FX168财经网_全球视野外汇黄金加密货币NFT资讯网

原油收盘：汽油及馏分油库存大幅攀升原油期货承压小幅收跌

为消费者需求的隐含指标，“急剧下降”，Sevens Report Research的联合编辑泰勒·里奇表示。成品油库存激增约2,000万桶，"主要是由于圣诞节和新年前后交货量大幅下降，这在12月底和1月初尤为典型。" 同样在周四，EIA另一份报告称，截至12月29日当周，美国天然气库存减少了140亿立方英尺。这比标准普尔全球商品洞察调查的分析师预测的500亿立方英尺的平均降幅要小。由于抗议活动导致利比亚每天生产30万桶原油的油田关闭，周四早盘油价有所上涨。伊朗在纪念伊斯兰革命卫队高级军官卡西姆·索莱马尼(Qasem Soleimani)逝世一周年的仪式上发生爆炸，造成95人死亡，200多人受伤，人们对中东更广泛冲突的担忧正在加剧。索莱马尼于2020年在美国空袭中丧生。据报道，伊斯兰国声称对周四的爆炸事件负责。这次袭击的背景是以色列和哈马斯之间的战争，人们担心更广泛的冲突可能会减少来自中东的原油供应。自战争开始以来，伊朗支持的也门胡塞叛军发动了一系列无人机和导弹袭击，主要航运公司暂停了通过红海的货物运输。在这种背景下，石油输出国组织及其盟友，统称为欧佩克+，在周三发布的一份声明中重申，参与其合作宣言的国家“完全承诺”“团结和凝聚力，以及他们继续坚定不移地努力维持石油市场的稳定。”Price Futures Group高级市场分析师Phil Flynn在一份每日报告中称，"在全球供应面临至少50年来最高的风险之际，此举旨在通过控制全球所有闲置石油产能，重新控制全球石油市场。"

金融界2024-01-05

科技股回调，首先要抄这两只？

公司（七巨头“Magnificent Seven”）纷纷开始了回调。投资者的交易堆叠在一起，往往下行的时候更明显，因为越来越多的量化交易，包括传统的主动基金，在这些大科技股上的风险敞口都差不多，而且因子暴露的也差不多。估值的高低，必然是重要因子之一。经过疯涨的2023年，几大科技股的估值都不低。但要相对比起来， $谷歌A(GOOGL)$ $谷歌(GOOG)$ 、$亚马逊(AMZN)$ 和 $Meta Platforms(META)$ 相对较低，而最热门的 $苹果(AAPL)$ 和 $特斯拉(TSLA)$ 相对较高。以下是七巨头的过去两年的市盈率变化，分别为过去12个月PE、当年PE与5年平均PE的对比。所以，GOOGL和AMZN这两天也更抗跌一些，也不奇怪了。当然，对于期权交易者来说，裸卖空Sell PUT，除了NVDA之外，不管是吃权利金收益，还是以建仓、加仓为目标，都可以把5年平均PE作为一个估值支撑位。

老虎证券2024-01-04

从股票到大宗商品，2023年哪些鲜为人知的资产意外取得惊人的增长？

华丽七巨头”(Magnificent Seven)，再到Ozempic等减肥药制造商，今年的大趋势推动了整个市场的上涨。但也有一些出人意料的赢家，他们在2023年获得了巨额回报。从受人喜爱的千禧一代零售商的股票，到从化石燃料转型的核心材料，这五种鲜为人知的资产都取得了惊人的增长。#2024投资策略# Abercrombie & Fitch股票 2000年代的千禧一代零售时尚之王一直在努力卷土重来，而投资者喜欢他们所看到的。该股2023年飙升了290%，与英伟达(Nvidia)和Meta等大型科技股齐头并进。（图源：Google） Abercrombie最新的季度报告显示，其营收超出预期，达到10.6亿美元，该公司还将销售预期从10%上调至12%-14%。该季度净销售额同比增长30%。这一增长与显示消费者可能缩减支出的趋势背道而驰，该品牌的表现轻松击败了竞争对手，后者正在争夺更大的美国年轻人衣橱份额。橄榄油今年欧洲的严重干旱破坏了橄榄收成，造成了橄榄油的严重短缺。因此，橄榄油价格飞涨。国际橄榄理事会(International Olive Council)最新报告称，特级初榨橄榄油的价格自去年以来飙升了近50%，达到0.23美元/盎司。 (图源：YCharts) 周四，英国《金融时报》(Financial Times)报道称，价格飙升引发了橄榄和橄榄油盗窃案的增加。在希腊，一些企业家甚至将这种产品作为奢侈品推向国外市场。可可今年恶劣的天气也影响了可可价格。据彭博社上周五报道，去年早些时候，西非的暴雨在作物中传播了一种豆荚枯萎病，一种被称为“哈玛坦”的年度大风袭击了科特迪瓦，进一步威胁了可可收成。这种天气模式推动可可价格录得2008年以来的最大涨幅。彭博社(Bloomberg)的一份报告显示，上个月，可可价格徘徊在45年来的高点，期货交易价格超过4000美元/吨。BNN表示，12月18日，最活跃的可可合约交易价格高达3588英镑。（图源：彭博社）索拉纳(Solana) 所谓的“另类币”在2022年受到市场事件的打击，加密货币市场的寒冬导致许多涉足该领域的公司倒闭，以及加密交易所FTX的惊人崩溃。不过这些遭受重创的代币在在2023年强势回归，其中索拉纳飙升了560%以上。上周五，该代币的交易价格仍在上涨，达到106美元。（图源：Trading View）曾经的加密货币大亨萨姆·班克曼-弗里德(Sam Bankman-Fried)是这种代币的忠实粉丝，他在索拉纳仅为0.20美元时就开始购买。在对他的审判中，他说他使用了FTX的姐妹交易公司Alameda的资金来购买这种加密货币。铀 2023年，受到核电复兴的推动以及计划逐步淘汰化石燃料的转型影响，铀价格大幅上涨。#VIP会员尊享# 去年11月，铀价15年来首次突破80美元大关。核电行业增长的前景已促使对冲基金押注矿业股和铀衍生品。去年10月，彭博情报(Bloomberg Intelligence)发现，铀自2020年底以来的价格飙升了125%。在同一时间段内，铀ETF资产增长了20倍。（图源：Business Insider）

