强制执行版税支付。以太坊 NFT 生态系统目前正在努力解决围绕版税的困惑，并且正在共同面对一个现实，即向艺术家传达的作为 NFT 优势的链上版税是不可能的，而平台则竞相降低并删除版税支持。铭文通过不做支持链上版税的虚假承诺，完全避免了这种情况，从而避免了以太坊 NFT 情况的混淆、混乱和消极。铭文打开新市场。比特币的市值和流动性都大大高于以太坊。以太坊 NFT 无法获得大部分流动性，因为出于对简单性、安全性和去中心化的担忧，许多比特币持有者不愿与以太坊生态系统互动。与以太坊 NFT 相比，此类比特币拥护者可能对铭文更感兴趣，从而解锁了新的收藏家类别。铭文有更丰富的数据模型。铭文由内容类型（也称为 MIME 类型）和内容（任意字节字符串）组成。这与网络使用的数据模型相同，允许铭文内容随网络发展，并支持网络浏览器支持的任何类型的内容，而无需更改底层协议。 RGB 和 Taro 资产？ RGB 和 Taro 都是建立在比特币之上的二层资产协议。与铭文相比，它们要复杂得多，但也更有特色。序数理论是为digital artifact而设计的，而 RGB 和 Taro 的主要用例是同质化代币，因此铭文的用户体验可能比 RGB 和 Taro NFT 的用户体验更简单、更精致. RGB 和 Taro 都在链下存储内容，这需要额外的基础设施，而且可能会丢失。相比之下，铭文内容存储在链上，不会丢失。 Ordinal theory、RGB 和 Taro 都非常早，所以这是推测，但 ordinal theory 的重点可能使其在digital artifact的特征方面具有优势，包括更好的内容模型和全球唯一符号等特征。 Counterparty资产？ Counterparty 有自己的代币 XCP，它是某些功能所必需的，这使得大多数比特币持有者将其视为山寨币，而不是比特币的扩展或二层。序数理论是从头开始为digital artifact设计的，而 Counterparty 主要是为金融代币发行而设计的。谁可以用铭文… 艺术家 *铭文在比特币上。*比特币是目前地位最高、长期生存机会最大的数字货币。如果你想保证你的艺术作品能流传到未来，没有比铭文更好的出版方式了。 *更便宜的链上存储。*以每 BTC 20,000 美元和每 vbyte 1 satoshi 的最低中继费用计算，发布铭文内容的成本为每 100 万字节 50 美元。 *铭文还处于早期！*铭文仍在开发中，尚未在主网上发布。这使你有机会成为早期采用者，并随着媒体的发展探索它。 *铭文很简单。*铭文不需要编写或理解智能合约。 *铭文解锁新的流动性。*铭文更容易获得，对比特币持有者更具吸引力，从而解锁了全新的收藏家类别。铭文是为digital artifact*设计的。*铭文是从头开始设计的，以支持 NFT，并具有更好的数据模型，以及全球唯一符号和增强来源等功能。 *铭文不支持链上版税。*这是消极的，但只取决于你如何看待它。链上版税一直是创作者的福音，但也在以太坊 NFT 生态系统中造成了巨大的混乱。以太坊生态系统现在正在努力解决这个问题，并且正在进行一场逐底竞赛，以实现可选版税的未来。铭文不支持链上版税，因为它们在技术上不可行。如果你选择创建铭文，你可以通过多种方式解决此限制：保留一部分铭文以备将来销售、从未来升值中获益，或者为尊重可选版税的用户提供额外津贴。收藏家 *铭文简洁明了，毫无意外。*它们始终是不可篡改的并且在链上，不需要特殊的尽职调查。铭文在比特币上。你可以使用你控制的比特币全节点轻松验证铭文的位置和属性。比特币持有者我用下面这句话“比特币网络所做的最重要的事情是让货币去中心化”开始本节。所有其他用例都是次要的，包括序数理论。序数理论的开发者理解并承认这一点，并相信序数理论至少在很小的程度上有助于比特币的主要使命。与山寨币领域的许多其他事物不同，digital artifact有其优点。当然，有大量的 NFT 是丑陋的、愚蠢的和欺诈的。然而，有许多非常有创意的东西，创造和收藏艺术从一开始就是人类故事的一部分，甚至早于贸易和金钱，这也是古老的技术。比特币为以安全、去中心化的方式创建和收集digital artifact提供了一个了不起的平台，它保护用户和艺术家的方式与它提供一个用于发送和接收价值的惊人平台的方式相同，并且原因相同。序数和铭文增加了对比特币区块空间的需求，这增加了比特币的安全预算，这对于保障比特币向依赖费用的安全模型的过渡至关重要，因为让区块奖励减半变得不再重要。铭文内容存储在链上，因此铭文使用的区块空间需求是无限的。这为所有比特币区块空间创造了最后的买家。这将有助于支持一个强大的费用市场，从而确保比特币保持安全。铭文还反驳了比特币不能扩展或用于新用例的说法。如果你关注 DLC、Fedimint、Lightning、Taro 和 RGB 等项目，你就会知道这种说法是错误的，但铭文提供了一个易于理解的反论点，它针对一个流行且经过验证的用例——NFT，这使得它非常清晰。如果铭文如作者所希望的那样成为备受追捧的具有丰富历史的digital artifact，那么它们将成为比特币采用的强大钩子：为乐趣、丰富的艺术而来，为去中心化的数字货币而留下。铭文是区块空间需求的一个极其良性的来源。例如，比特币上的稳定币（可能会给大型稳定币发行人影响比特币发展的未来），或者 DeFi（可能通过引入比特币上的 MEV），数字艺术和收藏品，不太可能产生具有足够力量的个别实体破坏比特币。艺术是去中心化的。铭文用户和服务提供商被激励运行比特币全节点，发布和跟踪铭文，从而将他们的经济权重投入到诚实的链中。序数理论和铭文不会对比特币的同质性产生有意义的影响。比特币用户可以忽略两者而不受影响。我们希望序数理论能够加强和丰富比特币，并赋予它另一个维度的吸引力和功能，使其能够更有效地服务于其主要用例，即人类的去中心化价值存储。来源：金色财经

