FX168财经网_全球视野外汇黄金加密货币NFT资讯网

重磅 | CertiK：2022年第三季度Web3.0行业安全报告

止安全态势最为良好的一个月，黑客攻击、诈骗行为、漏洞利用和其他安全事件仅造成了6600万美元损失，但该数量在之后两个月内再次攀升。8月总损失的74%源于Nomad Finance跨链桥攻击事件，而9月总损失的89%源于做市商Wintermute钱包被盗的1.62亿美元。 2022年第三季度，Web3.0行业仍然多受退出骗局的困扰。本季度，CertiK共记录了169起独立安全事件，其中58%被归类为退出骗局。如果仍然有一些经验不足的用户考虑把钱投资到未经审计的项目中，或是甘愿冒着风险急于成为代币早期持有人，那么退出骗局就会持续扩散，整个产业也将被其阴影笼罩。跑路的过程其实非常简单明了，欺诈团队所要做的仅仅是复制粘贴现成的骗局项目代码并将其部署，为去中心化交易所（DEX）的交易对增加流动性，然后将代币推销给用户，直到他们投入了足以让欺诈团队脱身的大量资金。代码审计很容易就能发现项目钱包所存在的中心化风险及访问特权，从而根据一些疑点揭露团队欺诈。我们建议Web3.0用户不要投资任何未经审计，或者那些审计发现了中心化和特权风险却未修复的项目。其实所有退出骗局基本都遵循着类似的套路，要规避那些明显有退出骗局迹象的项目并不困难，因此退出骗局并不能提供Web3.0安全方面的最具启发性案例分析。但是第三季度还发生了许多其他不寻常的事件，可以让Web3.0用户和开发者汲取到新的经验。本报告将分享三个案例，就其事件进行分析并从中为读者提取安全相关的重要启示。 Nomad跨链桥黑客攻击事件：损失1.9亿美元，成为本季度最严重的安全事件；做市商Wintermute钱包私钥泄露事件：被盗1.62亿美元；Slope被黑事件：损失800万美元，其是Solana生态中比较流行的热钱包，被黑数额相对较小。然而，以上所有损失都是由于不安全的应用程序代码所致，这就表明要实现Web3.0的全面安全不仅关乎智能合约，技术堆栈的各个层面也必须保证安全。实际上，Nomad跨链桥被黑和Wintermute私钥泄露事件的资产损失合计占据了第三季度总损失的近70%，这说明成功的漏洞攻击很可能不需要黑客付出过多“努力”，而其所得的回报有可能是巨大的。换句话说，无论目标钱包存有162美元还是1.62亿美元，如果攻击者想要暴力破解其私钥，所要付出的算力都是一样的。而在Nomad被黑事件中，任何普通用户都能简单复制原始攻击者的交易，并换成自己的钱包地址实施攻击，这也更加凸显Web3.0世界的残酷性。毫无疑问，所有漏洞都会受到最大程度地利用。Web3.0开发者必须认真对待安全问题，不仅是为了保护用户资金，也是为了保障整个项目的长期生存和发展。重大安全事件私钥安全危机四伏导致Slope钱包被黑的漏洞并不常见，该事件涉及了9000多个钱包地址，损失金额高达800万美元。大部分因退出骗局或智能合约代码错误造成的损失只发生在区块链上，但这次事件却源自一个链下漏洞。 8月2日晚，Solana用户钱包中的资产开始神秘消失，且每笔转账都是有效交易，就像是钱包主人自己操作签名转移了所有代币。调查人员在调查被黑钱包之间共性的过程中，关于漏洞起源的一系列假设也开始流传。这些假设和结论让那些担忧大型DeFi平台被黑导致数十万用户和价值数十亿美元的资产都将处于险境之中的人们松了口气。因为就在前一天刚刚发生了Nomad跨链桥被黑事件，人们仍然处于神经紧绷的状态中。最终Slope的漏洞是在其钱包应用程序的代码中被发现的——该程序会在服务器上以明文形式存储用户的助记词。当攻击者获得该数据库的访问权时，就能完全控制所有受到影响的钱包，并立即卷走资产。一些反应迅速的用户已将资金转移到了硬件钱包或其他不受Slope漏洞影响的热钱包中。安全启示：使用硬件钱包或者网络隔离（airgapped）电脑离线生成密钥是最安全的做法，而在热钱包中生成或导入的私钥都不宜用于存放任何重要资产。谨慎处理钱包密钥 9月20日，最大数字资产做市商之一的Wintermute因私钥泄露造成1.62亿美元损失，原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞，并遭到黑客利用。造成这次意外事件的原因不同于由智能合约漏洞所致的常见情况，而是来自外部的基础设施问题。大多数以太坊地址看起来是一串完全随机的字母和数字，开头都为0x。这样的好处是提供了一定程度的隐私性，但这并不能满足想要一个独特地址的用户。基于人们对“vanity地址”（如靓号车牌）的追求，一个名为“Profanity”的vanity生成器应运而生，它可帮助用户为包含指定单词或字符串的地址生成密钥。除此之外，Profanity还可以被用来创建钱包地址，以优化手续费，这也是Wintermute团队创建0x00000000AE347......b92280f9e75地址的初衷，但却最终导致了钱包被黑。开头那串冗长的0简化了地址，减少了以太坊网络的算力需求，从而在一定程度上降低了交易手续费——这些节省下来的手续费看似微小，却会在成千上万的交易中积少成多。 2022年1月，用户k06a曾在Profanity的GitHub（已被开发者放弃三年以上）：https://github.com/johguse/profanity/issues/61，提出了一个关于私钥生成方式的问题：Profanity使用一个随机的32位种子数来生成256位私钥。 2022年9月15日，1Inch发表了一篇文章，详细介绍了如何破解Profanity生成的钱包私钥的方法。仅过两天，该漏洞就在众目睽睽之下遭到黑客利用。0x6...b93钱包账户抽空了多个vanity钱包，包括来自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH，以及更多其他钱包的资产，总价值为330万美元。在技术发展瞬息万变的Web3.0世界，只需要四天就能借助这一漏洞攻破一个Wintermute的DeFi交易钱包，其损失的1.62亿美元也是今年因私钥泄露造成的最高资产损失。事发后，攻击者迅速将价值1.14亿美元的稳定币转入Curve Finance的3Pool（USDC、USDT和DAI）。有人猜测这是为了避免被盗资金被USDT和USDC列入黑名单并冻结。但问题还没解决：所有基于Profanity创建的钱包都存在风险。9月25日，vanity地址0x000000000......Ff3791338975被黑，攻击者卷走了钱包中价值超过95万美元的各种代币，将其换成732.3枚ETH后，又通过15次交易把这些代币全部存入Tornado Cash。通过SkyTrace可视化追踪黑客钱包数字金融服务提供商Amber Group称其团队能够在48小时内利用一台M1处理器和16G内存的MacBook复现黑客构建的漏洞并发起攻击。安全启示：所有使用Profanity生成钱包的用户都应尽快将资产转移到可离线生成密钥的钱包中。 Nomad跨链桥遭劫 8月1日，Nomad Finance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之间的跨链桥遭到攻击，涉案金额约1.9亿美元。在一次常规升级部署后，由于一个错误配置允许黑客绕过验证信息，最终导致了这起悲剧发生。最初攻击的消息被传开以后，其他黑客、机器人以及社区成员也纷纷效仿，通过克隆原始黑客的交易数据、换上他们自己的地址发起攻击，几乎抽空了跨链桥的所有资产。百闻不如一见：人们对一个持有9位数资产的跨链桥实施了去中心化式抢劫？ –@0xfoobar 这次的漏洞本质上源于acceptableRoot(messages[_messageHash])函数中的一个错误，它允许用户绕过从跨链桥上提取资金所需要的验证。关于此次事件的完整技术分析，欢迎阅读CertiK官方公众号发布的Nomad事件分析报告【惊天魔盗，近2亿美金损失！Nomad Bridge攻击事件分析】。跨链桥为巨额资金提供托管服务，是其成为黑客主要目标的原因。今年初，Wormhole跨链桥遭漏洞利用，损失超过3.2亿美元，是有史以来第二大DeFi被黑事件。值得注意的是，在这场混乱不堪的攻击中，所有对相关技术稍有了解的投机用户都能轻松复制原始攻击者的交易，这些人蜂拥而上将跨链桥洗劫一空。作为回应，Nomad宣布向所有归还赃款的用户提供10%的白帽赏金，同时将对那些不归还资金的人采取法律行动。安全启示：某个漏洞一旦被公开，就别指望恶意者不会抓紧机会闻风而动，因为开源的代码意味着所有人都可以对其进行最大程度的恶意利用。本季度大事记以太坊已顺利合并 9月15日凌晨，无数目光聚焦在以太坊。Web3.0史上最重大的网络升级顺利完成，以太坊的共识机制正式转为PoS权益证明。关闭PoW工作证明后，以太坊的网络能耗从112 TW/年骤降为0.01 TW/年。这99.95%的能耗降幅不仅减少了以太坊网络对环境的影响，也让ETH在面对那些曾因环保顾虑而放弃了合作的用户和投资者时更具吸引力。本次合并是一项了不起的技术成就，此次升级的巨大成功也得益于开发者与网络成员多年的精心准备。如果升级失败，整个网络都将承受灾难性的后果。尽管人们仍然担心验证者的中心化问题，但如果消除了对昂贵挖矿设备的需求，更加多样的网络参与者会被吸引加入。虽然还有许多其他PoS网络也在运行，但对于锁定价值数千亿美元资产的以太坊网络来说，其雄心勃勃的发展计划已经箭在弦上。史上最强制裁风暴 8月8日，美国财政部下属海外资产控制办公室（简称 OFAC）宣布将以太坊混币隐私应用Tornado Cash和相关44个钱包地址纳入制裁名单（Specially Designated Nationals, SDN），禁止任何美国个人和实体与Tornado Cash相关地址进行交互，并要求Tornado Cash向OFAC报告其平台上所有的美国资产。与此同时，现年29岁的Tornado Cash软件开发者Alexey Pertsev被荷兰当局逮捕，理由是“涉嫌利用Tornado Cash以太坊混合服务参与洗钱和隐瞒犯罪资金流动”。截至发稿前，Pertsev尚未被正式指控任何罪行，而荷兰法律规定犯罪嫌疑人在未受指控的情况下最长可被羁押110天。美国财政部对Tornado Cash采用“声名狼藉”的描述也并非毫无理由。Tornado Cash自2019年成立以来，已被用于价值超过70亿美元的数字货币洗钱活动。其中包括由朝鲜国家支持的黑客组织Lazarus Group所盗取的超过4.55亿美元、来自Harmony Bridge漏洞攻击的9600万美元，以及2022年8月2日Nomad Heist事件中的至少780万美元等事件。但美国财政部将Tornado Cash的所有应用均概括为洗钱活动就有失偏颇了。虽然Tornado Cash的确成了犯罪分子清洗不义之财的首选工具，但在区块链技术的开放世界中，该平台也作为重要的金融隐私工具之一发挥着作用。以太坊联合创始人Vitalik Buterin在制裁后透露，他曾使用Tornado Cash进行过私人捐款。而仅在今年，反对金融监管的斗争已经赢得了来自不同意识形态的个人和团体支持，如美国的支持选择权活动家和加拿大的反疫苗授权抗议者。在禁令宣布后，Tornado Cash在GitHub上的开源代码被迅速删除，但在OFAC就此事作出了澄清后，代码又被重新恢复。9月13日，OFAC在其常见问题页面中发布了指导意见： “虽然美国被禁止与Tornado Cash或其被封锁的财产或财产权益进行任何交易，但只要不涉及禁止交易，与Tornado Cash开源代码本身的互动就是被允许的。例如，美国制裁法规不会禁止人们复制开源代码并将其在线提供给他人查看、讨论以及教学，或将开源代码收录于书面出版物（如教科书）中。” 这个仍在继续的Web3.0传奇故事凸显了Web3.0资产与行业相关实体（如GitHub）所面临的挑战：在试图遵守严格的政府行动的同时，又要对事后迟来的指导意见及时作出反应。 CertiK端到端安全解决方案为了实行“守护Web3.0世界”的使命，CertiK推出整套安全工具系列服务，让项目与投资者能够使用端到端的全方位安全解决方案。 CertiK安全排行榜结合了CertiK的审计和安全团队的专业知识，让Web3.0用户对安全威胁拥有更深入地了解。用户可以根据我们所提供的安全数据做出更明智的决策，将整个生态系统推向新的安全高度。在第三季度，CertiK安全排行榜已全面升级为安全排行榜360，为数以千计的榜上项目提供完整而即时的安全状况“全景图”。界面改版后，用户可以更容易地读取和理解这些信息。此外，我们还利用量化工具为个人投资者提供合理的决策建议。欢迎访问certik.com了解详情。 Skynet天网动态扫描系统结合链上交易监测与链下数据（如社会舆情），对数百个Web3.0平台进行实时、全面的安全监测和分析。Skynet Premium由CertiK于2021年正式推出，其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着，随着威胁情报库和智能合约漏洞库的不断积累，这一平台也会变得愈发先进，从而适应变化无常的智能合约风险环境。目前Premium平台包括一个分析仪表板，可帮助企业客户实时监控和管理其项目风险。 SkyTrace则是一种智能、直观的追踪工具，可帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。 CertiK KYC项目背景调查服务可为项目团队提供身份验证，包括使用基于AI的检测系统进行ID真实性检查，以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要参数。由于团队的匿名性越来越高，项目的风险行为也越来越具有可能性。CertiK KYC能够使项目团队去匿名化，并建立更大的问责制，从而协助建立项目的可信度。 CertiK漏洞赏金计划则从世界顶级的白帽黑客当中收集情报，以在恶意行为者利用漏洞之前将其及时发现。CertiK的安全专家团队将负责筛查和鉴定所有提交材料，并协助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。 CertiK支持的生态系统 CertiK的审计及端到端解决方案已覆盖目前市面上大部分生态系统，并支持几乎所有主流编程语言，就区块链平台、Web3.0资产交易平台、智能合约的安全性等领域为各个生态链提供安全技术支持。目前与我们合作的生态系统包括：来源：金色财经