会员

忆芳2024-01-02

Blocklike Panel：聚焦Web3游戏「Play Earn 链游赛道新叙事」圆满结束

VC 机构 HTX Ventures、SevenX Ventures，知名 Web3 游戏平台 Xterio，以及 Web3 首款 3A SLG 策略游戏 BLOCKLORDS，围绕 Web3 游戏的新发展与机遇展开了深度讨论。在活动中，各位嘉宾分享了各自所在机构/项目过去一年在游戏领域的布局与成果，以及 2024 年的重要规划与目标。同时，他们也分享了不少有价值的观点，并表达了对 Web3 游戏市场的期待。嘉宾们认为，随着市场逐渐复苏、游戏基建越发成熟，以及越来越多高质量游戏项目的出现，2024 年游戏赛道将在 Web3 市场迎来更多新突破并呈现强劲增长势头。以下是活动部分精彩观点。 Web3 游戏赛道发展现状与挑战游戏一直被认为是推动大量流量和资金流入 Web3 市场的重要赛道，然而回顾过去的 Web3 游戏市场，整体而言并没有太多游戏成功走出来。目前，Web3 游戏赛道的现状如何？该领域还存在哪些亟待解决的问题？ SevenX Ventures 的 Yinghao 指出，当前 Web3 游戏领域的首要挑战在于资金不足。与传统游戏市场相比，Web3 游戏市场的资金规模存在明显差距，而资金是推动该领域发展的关键因素。此外，开发人员数量和活跃用户的限制也是阻碍其快速发展的重要原因。同时，Yinghao 从第一性原理的角度提出了一些基本问题，比如“为什么游戏需要上链”、“为什么需要去中心化”等。这些都是当前 Web3 游戏所面临的关键问题和挑战。 HTX Ventures 的 Juliet 指出，Web3 游戏所面临的核心问题在于用户，游戏项目的一切努力都围绕着“如何吸引并留住用户”展开。然而，这往往是当前 Web3 游戏难以平衡的关键点。同时她也指出，随着更多资金涌入和更多优质游戏的出现，目前的 Web3 游戏市场也呈现出一些亮点。例如，一些游戏正在尝试与社交属性相结合，通过大规模的网络效应获得传播与用户支持。这种良性结合为未来的游戏项目带来了一些启示。 Xterio 的 Yvette 认为 Web3 游戏面临的核心底层问题在于两个主要方面：游戏获客和游戏的可玩性，这其中又涉及多个细分点。在面对有限的存量市场时，Web3 游戏想要在其中脱颖而出，需要具备足够差异化的竞争优势。这包括游戏品质、经济模型的打磨、针对不同地区玩家的游戏技术和游戏端口适配性、玩家如何进入游戏、新手如何引导等细节问题，游戏项目需要根据实际情况考虑并提出有针对性的解决方案。 BLOCKLORDS 的 Nicky 从游戏项目方的角度出发，围绕资金管理以及用户获取进行了分享。Nicky 认为，游戏项目需要聪明运用每一笔资金，如何通过有限的资金更大化地完成项目不同阶段的目标需要仔细斟酌。针对获客问题，游戏首先需要明确定位及用户画像，再针对性地选择传播渠道和方式。同时，需要尽可能降低用户参与游戏的门槛，包括游戏登陆方式、游戏准入门槛以及游戏内资产的购买方式等。此外，游戏的可玩性仍然是关键。当前，BLOCKLORDS 仍在持续思考如何丰富游戏玩法，提高游戏深度。被传统市场验证过的成熟游戏能否在 Web3 取得成功？是否能成为 Web3 大规模采用的重要推动力？ Yinghao 认为，传统市场验证过的成熟游戏将为 Web3 的大规模采用带来重要推动力。他从资金流、用户流和体验流三个层面展开了分析，认为 Web3 游戏本质仍然是游戏，因此游戏玩法仍然是核心，多种多样的游戏资产及相对应的金融玩法实际上满足了用户在成熟游戏基础上的一些外延需求。在大量资金与用户已沉淀在传统游戏市场的情况下，加上已成熟的游戏模型和服务，对于 Web2 用户进入 Web3 具有很大的推动力。 Juliet 持有相似的观点。她认为团队经验和传统市场的积累将会给 Web3 游戏的开发带去积极影响，尤其在游戏体验及游戏的丰富度和吸引力上。其次，成熟项目本身具有一定的社区积累，对于传统用户引入 Web3 领域有较好的基础。尽管目前并没有成熟的 Web2 游戏成功在 Web3 游戏领域发展，但整体仍然在正向发展，这类游戏在推动 Web3 大规模采用上具有一定潜力。随着更多传统成熟游戏进入 Web3，更多资金及用户将会随之而来。 Yvette 提及了一些成功的 Web2 游戏产品和企业。她认为，将已验证的底层技术和玩法与新的想法及创新结合，打磨出新的 Web3 产品，很可能对 Web3 游戏市场产生正向影响。同时，Yvette 也强调将经过传统市场验证的游戏产品引入 Web3 的关键，绝不是简单的复制产品，而是在于如何有效及创新结合自身设计特点与思路以及如何做加减法，打磨、优化一个新的产品。此外，她也给游戏项目提供了一些新的思路，例如不盲目追求 AAA 游戏。对于小型团队来说，也可以参考二次元外观类游戏方向。 Nicky 强调了转变 Web2 游戏为 Web3 游戏时需要考虑的策略和思路。他认为简单地对 Web2 游戏进行生硬的链改，例如添加 NFT 资产或代币，可能并不会达到预期效果，甚至可能失去改造的原动力。此外，成熟 Web2 游戏原有的社区和玩家并不一定会支持其 Web3 转变。因此，相较于“简单粗暴”的链改，从底层出发重新立项的 Web3 游戏项目或许更有可能取得成功。 2024 年 Web3 游戏赛道将有哪些新发展与机遇？ Yinghao 认为 2024 年 Web3 游戏领域将可能有几个趋势：西方市场将继续确立审美和主题，并将高利润和大主题的游戏引入到 Web3 玩家和投资者的视野中；涉及资产发行的方法和机制将进一步得到夯实，资产设计将变得更加复杂，发行策略将更加立体，游戏资产类型将更加丰富，同时亚洲某些游戏项目可能先实现用户和商业化的突破；全链游戏将会迎来进一步推进。 Juliet 认为，不论是从整个行业趋势还是从 Web3 游戏领域来看，2024 年都将呈现出一个比较乐观的态势。经历了熊市的洗礼后，新一轮游戏项目的类型和质量都有了非常大的提升和突破。随着资产类型和底层技术的进一步发展，游戏的可拓展性将增强，未来会有更多支持跨链和多链的游戏出现，游戏内的交易成本有望更低。 Yvette 对未来 Web3 市场整体和游戏赛道持有乐观态度。她预计随着政策逐渐向利好方向发展，更多带有区块链属性的游戏将逐步在更多渠道和传统大型平台上架。Xterio 将继续关注两大方向：一是主打 Web2 结合 Web3 的中重度全球化游戏；二是金融属性与游戏化场景相结合，经济模型、美术表现和可玩性都在不断提升的产品。 Nicky 持有相似的观点，预计随着众多游戏项目积蓄力量准备上线，2024 年的 Web3 游戏市场将会迎来不错的势头，吸引更广泛的全球玩家。BLOCKLORDS 将不断迭代整个游戏的内容和产品，在新的一年推出多样、多模块的玩法，并通过更多渠道进行上线。感谢以下媒体对本次活动的支持：金色财经、Forsight News、快链头条、MarsBit、TechFlow深潮、Cointime、PANews、bixiaobai、WebX 实验室、Coinlive、世链财经来源：金色财经