金色财经2023-05-09

区块链动态2023年5月7日早参考

EUS推特发文，更新了关于稳定币DEI安全漏洞事件的进展。目前所有合约都被暂停，链上的DEI代币被销毁，以防止进一步的破坏。团队目前正在了解DEI的实际支持情况。为了实现这一点，在销毁代币之前，要对所有DEI余额进行快照。在评估所有余额后，将制定一个全面的恢复和赎回计划。对于黑客攻击后试图套利而被卡住的用户，将会有一个评估，他们可能会被允许尽快撤销这些交易。此操作将涉及销毁流通的DEI，并增加所有其他用户的支持。DEUS建议用户保持耐心，在具体的赎回计划出台之前，不要与当前的DEI合约进行交互。此外，DEUS表示，如果资金被退回，他们将不会采取任何法律行动。此事件将被视为白帽救援，20%的资金将作为漏洞赏金。团队还确认BSC链上的多重签名是由DEUS团队控制的多重签名。团队将在收到资金后公开确认。 18. 5月7日消息，OpenAICEO旗下加密项目Worldcoin已开启全球城市社区专家申请，社区负责人将有机会参与Worldcoin旗下虹膜扫描设备Orb的属地推广，目前已开放申请表填写。据悉，Worldcoin全球城市巡演推广将于4月在东京拉开帷幕，这是Worldcoin首次在亚洲进行推广。 19. 金色财经报道，以太坊证明服务EAS（Ethereum Attestation Service）发推称，已上线新功能，支持证明与验证任何类型的文件。创作者可以生成其内容的哈希值，证明它，并允许其他人根据哈希值进行验证。来源：金色财经