金色财经2022-10-21

如何识别假加密货币交易所

请求的通信持怀疑态度与许多其他类型的诈骗和欺诈活动一样，对邀请您参与加密货币交易的不请自来的电话或电子邮件保持警惕符合您的最大利益。这个想法是，如果您对交易加密货币感兴趣，您应该主动查看不同的交易所并评估它们，而不是接受来自试图让您有兴趣成为他们特定平台的一部分的各方的请求。同样，这些虚假的加密货币交易所可能会为您提供丰厚的回报或让您的钱翻倍的机会。合理意味着不仅要根据最佳情况评估这些报价，还要考虑报价的来源——网站的跟踪记录类型。为此，您可以进行简单的WHOIS 查询和其他研究，以确定网站是否构成具有良好记录的真正加密货币交易所。区分交易所的另一种方法是优先考虑非托管平台。非托管交易意味着您的资产在整个交易过程中始终与您同在，而不是在任何延长的时间内被交易所持有。如果是真实的非托管方法，则持有人面临的风险较小，并且总体上提供了更好的安全性。最后的想法这些只是保护自己免受欺诈和欺骗性加密货币交换操作和诈骗的几种方法。通过更精明地了解科技社区的最新动态，交易者可以在开始进行加密交易时踏上更坚实的基础。在加密货币世界的任何地方，或在任何数字商业环境中，网络安全都是至关重要的。最佳实践以多种方式保护数据和系统。FYEO 的身份和领域智能工具可帮助客户强化系统、构建更好的架构并自信地进入复杂环境。来源：金色财经