金色财经2023-12-26

美股空头今年损失1780亿美元，标普500ETF(513500)今年涨幅超27%，特斯拉领涨蓝筹科技股

于“七巨头”(Magnificent Seven)之列。具体而言，空头们今年在英伟达股票上损失了113亿美元，仅次于特斯拉，苹果空头损失了77亿美元，位居第三。Meta空头损失了63亿美元，微软空头损失了54亿美元。这些数字反映了今年股市反弹的意外性质，许多华尔街人士在进入今年时都没有预料到这种反弹。最新经济数据显示，美国Q3实际GDP年化季率下修至4.9%；Q3核心PCE年化季率下修至2%，幅度超预期。美国GDP数据公布后，美国10年期国债收益率跌至3.840%，为7月27日以来最低水平。日本政府将下一财年的整体通胀预期从1.9%上调至2.5%；将经济增长预期从1.2%上调至1.3%。 PCE通胀指标公布后，十年期美债收益率迅速掉头下行，一度下破3.83%，又创近五个月新低，但盘中转升；美元指数加速下跌，逼近四个月低位。据CME“美联储观察”：FOMC明年2月维持利率在5.25%-5.50%区间不变的概率为85.5%，降息25个基点的概率为14.5%。到明年3月维持利率不变的概率为17.1%，累计降息25个基点的概率为71.3%，累计降息50个基点的概率为11.6%。本条资讯来源界面有连云，内容与数据仅供参考，不构成投资建议。AI技术战略提供为有连云。

有连云2023-12-22

美股空头今年迄今损失1780亿美元，特斯拉空头损失126亿位居第一

于“七巨头”(Magnificent Seven)之列。具体而言，空头们今年在英伟达股票上损失了113亿美元，仅次于特斯拉，苹果空头损失了77亿美元，位居第三。Meta空头损失了63亿美元，微软空头损失了54亿美元。这些数字反映了今年股市反弹的意外性质，许多华尔街人士在进入今年时都没有预料到这种反弹。