金色财经2023-05-07

一文探讨5个消息跨链项目的安全机制

低白帽黑客在 Wormhole 中发现安全漏洞的门槛。（3 ）社交媒体监控。Wormhole 维护着一个社交媒体监控程序，以便 Wormhole 项目获悉依赖项中的漏洞可能会对 Wormhole、其用户或 Wormhole 所连接的链产生负面影响。（4 ）设置异构监控策略。Wormhole 在 Guardian 中设置异构监控策略，增加检测欺诈活动的可能性。Wormhole 期望所有守护者都开发和维护自己的安全监控策略。（5 ）推出 Governor 功能。创建和部署此功能的核心原因是帮助防范智能合约或 L1 妥协的存在风险。此功能允许 Wormhole Guardians 具有可选功能，可以在每条链的基础上对任何已注册的资产的名义价值流量进行速率限制。 Wormhole 在安全事件发生中的安全措施不明确，但是在 2022 年 2 月的 Wormhole 攻击事件是虫洞网络贡献者在例行检查中注意到未偿资金的差异，并立即开展调查确定的漏洞。安全事件发生后的安全措施包括建立事件响应机制和紧急暂停。（1 ）事件响应机制。Wormhole 维护着一个事件响应程序，以响应对 Wormhole、其用户或其连接的生态系统的漏洞或活动威胁。（2 ）紧急暂停。Wormhole 项目评估了具有安全功能的概念，允许 Wormhole 智能合约在存在危机状态期间暂停而无需合约升级。此外，在针对 2022 年 2 月 2 日遭黑客攻击事件发布的报告中， Wormhole 提到将进一步加强跨链消息传递和桥接的安全措施，主要包括隔离各个链风险的会计机制、动态风险管理、持续监控和早期发现事件。三、更去信任化的方案探索目前跨链市场上验证方式可以分为三种，即原生验证、本地验证和外部验证。这三类验证方式都有自身的局限性，难以兼顾去信任化、可拓展性和通用性。外部验证方案是通用性非常高且可扩展的跨链计算方案，可以支持更复杂的跨链应用。本文中所提到的 Axelar、Celer Network、Layerzero、Multichain 和 Wormhole 都属于外部验证者一类，他们可以在链下完成验证，可拓展性较高，能覆盖不同技术架构的区块链，并且可以实现通用的消息跨链。但是由于用户必须信任这一组外部节点构成的中继网络，其在安全程度上要弱于无需信任的本地验证和原生验证方案。最安全的跨链桥设计应该是最小化信任。但目前市面上存在的原生验证方案，如 Hop 和 Connext 通用性差，不适用于通用消息跨链， Cosmos IBC 和 Polkadot XCMP 这类原生验证方案可拓展性较弱，更多适用于同构区块链，难以兼容 Ethereum、Solana等众多异构链。 ZKP技术则为安全的跨链通信带来了新的路径。ZKP 跨链作具有去信任化，通用性强，成本低等优势。相对于目前通过信任第三方实现的跨链通信的跨链方案，ZKP 跨链不引入任何信任假设，用户只需要信任源链共识和目标链共识，属于原生验证方案一类。而且 ZKP 通过生成简洁的 ZKP 证明，减少 Gas 费用的需求，使得目标链可以高效地验证目标链交易，链上验证成本降低。 Hyper Oracle、Succinct、Nil.foundation 等通过 ZKP 技术入局跨链市场也印证了 ZKP 技术用于实现更安全跨链方案的潜力。目前 Multichain、Celer Network 和 Wormhole 已经开始布局 ZKP 跨链。图 7 ZKP 跨链新布局此外，通过 Axelar、Celer、Layerzero、Multichain 和 Wormhole 公开的信息，梳理其对安全事件的应对政策，可以发现存在以下几点问题。（1 ）创新性方案非常匮乏。Multichain 设立安全基金，用于补偿用户因多链系统和服务漏洞而造成的任何潜在损失。这种具有兜底性质的安全方案在行业中尚不多见。（2 ）并不是每一个跨链项目都覆盖事前事中事后的安全政策。在本文所选的 5 个项目中，只有 Multichain 明确了事前事中事后的安全政策。（3 ）安全保障机制尚不完善。开启漏洞赏金和进行安全审计是安全事件发生前的常见操作。但跨链项目缺少全面的综合性的安全应对解决方案和安全机制，相关的安全措施往往是在安全事故发生后才提出，事先并没有完整性的安全标准和危机应对流程。如 Wormhole、Multichain 是在安全事件发生后才与 Immunefi 合作开启漏洞赏金计划。跨链技术目前仍处于初步探索阶段，行业内也尚未形成统一的跨链标准和稳定的跨链体系。虽然跨链项目对于跨链安全付出了很多努力，但依赖于跨链项目本身的解决方案以及采取的非技术安全措施无法一劳永逸解决跨链安全的难题。防范安全攻击是一项永无止境的任务，虽然 ZKP 给予了解决跨链安全问题的新思路，但整体来看，ZK 跨链项目普遍没有经历大规模的市场检验，合约的安全性仍需要进一步跟踪和观察。各种跨链方案在在发展过程中也会遇到各种安全性挑战，如网络安全挑战、技术本身存在的挑战、无法避免出现的智能合约漏洞等。跨链安全的道路任重而道远！参考文献： https://axelar.network/blog/an-introduction-to-the-axelar-network https://axelar.network/blog/security-at-axelar-core https://docs.axelar.dev/learn/security https://celer.network/technology#top https://twitter.com/CelerNetworkcn/status/1560911682339508224 https://mp.weixin.qq.com/s/SInU_o3Ct-7A6pFbKLqzHQ https://blog.celer.network/2023/03/21/brevis-a-zk-omnichain-data-attestation-platform/ https://layerzero.network/pdf/LayerZero_Whitepaper_Release.pdf https://drive.google.com/file/d/1NFFFecAjStbGMyvJVDez3xmsGSHYvNYv/view https://medium.com/multichainorg/detailed-disclosure-of-multichain-security-policy-bde0397accf5 https://medium.com/multichainorg/multichain-contract-vulnerability-post-mortem-d37bfab237c8 https://drive.google.com/file/d/1ibuHChcYcYCN6JelRAQPnM4rkaB9EgAM/view https://github.com/wormhole-foundation/wormhole/blob/dev.v2/SECURITY.md#3 rd-party-security-audits https://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6 https://medium.com/@wormholecrypto/wormhole-security-program-end-of-year-update-212116ecfb91 来源：金色财经

金色财经2023-05-05

24小时热点