金色财经2022-10-21

加密市场为何一直“跌跌不休”？三个主要因素看透本质

币几乎每个月都会影响加密货币的价格。诈骗和庞氏骗局引发清算，并重创投资者信心诈骗、庞氏骗局和剧烈的市场波动也在整个2022年加密货币价格暴跌中发挥了重要作用。由于缺乏监管以及加密货币行业和市场相对年轻，规模相对较小。与股票市场相比，损害市场流动性的坏消息和事件往往会导致灾难性后果。 Terra的LUNA和Celsius Network的暴雷以及三箭资本(3AC)滥用杠杆和客户资金都对加密市场内的资产价格造成了连续打击。比特币目前是该行业市值最大的资产，从历史上看，山寨币的价格往往会跟随 BTC 价格的走势。随着Terra和LUNA生态系统崩溃，由于Terra内部发生多次清算，比特币价格急剧调整，投资者情绪低落。当Voyager、3AC和Celsius倒闭时，同样的情况变得更糟糕，一下就抹去了数百亿的投资者和协议资金。 2022年剩余时间到2023年的预期影响加密市场价格下跌的因素是由美联储政策推动的，这意味着美联储提高、暂停或降低利率的举措将继续对比特币、以太坊和山寨币价格产生直接影响。与此同时，投资者的风险偏好可能保持低迷，潜在的加密货币交易者可能会考虑等待美国通胀已经见顶的迹象，并等待美联储开始使用表明政策转向的措辞。来源：金色财经

金色财经2022-10-21

加密市场为何一直“跌跌不休”？三个主要因素看透本质

币几乎每个月都会影响加密货币的价格。诈骗和庞氏骗局引发清算，并重创投资者信心诈骗、庞氏骗局和剧烈的市场波动也在整个2022年加密货币价格暴跌中发挥了重要作用。由于缺乏监管以及加密货币行业和市场相对年轻，规模相对较小。与股票市场相比，损害市场流动性的坏消息和事件往往会导致灾难性后果。 Terra的LUNA和Celsius Network的暴雷以及三箭资本(3AC)滥用杠杆和客户资金都对加密市场内的资产价格造成了连续打击。比特币目前是该行业市值最大的资产，从历史上看，山寨币的价格往往会跟随 BTC 价格的走势。随着Terra和LUNA生态系统崩溃，由于Terra内部发生多次清算，比特币价格急剧调整，投资者情绪低落。当Voyager、3AC和Celsius倒闭时，同样的情况变得更糟糕，一下就抹去了数百亿的投资者和协议资金。 2022年剩余时间到2023年的预期影响加密市场价格下跌的因素是由美联储政策推动的，这意味着美联储提高、暂停或降低利率的举措将继续对比特币、以太坊和山寨币价格产生直接影响。与此同时，投资者的风险偏好可能保持低迷，潜在的加密货币交易者可能会考虑等待美国通胀已经见顶的迹象，并等待美联储开始使用表明政策转向的措辞。