金融界2023-12-22

【直击亚市】美联储开始破坏市场！最大的变数转向日本红海危机再升级

因此需要对反弹进行一些消化，”The Sevens Report通讯的创始人Tom Essaye写道。这“可能会在短期内发生，特别是如果美联储官员在未来一两周内口头上抑制市场的热情的话。” 从美国到欧洲和加拿大的央行行长们已经开始了与交易员的战斗。亚特兰大联储主席博斯蒂克对路透表示，他预计2024年将有两次降息，但要到第三季才会开始。博斯蒂克对明年的货币政策有投票权。在欧洲，欧洲央行管理委员会委员Joachim Nagel上周五表示，现在考虑降息还为时过早，而另一位委员Madis Muller表示，市场押注明年上半年政策放松的预期过于超前。欧洲央行行长拉加德(Christine Lagarde)表示，该行根本没有讨论过降息。 “那是圣诞节前一周，金融市场一片平静……直到央行官员们开始谈话，投资者不再认为利率将不得不‘在更长时间内保持较高水平’，”Bancorp在给客户的报告中写道。聚焦日本央行市场的注意力很快将转向日本，日本央行周一将开始为期两天的政策会议。尽管有关日本央行将很快结束世界上最后一个负利率制度的猜测越来越多，但经济学家认为，最有可能在4月份做出改变。彭博社对50多名经济学家的调查显示，约15%的经济学家预计，植田和男将在1月份取消负利率。 “日本央行没有必要急于做出政策调整，”以Wei Yao为首的法国兴业银行经济学家在一份报告中写道。“但市场将密切关注委员会是否愿意结束负利率或收益率曲线控制的任何迹象。” 市场还将消化日本首相岸田文雄(Fumio Kishida)的内阁改组，此前岸田文雄罢免了四名被控隐瞒筹款活动收入的议员。这一丑闻震动了执政的自民党，并引发了人们的猜测，自民党可能会考虑在岸田文雄9月份任期结束前更换党魁。本周，澳洲联储将公布12月政策会议纪要，印尼央行将做出今年的最终政策决定。交易员还将密切关注中东局势的发展，因为以色列对加沙停火的呼吁采取了反击行动。大宗商品方面，亚洲早盘金价持稳，油价上涨，延续上周涨势，因商船遇袭升级后，主要航运公司暂停红海航线。上周末，智利否决了两年来的第二份新宪法提案，突显该国政治体制未能将社会需求纳入一套新的基本法律。这一结果与最近的民意调查大体一致，意味着Augusto Pinochet独裁时期的现行宪法将继续有效。

云涌2023-12-18

CWG Markets：美元短线触底反弹，但上方阻力重重，大方向仍然看空

CWG Markets2023-12-18

决策分析：美联储官员警告未能抑制市场涨势股市、债市牵头并进 10年期美债收益率自8月首次跌破4%

交易员预计明年降息多达6次。 The Sevens Report时事通讯的创始人Tom Essaye写道：“标准普尔500指数在不到两个月的时间里上涨了10%以上，因此需要对反弹进行一些消化。这种情况可能会在短期内发生，特别是如果美联储官员在未来一两周内言辞上抑制市场热情的话。” 美元上涨，结束了连续3天的下滑。10年期美国债券的收益率是从抵押贷款到企业债务的一切基准，本周自8月以来首次跌破4%。 BMO Family Office首席投资官Carol Schleif写道：“由于市场参与者试图确定利率的新常态，今年债券收益率大幅波动。我们怀疑10年期国债收益率的长期新常态将在4%至4.5%之间波动。” 交易员还必须应对今年最大的季度期权和期货到期及其引发波动的可能性。根据衍生品分析公司 Asym 500创始人Rocky Fishman的估计，今天与股票和指数相关的合约价值高达5.4万亿美元，令人震惊。尽管纽约联储主席约翰·威廉姆斯压制了市场的一些热情，美联储本周的语气仍比欧洲同行更为温和。欧洲央行管理委员会成员马迪斯·穆勒周五表示，市场押注欧洲央行将在明年上半年开始降息有些言过其实。周四，欧洲央行行长克里斯蒂娜·拉加德表示，该行根本没有讨论过降息问题。瑞讯银行高级分析师Ipek Ozkardeskaya在给客户的一份报告中写道：“采取鸽派立场的强劲美国经济与坚持鹰派立场的步履蹒跚的欧洲经济体之间的对比给人的印象是有些不对劲。” 下一个交易日焦点、风向标： 01:00德国12月IFO商业景气指数 07:00美国12月NAHB房价指数 18:47日本无担保隔夜拆借利率 16:30澳洲联储公布12月货币政策会议纪要 19:00日本央行公布利率决议 22:30日本央行行长植田和男召开货币政策新闻发布会主要货币走势分析：欧元：欧元/美元下跌，收报1.0893，跌幅0.89%。技术面上，汇价上行的初步阻力位于1.0956，进一步阻力位于1.1044，关键阻力位于1.1096；汇价下行的初步支撑位于1.0818，进一步支撑位于1.0766，更关键支撑位于1.0698。英镑：英镑/美元下跌，收报1.2679，跌幅0.68%。技术面上，汇价上行的初步阻力位于1.2835，进一步阻力位于1.2906，关键阻力位于1.3017；汇价下行的初步支撑位于1.2653，进一步支撑位于1.2542，更关键支撑位于1.2471。日元：美元/日元上涨，收报142.13，涨幅0.21%。技术面上，汇价上行的初步阻力位于142.87，进一步阻力位143.87，关键阻力位于144.82；汇价下行的初步支撑位于140.92，进一步支撑位于139.97，更关键支撑位于138.97。 #决策分析#

楼喆2023-12-16

密钥管理糟透了？试试新方案：WebAuthn和Passkey

作者：Rui，SevenX Ventures；翻译：金色财经xiaozou 目录： · 加密用户体验很糟糕？密钥管理糟透了！ · 密钥管理：责任、存储和访问 · 现有玩家分析：MetaMask、Trust Wallet、Privy和Particle · 新解决方案：密钥层：WebAuthn、Secure Enclave和Passkey；账户层：智能合约账户（SCA）、外部账户（EOA）；签名层：协议r1预编译、第三方服务、 Solidity和ZK验证者（verifier） · 部署案例研究：（密钥）+（账户） Clave钱包：（Secure Enclave webAuthn）+（SCA） Soul钱包：（Passkey）+（4337 SCA） OKX钱包：（MPC-TSS + Passkey）+（4337 SCA） Web3Auth：（MPC-TSS + Passkey）+（EOA/SCA） Lit协议：（MPC-TSS +去中心化节点+ Passkey）+（EOA/SCA） · 结论要点：私钥是允许我们在以太坊上签署交易的核心，但私钥管理一直以来都是一场噩梦，即使是以“助记词”这种可读形式进行管理。然而，我们的目标从来都不是把区块链变成一个复杂的游戏。对授权用户进行身份验证对于安全的交易来说至关重要。随着互联网安全和用户体验的发展，我们已经从密码认证方式转向面部识别和指纹等生物识别技术。WebAuthn是这一进程中的一个关键发展。本文将详细探讨以下三个词语：（1）WebAuthn：这是一项使用通常由外部验证者创建的基于公钥凭证的web认证标准。它消除了密码需求，支持安全的用户身份验证。（2）Secure Enclave：Secure Enclave是计算设备内部基于硬件的安全区域，旨在保护敏感数据。Secure Enclave各版本适用于iOS、Android和Windows设备。它可以通过实现WebAuthn作为安全的验证器，但是绑定到Secure Enclave的私钥通常会带来跨设备操作的挑战。（3）Passkey：操作系统级别的WebAuthn部署，由各种设备和系统提供商定制。例如，苹果的Passkey使用存储在iCloud Keychain中的密钥进行跨设备同步。然而，这种方法通常只应用于特定的平台或系统。如上所述，WebAuthn部署与我们日常区块链用户的目标是一致的，以实现高水平的反网络钓鱼安全性和友好的体验。以下是将它们融入到区块链中的一点想法： · 密钥层：用户身份验证使用无缝的生物识别方法，如面部识别或指纹。从底层来看，它是基于硬件的安全处理器（如Secure Enclave）或云服务（如iCloud和Google Cloud）来处理密钥管理的。稍后我将深入讨论跨设备和跨平台方面的问题。 · 账户层：智能合约账户（SCA）具有分配任意签名者（如SE和Passkey）和阈值机制的能力。此外，其模块化设计增强了灵活性和可升级性。例如，SCA可以根据交易数量、时间或IP地址等因素动态调整其签名需求。另一方面，传统的外部帐户（EOA）可以使用MPC服务进行扩展，与SCA相比，这种组合提供了更好的互操作性和成本效益，但不具备SCA所提供的高级功能，尤其是密钥轮换。 · 签名层：以太坊原生支持k1曲线，但WebAuthn的签名验证会产生更高的成本，因为它使用r1曲线来生成密钥。因此，一些L2解决方案（如zkSync）计划进行原生EIP-7212 r1曲线预编译。此外，还有第三方服务、Solidity验证器、零知识（ZK）验证器和分布式密钥管理系统，以更经济高效的方式促进r1曲线签名。 1、加密用户体验很糟糕？密钥管理糟透了！在区块链领域，区块链资产的真正控制权并不在用户或钱包提供商手中，而是掌握在私钥手中。密钥是在以太坊上执行交易整个过程中最不可或缺的。为了更好地理解这一点，让我们以EOA为例： · 密钥生成：从secp256k1椭圆曲线中选择一个随机数作为私钥。然后将该密钥乘以曲线上一个预定义的点来生成公钥。以太坊地址来自公钥哈希值的最后20个字节。“助记词”通常用作人类可读的备份，从而实现私钥和公钥的确定性派生。 · 签署交易：使用私钥对包含nonce（序列号）、金额、gas价格和接收方地址等详细信息的交易进行签名。这个过程涉及到ECDSA，一种使用椭圆曲线加密的数字签名算法，采用secp256k1曲线，生成一个由（r、s、v）值组成的签名，然后将签名和原始交易广播到网络上。 · 验证交易：一旦交易到达以太坊节点，就会在节点的内存池中经历验证过程。为了验证签名者（signer），节点使用签名和散列交易来提取发送方的公钥，并通过将提取的地址与发送方的地址进行匹配来确认交易的真实性。如上所述，私钥是链上的基本实体。最初，被称为外部账户（EOA）的以太坊账户仅依赖于单个私钥，这存在重大风险，因为丢失密钥就意味着失去了对账户的访问权限。许多人可能认为账户抽象（AA）是解决所有糟糕的用户体验相关问题的方法，而我认为并不完全如此。AA是将有效性规则变为可编程的，而智能合约账户（SCA）的可编程性使其成为可能。AA功能强大，可以并行发送多个交易（抽象nonce），使用ERC20进行gas赞助和gas支付（抽象gas），并且与本文的主题更密切的一点是，可以打破固定的签名验证（抽象ECDSA签名）。与EOA不同，SCA可以分配任意签名者和签名机制，如多重签名（multisigs）或限定范围的密钥（会话密钥）。然而，尽管AA的灵活性和可升级性有所提高，但交易签名对密钥的基本依赖仍然没有改变。即使将私钥转换为12字的助记词，管理私钥仍然具有挑战性，存在丢失或网络钓鱼攻击的风险。用户必须在去中心化解决方案的复杂性和中心化服务的热情拥抱之间进行选择，但两者都不是很理想。为什么加密体验很糟糕？这在很大程度上是因为密钥管理很糟糕，总是需要在经验、安全性和去中心化方面进行权衡。本文将探讨密钥管理的潜在最佳解决方案。 2、密钥管理永远不会有一刀切的解决方案，保管密钥的最佳方法是针对特定的用户场景进行定制，受用户类型（机构还是个人）、资金量、交易频率和交互类型等因素的影响。