楼喆2022-10-21

SBF推出的《数字资产行业标准草案》包含哪些行业共识？

转账和去中心化区块链的推定自由（除非有诈骗、非法金融等的具体证据）是绝对必要的。与此同时，目前在制裁合规性方面的最大漏洞是时机——如果非法金融活动发生后，直到资金转移到所有平台之前被发现，会发生什么？这实际上意味着什么？(澄清一下，这里的「实际上」是指「事物应该如何以完美和符合逻辑的方式工作」)。每个人都应该尊重 OFAC 的制裁名单 (btw，这已经是法律)。为了使一切更清晰、更透明： -应该有一个实时更新的受制裁地址的链上名单，由 OFAC 或一个负责人维护。财政部应该明确公开制裁名单存在哪个地址，以及如何解析。 -然后，中心化应用程序可以实时查询受制裁地址的列表，以避免向这些地址转账和接收这些地址的资金。 -这个列表应该是可传递的:如果 A 受到制裁，B 向 A 转了 100 万美元，那么 B 的地址本身应该被标记。通过利用公开的区块链账本，我们可以确保受制裁的实体无法将资金转移到新的钱包来躲避制裁。然而，这样并不简单；我们必须确保粉尘攻击不会伤害无辜的人。 -如果被标记的资金被单方面转到您的地址，也应该有一种方法来修复你的地址：因为转账是单方面的，你从受制裁的地址接收资金，也可能不是你的决定。因此，应该有一个「冻结资金」的地址（也可能是销毁），可能由 OFAC 维护，你可以发送此前收到的被标记的资金，修复你的地址；除非你试图将受制裁资产转到另一个地址，否则不应标记你的地址。换句话说：转移被制裁的资金是会被制裁的；接收它们是有机会恢复自己账户的。 -此外，受信的参与者应该维护他们自己的链上地址列表，该列表地址可能被怀疑与金融犯罪有关。应该有一个标准化的格式。需要说明的是，这些地址不同于受制裁的地址；不应该有法律禁止与这些地址进行交易。然而，许多人可能会发现参考这些列表很有用。这也有助于交易所之间的合作。 -这将有助于加强制裁合规性，并确保我们作为一个行业能够有效地维护黑名单，同时仍然允许总体上经济自由。最后:我们应该尝试实现与前文相似的系统来帮助我们快速应对事件。如果这是快速和即时更新上链的，我们可以更好地应对事件并有效地进行资产冻结。黑客攻击和问责制度黑客对数字资产生态系统极具破坏性。黑客群体太庞大了。与此同时，该行业在识别和标记携带资金的地址方面做得相当不错，因此即使资金不见了，黑客实际上也可能无法利用其中的大部分。 1，我们应该将这一点正式化，让主要受信任方将与安全漏洞相关的地址添加到他们的可疑地址公共列表内。因此，中心化和去中心化协议都能够迅速冻结相关的地址。 2，每当出现安全漏洞时，通常在黑客和协议之间进行协商；通常黑客会提出归还部分 (但不是全部) 资金，以换取某种豁免权。 a. 理论上讲，这样的交易是可行的：它可以保护客户，挽救公司和协议，仍然可以给发现漏洞的一方丰厚的漏洞奖励。 b. 但实际上，每一次谈判都是充满压力和争议的。（我们知道，通常情况下，这里的受害者是被黑的协议，而黑客不是「好角色」）在很多情况下，漏洞、黑客入侵、市场操纵和交易之间的界限可能会变得模糊，因为双方对此的看法大相径庭。此外，对于应该返还多少，各方也没有达成共识。 c. 所以，我提议一个新的社区标准：5-5 标准。假设有一个缺口，A 从 abc 协议中拿走了 x 美元。假设 abc 手头有 y 美元的储备: -第一，保护客户。在客户得到赔偿之前，A 不应该得到任何东西，这意味着如果 x > y，那么至少 x-y 美元必须返还给 abc。例如，如果 A 拿走了 100 万美元，而 abc 只有 80 万美元的储备金，那么 A 必须归还至少 20 万美元，以确保 abc 的储备金和 abc 的客户是相对匹配的。这是最重要的部分。客户必须得到至高的保护。 -第二，唯一的建设性解决方案是 A 具诚意地工作，并打算合作，从一开始就归还大部分资产。没有谈判或坚持，且试图使用这个标准作为备用计划。 -第三，假设满足此前两条（第一和第二），A 至少要返还 95% 的资产。特别是，允许 A 保留 x 美元的 5 % 和 500 万美元中较少的一个。其余的返还给 abc。例如，如果 A 拿了 150 万美元，他将保留 75000 美元，并返回 142.5 万美元；如果她拿了 1.5 亿美元，她会保留 500 万美元，并返还 1.45 亿美元。 -第四，如果 A 遵循 5-5 的标准，维持 abc 协议客户完整，他保留最少金额 (她拿走的金额的 5 %, 500 万美元)，其余全部返还，那么她保留的金额被视为 (可能非常慷慨的) 漏洞赏金：实际上他没有伤害到协议客户，他返还了拿走的大部分，并帮助提醒 abc（公开地）一个漏洞。 -第五，默认情况下，A 有一天的时间来归还（根据 5-5 标准）他不应得到的部分。所以，要明确的是，A 不能坚持，然后把 5-5 作为后路；A 从一开始就打算归还资产。 -第六，如果 A 没有遵循 5-5 标准，也就是说，如果她保持超过他应有的「公平份额」，她就会被社区视为「坏角色」。 -第七，请注意，要清楚这里没有任何法律或监管声明；这只是一个关于加密社区规范的提议。 3，关键是: 创建并遵循一个清晰的共识标准，以明确漏洞利用者的职能；确保客户受到保护；激励那些在协议中发现安全漏洞的人去遵循共识标准，确保他们会这样做。 4，为什么是 5-5 标准？ -我不知道正确的数字是什么，也开放地支持其他选择！ -但如果遵循 5-5 标准，从历史上看，黑客攻击的影响会降低 98% 以上。 -这是一个巨大的进步——我的直觉是，为了解决绝大多数问题，接受 2% 的成本是非常值得的。我认为，创建一个可以大幅降低安全漏洞影响的标准对行业来说是非常重要的。我也并不确定什么是正确的标准，并且非常愿意接受这方面的建议！资产清单；还有，什么是证券? 迄今为止，业内人士有时必须回答的一个核心问题是：特定资产是否是证券。一般来说，BTC 和 ETH 不被视为证券；许多作为投资契约的长尾代币是证券。然而，有一些尚不清楚。最终，这个问题可能会有立法、监管或司法上的明确。在那之前，FTX 至少是这样计划的: -首先，我们的法律团队将根据豪威测试和其他相关判例法和指南对资产进行分析。如果分析发现它是一种证券，我们就将其视为证券。 -如果分析后发现其不是证券，我们通常将其视为非证券商品，除非该资产被 SEC 和/或有管辖权的适当法院认定为证券。 -如果我们确实发现一项资产可能成为证券，除非/直到有适当的注册该资产的流程，否则我们将不会在美国上市。对于在我们的联邦监管平台上列出的所有资产，我们打算发布一份类似于（非正式）注册声明的资产概述。点击详情理想情况下，最终数字资产成为一个证券并不是一件坏事：在保护客户且允许创新的同时，有明确的数字资产证券注册流程。我们仍然很高兴与监管机构进行建设性地合作，在监管框架内队证券型 token 开发和采取行动。股票 token 化我认为，最终，区块链技术在改善传统的市场基础设施方面具很大潜力。 2021 年 1 月 28 日，散户在包括 Robinhood 在内的多家交易平台上购买了大量特定股票，如 AMC 和 GME。随着这些股价的上涨，按照市价计算，投资者赚了很多钱，但这也给市场带来了一个问题，股票结算需要两天时间 (美元可能需要数月时间，尤其是 ACH 和信用卡)，其间存在一定的不确定性和另一方无法兑现的风险。这意味着在 1 月 28 日，散户投资者有数十亿美元的未结算收益。例如，典型的散户股票交易要经过大量的实体： - A 的移动代理 - A 的证券结算公司 - A 的银行 - PFOF（订单流支付）公司 B - B 的清算公司 - B 的银行 - DTCC（美证券托管结算公司） - Darkpool（暗池）C - C 的清算公司 - C 的银行 - DTCC（再次） - PFOF 公司 D - D 的清算公司 - D 的银行 - DTCC（再次） - 证券交易所 - DTCC（再次） - 然后给另一边更多单笔投资超过 15 个实体！每种实体都有一定的结算风险。因此，如果散户一天赚了数十亿美元，那么你就有了数以百计的实体，每一个实体都可能需要数十亿美元的备用资本，以防该流程中的任何一个实体后来不能交付。一旦投资者的利润超过了资本状况较差的经纪商的监管资本，这些交易商就会被关闭，在某些情况下还会被清算，以确保他们赚不到更多的钱——这些钱是经纪商无法担保的。在目前的股票市场结构下，散户能赚多少钱是有限制的! 但在 1 月 28 日，数字资产保持了交易流动性。为什么? 因为如果 A 想从 B 那里购买 SOL 以换取 USDC，A 将链上的 USDC 发送给 B，B 返回 SOL，几秒钟后——只需 0.0005 美元的费用——交易就完全解决了，不存在未解决的结算不确定性或风险，因此基本上不需要监管资本。如果两个平台之间有转账或交易，它们只需将区块链上的适当资产发送到另一个平台，再次在几秒钟内消除结算风险。综上所述：我认为股票 token 化有助于简化证券结算，为零售提供更强大、更公平的市场结构。是什么阻碍了这一切？我认为最重要的是监管透明度：例如，token 化 AMZN 股票的清算、保管、注册、发行、披露等是什么样子？客户保护、披露和适用性帮助保护投资者的最明确的方法是提供透明度和防止欺诈。投资者应该得到有关它们关注资产的清晰易懂的信息，监管机构应该打击任何虚假陈述或做出重大误导性营销声明的行为。我还认为，通常情况下，系统不应该有意地依靠信贷运行——尤其是对散户而言。一般来说，散户投资者的损失不应超过他们存入一个平台的金额，如果平台的任何贷款失败可能导致该平台上其他无辜投资者的损失社会化，就应该对其进行严格审查。这是我们在 DCO 修正案中提出的清算模型（https://www.ftxpolicy.com/posts/risk-management）的核心内容之一。如果你有足够的信息披露和透明度，不让投资者承担比他们存款更多的风险，并监管欺诈行为，那么客户保护的剩余核心部分就是适用性。换句话说，谁是特定产品的合适用户？人们可以通过多种方式来确定适用性，这通常是在经济自由与风险之间进行协调。没有单一的完美程序来确定适用性，但总的来说，我认为对客户来说基于知识的测试是合适的方法，且比基于财富的标准好得多。以下是确定谁可以访问特定产品的各种方法: a. 只有净资产至少 x 美元的投资者才能投资该产品 b. 只有收益至少为 y 美元的投资者才能投资该产品 c. 有一个基于平台和产品机制的测试：只有通过测试的投资者才能投资该产品 d. 只要不是骗局，任何人都可以访问任何产品 e. 平台应自行选择谁可以访问其产品 (a) 和 (b) 的问题是双重的。首先，它们可能会强化阶级壁垒：只有富人才能真正进入金融生态系统，因此只有那些已经拥有大量金钱的人才被允许赚钱，加剧了经济、种族和农村的差距。其次，目前还不清楚它在保护投资者方面是否做得很好。我发现，那些在生活中为了获得经济稳定而不得不付出最大努力的用户往往都是最见多识广、经验最丰富、知识最渊博的用户，我并不相信那些声称把穷人排除在财务自由之外是有效的客户保护的说法。 (d) 的问题在于，你会发现人们利用了那些不了解自己所使用的平台的人，他们承担了自己不知道也不愿意承担的风险。 (e) 可能意味着许多事情，但「平台选择」通常是充满了偏见和排斥，创造了金融准入的象牙塔。在我看来，(c) 是最合适的。它没有对经济上处于劣势的人群做出假设，或屈尊与任何特定群体，而是直接针对用户最大的担忧：人们将使用他们不了解的产品，承担他们不愿意承担的风险。总的来说，美国是建立在自由和个人选择的基础上的，这在经济、金融和口头上都是如此。但这并不允许平台利用误导、欺骗性或草率的产品来利用消费者。因此，我支持实施基于知识的测试，而不是基于资产的测试来确定产品的适用性。如果我们的修正案获得批准，为了展示我们计划推出 FTX US Derivatives，我们已经建立了一个包含一整套客户保护的网站——从披露到解释器再到基于知识的测验。 DeFi 在当前监管框架的背景下，DeFi 对于数字资产最终可能带来的创新至关重要。这也是需要考虑的较为棘手的问题之一。但永远不会有一个完美的答案；我们所能做的就是一步一步向前走。这里有一个关于使用 DeFi 的不成熟的监管启发式建议。一方面，你的行为感觉更像是言论自由、表达自由和数学构造：那些纯粹是编写代码，将其部署到去中心化区块链，或根据链的规则验证区块。去中心化代码如言论。另一方面，你的结构看起来更像是中心化的金融服务：托管一个网站，授权和推动美国散户投资者能够访问 DeFi 协议或产品。中心化的 GUI 和营销就如受监管的金融活动。这意味着: -上传代码到区块链不需要金融许可证 (只要它不是非法的/邪恶的) -类似地，验证程序的主要职责是正确验证区块，而不是判断或监督它们 -然而，以下活动可能需要一些许可证/注册等：在 AWS 上托管一个网站，为去中心化协议提供美国零售前端；向美国散户投资者推销 DeFi 产品。例如: -你可以在没有许可证的情况下为 DEX 编写代码并上传到区块链。 -没有许可证你也可以在 DEX 上交易，只要你纯粹是用自己的钱，而不是管理基金。 -你可以在没有许可证的情况下进行点对点传输，不过你还是要避免把它发送到受制裁的地址。 -验证器本身的目标仅仅是确认提议的块是否符合区块链的规则，而不是单独解析和治理监管内容。 -如果你有一个网站，让美国零售业可以很容易地连接到 DEX 并在 DEX 上进行交易，你可能需要将其注册为经纪商/FCM 等，还需进行 KYC 验证。 -如果你积极地向美国散户推销产品，可能需要一些注册——来自于你或来自你所推销的产品。 -纯链上活动的 DAO 不需要许可证——与个人类似，然而控制集中 GUI 的 DAO或向美国零售市场可能会。 -链上代码和 DeFi 保持自由、开放和不受审查是极其重要的。这是一种妥协，在任何坚定的立场上都不是完美的。但我认为这是合理的。它允许核心技术继续创新，允许人们表达自由，同时要求零售营销或类似于传统金融经纪的活动获得许可证，为监管机构创造了一个加强消费者保护和市场诚信的层次。我非常愿意接受这方面的建议！一个事物可能有很多变体。但最重要的是：如何以及在哪才是适合（或不适合） DeFi 和与之相关的东西监管环境是一个困难的问题，也是尚未有定论的问题。在没有为此建立一个合理和负责任标准的情况下，我们应该谨慎做出决策。 Stablecoin 点击查看关于 Stablecoin 的社区标准的提议（在有一个明确的监管框架之前）。 Stablecoin 为现代化和民主化支付提供了巨大的机会，无论是在国内还是国外。我们应该采取支持它们的监管政策，同时防范任何系统性风险。简而言之，任何对标美元保持稳定的 Stablecoin 都应该至少由流通中的 Stablecoin 数量的美元 (或联邦政府发行的国库券/票据) 支持，并且应该保持最新的公共信息和审计证明。此外，应该有参与入/出流程的交易者的 KYC(即创建和赎回 Stablecoin 的个人和实体的 KYC)。这是非常容易做到的，我们认为有许多合适的监管框架，在这些框架下，Stablecoin 项目可以进行（前提是运营实体保持有关资产的信息，并有和执行适当的 KYC 要求）。需要明确的是，这并不意味着护照和 SSN 是从 7-11 购买百吉饼的必要条件，但 Stablecoin 的发行和赎回应该是 BSA 级别的 KYC 活动。来源：金色财经

金色财经2022-10-20

【小萧说币】撸币实验室启航！如何寻找具潜力的百倍币掌握必备工具免当韭菜

ay ID等账号，尽可能自己注册，避免诈骗与后续获利出现争议 10. 翻译工具任何网络上的翻译工具都可以，有了梯子之后你的国际互联网新大陆就打开了，首先下载个谷歌浏览器打开梯子后注册并登陆，在谷歌浏览器网上应用商店下载MetaMask小狐狸插件钱包到浏览器交易所币安交易所：需要谷歌邮箱+境外IP注册官网链接欧易交易所：出入金首选，需要谷歌邮箱+境外IP注册官网链接 FTX交易所：提ERC-20手续费比较便宜，台湾地区IP+国内证件官网链接比特儿交易所：老牌交易所比较适合新手使用，上币比较快速官网链接抹茶交易所：土狗上币第一快，不认证直接使用官网链接贴心提醒！使用链上钱包每次转账都需要燃烧GAS(油费)手续费，如果想在区块链上交互，需要先从交易所提取该链的原生币到钱包做手续费。例如以太坊的原生币时ETH，币安链(Binance Smart Chain)的原生币是BNB，马蹄链(Polygon)的原生币是Matic，他们都是兼容以太坊EVM的侧网，都能使用以0x开头的钱包地址来接收。 GAS费是什么？GAS可以理解为手续费，你想在以太坊网络进行广播时就要向矿工支付GAS手续费，而且有时贵有时便宜，以太坊目前每秒只处理15-17 笔交易(tps)，当目前打包的交易笔数过多时，就需要支付更多的GAS费才能让广播更快打包上链，而且GAS费用还要看打包的合约大小计算，比如铸造一个NFT比转账一笔ETH需要耗费更多的GAS费用。GAS费用是决定撸毛成本的重要因素，关注GAS窗口期(一般周末)能节省交互成本。 GAS谷歌追踪软件谷歌GAS插件： DeFi Saver Gas Prices Extension 软件链接 Blocknative ETH Gas Estimator 软件链接网页端： Gas Price 官网链接手机端： Zerion 官网链接你可以通过关注一些币圈推特或Discord获取空投信息: 中文KOL 潜在空投推特关键字 Mirror文章收录 Dove Metrics付费版融资报告律动资讯 DefiLlama空投表单潜力项目空投信息池行情软件唯一推荐采用下面CoinMarketCap，小萧使用下来最为便利与快速，囊括的全球项目也最为广泛和整齐。 CoinMarketCap官网链接总结撸币看似非常麻烦，实际上与进行传统投资的步骤一样，需要层层的把关和资讯的统整，这都是我们累积财富的必经之路。小萧希望借由这篇文章，能打开更多传统投资者的思路，并清楚更多的撸币起始工具。但撸币这条路仍有许多知识点，未能在一篇文章中完善，若有兴趣者，可加入FX168财富中心Discord群，让我们一起在这寒冬中找出一片春天！#NFT与加密货币#