提前澄清，我不会使用目前流行的“自我托管、半托管和完全托管”等字眼。在我看来，真正的自我托管意味着独立签署交易，而不依赖于另一方，即使解决方案不是传统意义上的托管（比如存储在去中心化节点的TEE中），这一点也适用。仅仅根据托管类型将解决方案分类为“好”或“坏”太过于简单，并且没有考虑到它们适用性的不同。要对密钥管理方法进行更细致的评估，我建议通过三个不同层面来进行分析：（1）责任是否将管理密钥的责任划分给不同方。鉴于个人在管理密钥方面常常面临着这样那样的挑战，分配密钥保管的责任就成为一种自然的风险缓解策略。这类方法包括使用多个密钥进行协作签名，如多重签名（Multi-sig）系统所示，以及通过秘密共享方案（SSS）或多方计算（MPC）将私钥分为多个部分（shares）。 · 多重签名（Multi-sig）：需要多个完整的私钥来生成交易签名。这种方法需要不同签名者之间进行链上通信，交易费用更高，并对隐私性具有一定影响，因为签名者的数量在链上是可见的。 · 密钥共享方案（SSS）：私钥在单个位置生成，然后被分为多个部分分发给不同的各方。各方必须重建完整的私钥以签署交易。然而，这种临时性重建可能会引入漏洞。 · MPC-TSS（阈值签名方案）：作为MPC的一种实现，MPC-TSS是一种加密方法，使多方能够在保护其输入整体隐私性的情况下进行计算。每一方都独立地创建一部分密钥（share），并且各方不需要实际见面就可以签署交易。这种方法费用较低，因为是链下操作，并且不存在密钥共享方案的单点故障风险。（2）存储存储密钥或部分密钥，受安全性、可访问性、成本和去中心化因素的影响。 · 中心化云服务，如AWS、iCloud及其他服务器。它们便于频繁交易，但更易受审查。 · 去中心化存储，如IPFS和Filecoin。 · 本地计算机/移动设备：密钥本地存储在浏览器的安全存储中。 · 纸钱包：打印出私钥或二维码。 · 可信执行环境（TEE）：TEE在主处理器内提供了一个安全区域，独立于主操作系统执行或存储敏感数据。 · Secure Enclave：现代设备上的Secure Enclave独立于主处理器，以提供额外的安全性，即使在应用程序处理器内核受到威胁时，也可以保护敏感用户数据的安全。 · 硬件钱包：像Ledger和Trezor这样的物理设备，专用于安全存储私钥。 · 硬件安全模块（HSM）：HSM是专为安全密钥管理和加密操作设计的硬件设备。它们通常用于企业环境，提供高级别的安全特性。（3）访问如何验证用户身份以访问存储的密钥？访问存储的密钥需要进行身份验证，验证试图访问的个人是否确实被授权进行访问。回顾过去，我们可以将访问方式分类如下： · 你所知道的：密码、PIN（个人识别码）、安全问题的答案或特定图形。 · 你所拥有的：智能卡、硬件代币（基于时间的一次性密码）、或数字因素（如社交账户验证和发送到手机的SMS短信代码）等。 · 你的身份：用户独特的身体特征，如指纹、面部识别（如苹果的Face ID或Windows Hello）、语音识别或虹膜/视网膜扫描。在此基础上，2FA和MFA是将两种或多种因素相结合的方法，如结合SMS的推送通知，可以为用户帐户带来更大的安全性。 3、现有玩家分析 MetaMask允许用户使用密码访问保存在用户本地浏览器存储中的密钥。 Trust Wallet允许用户使用密码或faceID访问保存在用户本地浏览器存储中的密钥，用户也可以选择云服务来备份私钥。 Privy允许用户使用电子邮件等多种社交登录方式，使用SSS方案将密钥分成三部分：设备部分：浏览器——iFrame，移动端——Secure Enclave。 Auth认证部分：由privy存储，链接到privy ID。 Recovery恢复部分：用户密码或经Privy加密存储在HSM硬件安全模块中。 Particle允许用户使用社交登录，使用MPC-TSS方案，将密钥分为两部分：设备部分：浏览器——iFrame。服务器密钥部分：Particle的服务器。 4、新解决方案（1）密钥层：WebAuthn、Secure Enclave和Passkey 上述现有的解决方案在吸引用户关注web3方面起到了关键作用。然而，它们通常会带来一系列问题：密码可能会被遗忘或成为网络钓鱼攻击的目标，甚至是2FA虽然更安全，但由于其步骤繁琐，可能会很麻烦。此外，并不是每个人都愿意委托第三方进行密钥管理的。这就让我们思考是否有更有效的解决方案——提供最接近无需信任、高安全性和无缝用户体验的解决方案。这引导我们找到最优的web2方法。正如我在文章开头所描述的，有几个词语与该主题密切相关，WebAuthn是身份验证标准，而Secure Enclave和Passkey是与该标准相关的部署或组件。 WebAuthn WebAuthn规范了对基于web的应用程序进行用户身份验证的接口。它允许用户使用外部验证器而非密码登录互联网账户。验证器可以是漫游验证器（Yubikey、Titan key）或平台验证器（Apple设备上的内置keychain）等等。 FIDO （Fast IDentity Online）联盟是WebAuthn背后技术的最初开发者。它于2019年3月被W3C正式宣布为网络标准，随着其标准化发展，Google Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari等主要浏览器都采用了WebAuthn，大大提高了其覆盖范围和可用性。现在许多先进的设备都支持WebAuthn。 WebAuthn的好处： · 增强的安全性：消除对密码的依赖，减少网络钓鱼、暴力破解和重放攻击相关漏洞。 · 优化的用户体验：提供更简单、更快速的登录过程，通常只需要一次点击或生物识别验证就可登录。 · 隐私保护：在身份验证过程中不会传输共享秘密内容，个别网站也不会接收到任何个人身份信息。 · 可扩展性和标准化：作为一种web标准，WebAuthn确保了不同浏览器和平台之间的一致性和互操作性。 