小萧2022-10-20

大数据时代下人们还有秘密吗？一起来看热门网剧《你安全吗？》

，讲述个人信息安全、网络灰色产业、电信诈骗等事件案例，让观众认识到互联网的潜在风险不只是诈骗电话那么简单，全方位意识到网络安全的重要性。剧中前几集中就涉及到很多有关个人信息泄漏的问题，通过剧集向我们科普网络安全，告诉我们哪些行为可能造成数据泄露，又该如何保护个人隐私。比如第一集，不能使用陌生人的充电宝，以免有心人通过充电宝盗取你手机数据。对于普通人来说，这简直是防不胜防，大街上全是共享充电宝，稍不留神就会中招。而第六集中谈到了数字时代的密码。除了传统数字密码，生物密码在这个时代成了一种新的加密方式，例如指纹、声音、虹膜等等。生物密码具有唯一性，因此保密程度高，但同时生物密码都具有一个共同的弱点——易被复制。例如，剧中提到，欧洲国家国防部长的指纹被复制，原因是无孔不入的黑客从国防部长发表讲话的照片中，成功获取了他的指纹，这种操作简直让人防不胜防。技术的进步，让照片的清晰度越来越高，虽然带给了普通人享受高科技的便利，但也给了黑客可乘之机，国家国防部长的信息都能被轻松获取，更何况普罗大众。当然，如果像《你安全吗？》剧中说的那样，尽量避免剪刀手的打卡姿势，或者在发图之前磨一下皮，把手指指纹给磨掉，这样可以很大程度上避免自己的指纹被不法分子复制。那么问题来了，人们的样貌，是不是也要磨皮呢？看来现在用美颜软件，不仅可以美颜，还可以把我们的生物密码遮盖过去。除此之外，《你安全吗？》还会在每集末尾附上一节“安全知识课堂”，以通俗易懂的语言，向观众传输一些实用的网络安全知识。例如第七集末尾，告诉人们如何防范声纹密码被盗取：1.不能把特定的语音泄露出去，比如朗读数字，朗读字母表，朗读特定文字的清晰语音；2.不能随意发送语音消息给别人，因为这些语音，很容易被剪辑拼接，被利用进行声纹检测；3.避开其他人使用声纹密码等。唯一值得庆幸的是，我们都是普通人，没有太多场合需要我们通过生物密码去验证信息。但是，对我们来说，网剧《你安全吗？》向大多数人普及了容易被忽视的网络知识，弥补了网络数据安全的盲区，对于防范网络诈骗起到了很好的作用。现在细细回顾《你安全吗？》每一集最后的网络安全知识普及，确实令人汗毛直立。 Web3网络安全如何保障？从上述内容我们了解到，Web2应用的普及使得人们生活便捷化，由此引发的网络安全事件也成了家常便饭，每一次的数据泄露都像是一把悬在人们头顶的达摩克利斯之剑，不知道何时这把剑就悄然落下。然而，互联网正在由Web2转向Web3，那么Web2遗留的网络安全问题也被顺延至了Web3。在这样的背景下，国内外对于数据安全开始愈加重视，如何处理好数据的隐私与共享，应用与保护，安全与发展的关系将成为各行各业发展中的必要一环。技术和资金已经迈入Web3的大门，不管是促进个人隐私保护、数据治理和数据使用责任化，还是让开发人员更轻松地整合隐私保护数据存储、治理和计算，通过前沿的加密技术来实现对用户隐私的保护是趋势也是必然方向。我们一直在强调隐私计算技术或将成为解决网络数据安全难题的关键，以大数据应用场景为核心，集中地进行三代网络安全技术的整体创新突破，保证未来的大数据时代的网络安全，构建一个新的数据网络安全新秩序。此前，KPMG毕马威、微众银行等机构联合发布《2021年隐私计算行业研究报告》，预计到2024年，隐私计算受到大数据融合应用保护的双重需求驱动，相关技术服务营收有望触达100-200亿元，甚至能够撬动千亿级的数据平台运营收入空间。但要想隐私计算在未来的时间里真正发展为千亿市场，应用场景商业化落地仍道阻且长。近两年来，我国隐私计算产业迸发式增长，不少区块链项目均在隐私计算赛道上不断拓展应用：一方面，区块链上的数据需要采用隐私算法来保护；另一方面，区块链可以成为隐私计算协作里的底座和枢纽。我们期待着隐私计算技术可以结合区块链技术，早日实现为数字社会、数字经济的全面发展联合赋能，只有通过技术的迭代、政策的革新和市场的发育与健全，我国互联网时代下的数据安全才算是真正砌起一座坚如磐石的高墙。后记《你安全吗？》剧中涉猎了各种社会热点话题和网络安全背后的知识，视角新奇地为观众解锁了许多被忽略的数据安全“盲区”。但整部剧都清晰直观地告诉我们，在大数据时代，人们没有秘密。数据作为现如今如石油般珍贵的资源，人们对待数据就像是在勘探开发石油的过程中注重环境保护一样，既然想要挖掘更多的数据价值，那么保护数据安全自然也是重中之重的东西。虽然隐私计算行业仍处于最初期的阶段，但未来的潜力不可估量，甚至远超人们想象。而在网络安全、基础建设等方面，隐私计算仍须面对诸多难题和挑战，而落到实处的发展进程值得我们长期关注。最后，希望《你安全吗？》这部剧不仅仅是用来解锁被大众忽视的网络数据安全盲区，更希望屏幕前的大众在追剧的同时也能学到点网络安全知识，提高防骗和自我保护意识，那这部剧的意义就算是达到了。尽管不知道网络数据安全问题何时才能根除，但笔者还是期望某一天，人们不再面临网络安全事件的侵害，并且当被人问到“你安全吗？”时，能够给出一个肯定的回答。本文为论道隐私计算团队原创，未经允许严禁转载，如需转载请联系我们。来源：金色财经

金色财经2022-10-19

Oasis网络：告别无隐私的透明人

活在当今的Web2.0时代，我们会发现诈骗电话越来越多、骚扰信息越来越猖狂、资金被盗情况越来越常见、广告越来越漫天飞、大数据杀熟、位置信息被监控等等。为什么互联网会变成这种状况？这些都是缺乏隐私保护结下的苦果。在Web2.0时代，我们就是网络世界中的透明人，犹如赤身裸体，没有隐私可言，信息被泄露是家常便饭，数据被买卖是互联网企业主要盈利模式。本文通过Web2隐私现状、隐私法案、Web3隐私机制和Oasis隐私解决方案全面剖析隐私安全。 Web2.0时代缺乏隐私保护的现状之一是数据信息频频泄露。2018年9月，Facebook爆出由于安全漏洞遭受黑客攻击，导致3000万用户的信息被泄露。在这其中，又有1400万人用户的敏感信息被黑客获取。这些敏感信息包括：姓名、联系方式、IP地址、搜索记录等。同年12月，Facebook又因软件漏洞再次导致6800万用户私人照片被泄露；同年，万豪酒店5亿用户开房信息被泄露。万豪国际集团当时发布公告称，旗下喜达屋酒店客房预订数据库遭黑客入侵，最多约5亿名客人的信息可能被泄露。被泄露的信息包括大约3.27亿客户的姓名、性别、地址、电话、邮箱、护照号码、出生日期等信息；此外，华住酒店5亿条用户数据疑泄露，被泄露的用户数据被发布在“暗网”售卖。包括用户身份证号、手机号、地址、邮箱等，共涉及5亿条公民信息。此次泄露的数据总计达5亿条，打包价售价为8个比特币或520个门罗币（当时约合人民币38万元）。除了以上这些典型例子之外，还有的大量隐私泄露事件，可谓是不胜枚举。比如Exactis大数据公司泄露2TB用户隐私信息，共计3.4亿条，涉及2.3亿人，被泄露数据包含的信息包括一个人是否吸烟、宗教信仰、是否养宠物等；美国功能性运动品牌Under Armour泄露1.5亿用户信息泄露，被泄露的用户数据包括用户名、邮箱和密码；国泰航空泄露约940万乘客数据信息；中东打车巨头Careem遭遇网络攻击导致1400万乘客信息失窃；法国外交部称紧急联络人信息数据库遭黑客入侵；美国监狱电话监控供应商Securus被黑，大量数据遭窃取；泰国最大的4G移动运营商TrueMoveH遭遇数据泄露；俄罗斯电信公司意外暴露数千名富豪客户个人信息；美国电信巨头Comcast爆漏洞，暴露2650万用户个人信息。以上这些案例只是过去数十年Web2网络中隐私泄露安全事件中的沧海一栗，缺乏隐私保护机制俨然是Web2时代的一个持续巨大痛点。此外，Web2.0时代缺乏隐私保护的现状之二是数据信息被随意买卖。Web2.0时代除了数据信息被广泛攻击的问题之外，还存在普遍的用户数据信息被互联网公司随意售卖问题。当今的Web2.0互联网公司主要是“流量驱动”型公司，商业盈利模式的核心是收集客户数据和以直接或者间接的形式出售客户数据。正是在这种畸形的商业盈利模式下，导致客户数据信息被大规模重复买卖，导致了大数据杀熟、大数据广告推送、用户数据随意被授权给第三方平台等典型无隐私保护的行为。我们可以普遍地发现，大量Web2.0网络的APP存在违规强制获取或者过度获取用户信息的行为：比如相机、定位、相册、通讯录、录音权限成为频繁调用的权限。据有关部门统计数据显示，约有95%以上的APP默认调用用户的相机权限；约有50%以上的app默认调用用户的位置权限；约有30%以上的APP默认调用读取通讯录联系人的权限...... 当前在隐私保护领域的法律现状是什么？Web2缺乏隐私导致了一系列的安全问题，引起了政府广泛的重视，世界上多个主要国家都出台了个人隐私保护法。其中美国是世界上最早提出并通过法规对隐私权予以保护的国家，美国在1974年通过《隐私法案》、1986年颁布《电子通讯隐私法案》、1988年又制订了《电脑匹配与隐私权法》及《网上儿童隐私权保护法》；德国联邦议院在1997年通过了Internet法律《多媒体法》；加拿大在2001年1月1日起实施《个人信息保护和电子文件法案》，所有收集用户信息数据的网站必须向它们的客户明确是谁在收集信息、收集什么信息以及为何收集信息；2021年8月，中国通过《个人信息保护法》，该法案要求不断加强企业应当遵循保障个人在信息收集、存储、使用、加工、传输、提供、公开、删除等环节的知情权、决定权。通过多个世界主要国家在隐私保护领域陆续出台法案可以看出隐私保护的发展是已然是大势所趋。 Web3.0时代的隐私保护机制是什么？隐私保护已成为必然趋势，Web3是Web2的演进升级，Web3非常重视用户隐私安全，数据隐私成为了Web3.0的一个核心标准要求。在Web3.0时代，旨在通过隐私计算技术实现在保证数据本身不需要对外泄露的前提下就可以对数据进行分析处理，达到数据可用而不可见的目的。隐私计算是针对隐私数据进行全生命周期保护的计算方法，可以隐私数据的所有权、控制权、收益权和使用权分离确权，然后分别进行隐私度量、隐私保护与隐私分析。隐私计算的加密保护机制可以加强对数据的保护和降低数据泄露风险。目前市面上常见的隐私保护技术有多方安全计算、联邦学习、可信执行环境、同态加密、零知识证明和非对称加密等。在Web3.0领域，目前采用最广泛的隐私技术为多方安全计算、可信执行环境和零知识证明。 Oasis网络如何满足Web3.0时代的隐私保护需求？作为全球隐私计算龙头，Oasis从成立之初就有精准的定位，把隐私保护放在了Oasis网络建设的核心位置。目前在Oasis 网络上有两个隐私ParaTime：分别是Cipher 和 Sapphire。首先，Cipher是Oasis网络推出的与WebAssembly兼容的隐私ParaTime。在Cipher这种隐私 ParaTime中，节点使用可信执行环境 (TEE) 的安全计算技术保护用户数据隐私。通过使用密钥管理，将加密过的数据与智能合约一起发送进入黑匣子（黑匣子属于安全隔离区），在进入黑匣子后，先进行数据解密，数据解密后再用智能合约对数据进行处理，处理完成后在发送出黑匣子之前将数据再进行加密。这一执行过程中，在黑匣子内部运行的智能合约和数据因为与外部相隔离，所以不会被任何外部程序非法调用，也不会泄露给节点运营商或应用程序开发人员；其次，Oasis网络还推出了第二个隐私paratime Sapphire，Sapphire是全球首个也是目前唯一一个与兼容EVM的隐私智能合约。Oasis核心团队在目睹了EVM开发者社区的深度和广度之后，发现Solidity开发者在EVM智能合约中缺乏支持开发隐私Dapp的功能，于是Oasis核心团队推出了Sapphire来解决了这一问题。Sapphire 是一种全球首创的隐私EVM计算环境，允许 Solidity语言开发人员基于熟悉的开发环境使用隐私保护技术开发隐私Dapp。当前，大量的layer1公链都将主要精力放在了解决可拓展性问题，因为缺乏隐私保护等功能使得当前大部分layer1网络并不适配Web3时代对公链的需求标准。而Oasis除了将共识和计算分离来提升扩展性外，几年前就已经审视到了Web3隐私保护的核心需求，并推出了Cipher和Sapphire这两类隐私智能合约，Oasis在隐私保护方面相对其他layer1是极具竞争优势，有望成为适配Web3标准公链的全球领跑者。在Web3.0时代，告别无隐私的透明人，通过隐私保护技术的采用，使得个人信息更加安全，数据也无法被随意买卖。以Oasis为代表的一众隐私公链基础设施平台正在为Web3.0这一更好隐私愿景持续努力，让我们期待一个隐私权利真正得到捍卫Web3.0时代。来源：金色财经

金色财经2022-10-19

重磅，李嘉诚引路人被抓！玩空手套白狼把戏，越南华裔女首富翻车！银行挤兑、股市暴跌、金融风暴正逼近越南

发行。4月5日，越南公安部调查机构以“诈骗侵占他人财产罪”为由对新皇明集团董事长杜英勇及相关6人进行起诉、拘留。　　按照越南公安部的说法，万盛发曾在2018年和2019年，以和新皇明相同性质的手段诈骗数万亿越南盾，同时在收购土地时存在违规行为。10月7日凌晨两点，越南警方突击搜查了张美兰的住宅，并将其逮捕，10月8日即宣布逮捕并起诉张美兰，显然越南官方已经掌握了确切的证据。　　另外，除了杜英勇和张美兰，越南房地产开发商FLC集团董事长郑文决今年3月因涉嫌操纵证券市场被拘捕。　　今年4月，在老公朱立基的牵线下，万盛发集团正式和李嘉诚旗下的长江实业达成合作，共同开发越南房地产市场。　　对此，李嘉诚旗下长江实业集团执行经理赵国雄曾说，选择在越南投资的条件之一就是：“在当地找到合适、了解市场、有能力与国际接轨的合作伙伴。” 　　考虑到万盛发是李嘉诚进军越南的合作伙伴，张美兰被捕后，对李嘉诚在越南的业务开展会造成不小的影响。　　越南最大私营房企业老板华人女首富　　张美兰，越南第四代华人，祖籍广东省汕头，是万盛发集团创始人，该集团的业务覆盖房地产、交通基础设施等领域，是越南最大的私营房地产企业。　　大约在中国清朝光绪年间，其高祖父张盛著从广东汕头移民到了胡志明市（当时还叫西贡）。西贡地处湄公河三角洲，是重要的稻米产区，每年大量的稻米需要通过西贡的码头运到越南其他地区。张盛著看准机会，在当地码头成立了一个叫“和顺发”的船运企业，靠着出色的经营手段，成功发迹，当地成功站稳。　　1956年，张美兰出生，家族的传统，令她自小对经商兴趣浓厚。1992年，张美兰成立了万盛发公司，起初是做贸易。1993年，张美兰和香港商人朱立基结婚，靠着朱立基的关系，拿到了LG产品的代理权，赚到了第一桶金。　　彼时的越南刚刚“革新开放”，经济逐年稳步增长，房地产是一项有利可图的生意。张美兰遂把经营重心转向房地产，先后投资了多个房地产项目。其中胡志明市的时代广场是张美兰的代表性项目，也是胡志明市的CBD之一，月租金高达300美元/平米。胡志明市最高档的温莎酒店也是张美兰旗下资产，曾被越南政府确定2006年APEC峰会的举办地。　　由于万盛发集团没有上市，因此张美兰和丈夫朱立基究竟有多少资产，无从得知。由于万盛发集团还没上市，没人清楚张美兰到底有多少钱，但普遍称她为越南华人女首富。　　越南政府给房地产市场降温　　房地产过热种种乱象引起了越南政府的警觉，开始给房地产市场降温。　　越南国家银行胡志明市分行在今年5月就要求市区各信贷机构须严管房地产领域的信贷审批，包括越南外贸银行、越南科技及商业股份银行等，多家银行也宣布，限制发放给房地产业务相关的贷款。　　2022年8月，越南副总理黎文成表示，将加强对房企债券销售的监督，以避免投机和价格操纵。　　2022年9月，越南央行副行长陶明秀明确表态，央行将加强对银行贷款的审查，特别是在房地产项目等风险领域。　　一场金融风暴正在逼近越南　　虽然越南政府也意识到了问题，但是似乎留给越南政府“微操”的空间不大了。　　第一、越南银行资本充足率持续下降　　资料显示，越南的银行资本充足率近年来持续下降，到2022年6月，越南的银行资本充足率已经从2013年5月14.3％的高位下降至11.5％，其中，国有银行资产充裕率仅有8.9％。银行坏账率也开始反弹。越南2021年银行坏账率约为1.9％，高于2020年的1.7％。据媒体报道，截至今年6月份，越南上市银行的不良贷款率小幅攀升至2.1％左右。　　第二、外部债务压力山大　　截至今年9月，越南的所有外部债务总额约为1750亿美元，外债总额达到该国际储备资产比例的173％，而这其中越南财政的外债比例更是达到47％，且还在继续扩张。　　　　第三、越南盾持续下跌　　自今年以来，随着美元指数持续刷新20年高位之际，越南虽然经济数据表现亮眼且在两年以来首次紧急超预期加息100个基点，但越南盾仍在持续下跌。本周一，越南央行宣布将越南盾兑美元的交易区间从之前的3％扩大至5％。这表明越南愿意容忍越南盾进一步走软。　　　　第四、越南股市遭遇恐慌性抛售　　连涨两年的越南股市，号称“全球最牛股市”，如今也已崩盘。自今年4月以来，越南股市遭遇恐慌性抛售，从1500点高位下滑到如今1063点，半年时间跌幅高达30％。如今，跟踪越南市场的基金也是一塌糊涂，曾经国内大火的天弘越南市场股票（QDII）基金年内净值回撤了30.41％。　　　　种种迹象表明，越南股债汇市场风险开始成倍增加，在美联储持续激进加息的屠刀之下，越南很有可能会被美国收割财富，经济奇迹或将被打回原形。　　

金融界2022-10-19

剖析涉虚拟货币洗钱案中的“洗钱罪”和“掩饰、隐瞒犯罪所得罪”

**、胡某颖、李某德明知上游资金是电信诈骗等犯罪的所得，仍将“人头”信用卡卡号提供给上线，收取上线转入的上游犯罪赃款后，在数字货币交易平台上分多笔操作购买数字货币，再将购买的数字货币提币至上线控制的账户中，转移赃款合计人民币283万余元。 2019年12月11日、12日，被害人李某甲被上游犯罪团伙骗取银行卡和信用卡卡号、密码、身份证等资料，2张卡内资金合计被转走人民币28万余元。被告人孙某阳、李**、李某德明知上述资金是金融诈骗的犯罪所得，仍将“人头”信用卡卡号提供给上线，由上线将其中29768元经多个账户转账操作后转入许某浦发银行卡内，由被告人李冠德购买加密数字货币并提币至上线控制的账户中。 2019年12月11日、12日，被害人齐某被上游犯罪团伙骗取信用卡卡号、密码K令等资料，卡内资金合计被转走人民币39万余元。被告人孙某阳、李**、胡某颖、李某德明知上述资金是金融诈骗的犯罪所得，仍将“人头”信用卡卡号提供给上线，由上线将其中2笔资金49995元、49994元，经多个账户转账操作后转入刘某恩、许某浦发银行卡内，分别由胡某颖、李某德购买加密数字货币并提币至上线控制的账户中。判决结果：被告人胡某颖、李某德、孙某阳、李**皆因触犯洗钱罪和掩饰、隐瞒犯罪所得、犯罪所得收益罪而被判处有期徒刑四年到四年9个月不等，并处相应罚金。洗钱犯罪行为常会触犯哪些罪名？洗钱，是指将上游犯罪所得及其产生的收益，通过各种手段掩饰、隐瞒其来源和性质，使其在形式上合法化的犯罪行为。在涉虚拟货币洗钱犯罪行为的案件中，涉案嫌疑人通常会触犯洗钱罪或掩饰、隐瞒犯罪所得、犯罪所得收益罪，也有甚者两个罪名同时触犯而被数罪并罚。 “9.15”特大洗钱案涉案人员或触犯哪些罪名？基于此，SAFEIS安全研究院法律专家认为，目前，衡阳警方破获的“9.15”特大洗钱案公开信息较少，但也可以明确得知，这起洗钱案涉案金额巨大，串并案件众多，不仅涉及虚拟货币，同时也涉诈涉赌，涉案嫌疑人基本都会触犯掩饰、隐瞒犯罪所得、犯罪所得收益罪，该罪量刑最高为7年有期徒刑；如果涉诈案件中涉及到金融诈骗，部分或全部涉案嫌疑人也会触犯洗钱罪，该罪量刑最高为10年有期徒刑。根据最高人民法院《关于审理洗钱等刑事案件具体应用法律若干问题的解释》在认可两罪法条竞合关系的基础上做了规定：构成掩饰、隐瞒犯罪所得罪，同时又构成洗钱罪的，依照处罚较重的规定定罪处罚。结语为应对越来越严重的区块链安全问题，贯彻落实国家构建区块链安全保障体系的布局，SAFEIS不断创新安全科技，打造多款业界先进产品，包括满足执法机关追踪资金、锁定嫌疑人需求的“SAFEIS安士-区块链信息作战系统”，满足企业/个人检测钱包地址、合约安全性等需求的“SAFEIS安盾-链上安全卫士”等。此外，SAFEIS安全研究院，聚集了全球顶级互联网公司的技术专家、全国多起重大案件的侦办分析专家、曾就职于公检法系统的业务精英，为受害者提供专家级全流程的综合技术服务。SAFEIS安全研究院推出的“源论坛”，致力于在新技术与新挑战下的背景下，邀请专家分享相关经验、观点，为用户答疑解惑进行广泛讨论，自推出以来广受业界好评。来源：金色财经

金色财经2022-10-19

24小时热点