Secure Enclave，基于设备的WebAuthn 现如今，我们可以使用硬件处理器作为身份验证器，如Apple设备的Secure Enclave、Android的Trustzone和Google Pixel的Strongbox。 · 密钥生成：使用公钥加密，根据WebAuthn标准生成密钥对，通常使用P-256 r1曲线。公钥被发送给服务，而私钥永远不会离开Secure Enclave。用户永远不会处理纯文本密钥，这使得私钥很难被泄露。 · 密钥存储：私钥安全地存储在设备的Secure Enclave中，这是一个与主处理器隔离的强化子系统。它保护敏感数据安全，确保即使主系统遭到破坏，原始密钥材然无法访问。破解Secure Enclave的门槛非常高，因此即使是最敏感的数据类型，如Apple Pay和FaceID数据都存储在其中。下图是对Secure Enclave工作原理的深入解释。 · 身份验证：用户使用面部识别或指纹获得访问权限，Secure Enclave使用私钥对来自服务的挑战进行签名，服务使用公钥进行验证。基于设备的WebAuthn的优点： · 硬件级安全性：Secure Enclave（一个独立的基于硬件的密钥管理器）提供额外的安全性。 · 防网络钓鱼：不要在可能受到威胁的设备或网站上输入任何信息。 · 便捷的体验：更加人性化的体验，用户不再需要记住不同网站的复杂密码。基于设备的WebAuthn的缺点： · 设备限制：如果设备丢失或损坏，私钥无法导出或恢复，不能跨设备操作。 Passkey，基于云的WebAuthn 为了解决跨设备功能的挑战，科技巨头已经推出了基于云的WebAuthn部署，Passkey因为苹果而被广泛熟悉。让我们以苹果的Passkey为例： · 密钥生成：用户的macOS、iOS或iPadOS设备作为验证器，在用户创建帐户时生成公私钥对。然后将公钥发送到服务器，私钥存储在设备的iCloud keychain上。iCloud Keychain数据使用硬件绑定密钥对加密，并存储在硬件安全模块（HSM）中。苹果公司无法访问该密钥。 · 跨设备同步：此过程与访问iCloud相同。通过iCloud帐号认证，接收SMS短信码，然后将密码输入其中一台设备。基于云的WebAuthn的优势： · 跨设备：密码设计便捷，并且可以通过所有经常使用的设备访问。但目前仅限于苹果设备，对于Android来说更具挑战性，因为Android版本和硬件种类繁多。 · 防网络钓鱼：同上。 · 便捷体验：同上。基于云的Passkey的缺点： · 依赖云服务：与基于设备的WebAuthn相比，基于云的密钥将安全级别从Secure Enclave的硬件转移到了iCloud keychain，有些人可能会认为它托管在你的云服务上。需要考虑的一些关键方面包括：用户使用iCloud的AppleID账户是否被泄露；虽然iCloud Keychain采用端到端加密来保护数据安全，但操作错误或漏洞会招致风险。 · 平台限制：例如，在Android设备上使用基于iCloud的密码是极具挑战性的。此外，与传统方法不同，苹果和谷歌不发送特定于设备的断言（assertions）。这意味着目前无法验证生成密钥的设备类型，这引发了对密钥及其相关元数据的可靠性的质疑。（2）账户层：智能合约账户（SCA）和外部账户（EOA）到目前为止，我们可以看到在处理跨设备和跨平台兼容性的同时维护硬件级安全性是有很大难度的。同样重要的还有社交恢复选项，例如增加多个守护者（guardians）以增强安全性。在这种情况下，区块链可以向我们展示一条道路。当我们尝试将web2 WebAuthn部署到web3时，一个显著的差距是：web2只需要证明所有权，而web3还需要同时授权交易。使用Passkey，开发人员无法控制签名信息，签名信息通常是通用的，比如“sign in”。这可能导致潜在的前端操作问题，即用户盲目地签署消息——这是一个看似微不足道但至关重要的问题。智能合约账户（SCA）本身就是智能合约，作为链上实体，它能够分配任意签名者。这种灵活性允许对各种设备和平台的编程，例如将Android手机、Macbook和iPhone设置为签名者。此外，模块化智能合约账户还支持升级，交换新的签名者，将签名阈值从2/3更改为更复杂的配置。设想一个基于背景情况调整其安全需求的钱包：当用户在熟悉的本地IP地址上时，它支持单签名者身份验证，但对于来自未知IP地址或高于一定值的交易，它就需要多个签名者了。有了模块化和可编程性，创新的唯一限制就是我们的想象力了。许多SCA服务提供商正在积极建设该领域，包括Safe、Zerodev、Bionomy、Etherspots、Rhinestone等。同时也要感谢Stackup、Plimico、Alchemy等基础设施让这一切成为可能。 EOA可以通过MPC服务实现社交恢复和跨设备/平台兼容性。尽管EOS有固定的签名者，但MPC提供商可以将密钥分为多个部分，以增强安全性和灵活性。这种方法不具备SCA的可编程性和可升级特性，例如时间锁恢复以及轻松停用实现密钥。然而，它仍然通过链无关特性提供优越的跨链功能，并且目前比SCA更具成本效益。著名的MPC提供商有Privy、Particle Network、web3Auth、OKX钱包、币安钱包等。（3）签名层：R1支持让我们退一步来理解：在以太坊上，私钥是从k1曲线中选择的随机数，签名过程也利用了这条曲线。但是，根据WebAuthn标准生成的密钥对使用的是r1曲线。因此，在以太坊上验证r1签名的成本大约是k1签名的三倍。下面是解决这个问题的一些方法：协议解决方案： · 解决方案：EIP7212，预编译支持secp256r1曲线，由Clave团队提议。 · 评估：该提案创建了一个预编译的合约，该合约通过给定的消息哈希值参数、签名的r和s分量以及公钥的x、y坐标在“secp256r1”椭圆曲线中执行签名验证。因此，任何EVM链——主要是以太坊rollup——都能够轻松地集成这个预编译合约。到目前为止，协议预编译可能是最省gas费的解决方案。 · 实现：zkSync 第三方服务： · 解决方案：Turnkey · 评估：Turnkey TEE确保私钥只能由用户通过他们的PassKey访问，而不能由Turnkey访问，但是这仍然需要服务的活跃性。 · 实现：Goldfinch Solidity Verifier解决方案： · 解决方案：FCL的Solidity Verifier，FCL带预计算的Solidity Verifier，Daimo的P256Verifier。 · 实现：Clave、Obvious Wallet 零知识（ZK）Verifier： · 解决方案：Risc0 Bonsai、Axiom的halo2-ecc · 评估：这种方法使用零知识证明来验证以太坊虚拟机（EVM）之外的计算，从而降低链上计算成本。 · 实现：Bonfire钱包（Risc0）、Know Nothing Labs（Axiom）这些解决方案每一个都提供了一种不同的方法，以在以太坊生态中实现更便宜可行的r1签名验证。 5、部署案例研究（1）Clave钱包：（Secure Enclave webAuthn）+（SCA）基本信息： · Demo: https://getclave.io/ · 账户：SCA · 链：ZkSync 交易流程： · 密钥创建：用户提供生物识别认证，如指纹或面部识别，密钥对在Secure Enclave内生成，永远不会泄露或离开外面。 · 密钥签名：该应用程序接收所需的交易消息并将签名请求转发给Secure Enclave，用户提供生物认证来批准签名，Secure Enclave使用该密钥签名消息，并广播到区块链节点。 · 额外功能：智能合约账户支持许多强大功能。首先是gas赞助。使用paymaster，dApp或广告商等其他方可以为用户支付gas费，使交易过程更加顺畅，并且他们还可以允许用户使用ERC20而不是Ether或本地代币支付gas费。使用会话密钥，用户可以在一段时间内进行无签名交易。恢复机制：恢复过程是由Clave在zkSync上的智能合约进行的，用户可以在48小时的时间锁定内取消恢复，以防止未经授权的恶意活动。 · 云备份：当用户选择云备份时将创建一个EOA账户，EOA的私钥存储在iCloud或Google Drive中，用户可以使用该云存储的私钥从不同的设备访问他们的帐户，并且用户可以随时删除或覆盖此备份。 · 社交恢复：用户可以指定自己的家人或朋友的clave地址作为备份，如果M或N名守护者进行恢复确认，如果恢复请求未取消，将在锁定48小时后执行恢复。（2）Soul钱包：（Passkey）+（4337 SCA）基本信息： · Demo：https://alpha.soulwallet.io/wallet · 账户：ERC4337 SCA · 链：Ethereum、Optimism、Arbitrum，即将全面支持EVM L2。交易流程： · 密钥创建：用户提供指纹或面部识别等生物识别认证，操作系统生成Passkey并使用云服务进行备份。可以跨设备、跨平台添加多个密钥。 · 添加守护者（可选）：用户可以为不同的EVM EOA地址指定守护者，并设置账户恢复阈值。 · 帐户生成：用户在首次交易之前不需要支付任何费用。恢复机制： · Passkey：使用定义的Passkey从任一设备上登录钱包。 · 守护者恢复：指定的守护者可以根据阈值轮换钱包，并且可以稍后解决时间锁定问题，以防止恶意行为。（3）OKX钱包：（MPC-TSS + Passkey）+（4337 SCA）基本信息： · Demo：https://www.okx.com/help/what-is-an-aa-smart-contract-wallet · 链：30+链 · 密钥：MPC-TSS，2/3 · 账户：4337 SCA 交易流程： · 密钥创建：通过创建钱包，OKX将单个私钥分为三个单独的部分。一部分存储在OKX服务器上，一部分保存在用户设备的本地存储上，还有一部分由设备生成，经过加密，可以备份到设备首选的云服务，如Google Could、iCloud和Huawei Cloud。 · 密钥签名：OKX使用MPC-TSS技术，用户在签署交易时使用三部分私钥中的两部分就可以获得完整的签名。恢复机制： · 2/3机制：当用户登出、设备不可用或设备上的某个密钥被泄露时，可以使用新的设备登录OKX钱包（获得服务器存储的密钥）并获得云服务存储的密钥，使用这2部分密钥恢复钱包，OKX钱包将生成新的各部分秘密。（4）Web3Auth：（MPC-TSS + Passkey）+（EOA/SCA）基本信息： · Demo：https://w3a.link/passkeysDemo · 链：全部EVM和Solana链 · 密钥：MPC-TSS，通常为2/3 · 账户：任何EOA、4337 SCA账户或常规SCA账户交易流程： · 密钥创建：通过创建钱包，生成了三部分密钥。一部分是社交登录密钥，用户可以输入他们的电子邮件，并且有一个去中心化节点网络为每个用户存储密钥；一部分是保存在用户设备本地存储上的设备密钥；一部分是由本地计算机生成，并通过用户首选的云服务进行备份的密钥。 · 密钥签名：Web3Auth MPC-TSS架构确保用户的密钥始终可用，即使使用阈值签名，密钥也不会重构或存储在单个位置。恢复机制： · 阈值恢复：当用户登出、设备不可用或设备上的某个密钥被泄露时，你可以使用社交登录方式登录webAuthn帐户并获取云存储部分密码，使用这两不分密码恢复钱包。（5）Lit协议：（MPC-TSS +去中心化节点+ Passkey）+（EOA/SCA）基本信息： · Demo：https://lit-pkp-auth-demo.vercel.app/ · 链：大部分EVM、Cosmos、Solana链。 · 账户：MPC-TSS、可被SCA和EOA采用。交易流程： · 密钥创建：当用户想要创建钱包时，首先选择验证方法（支持passkey、oAuth社交登录），然后发送请求给relayer中继器创建密钥对并将验证逻辑存储到智能合约中。每个密钥对由Lit节点通过分布式密钥生成（DKG）的过程共同生成。作为一个去中心化的网络，TEE内部运行30个Lit节点，每个节点都持有一部分密钥，但私钥永远不会全部存于TEE中。 · 密钥签名：接收请求后，Lit节点根据指定的身份验证方法独立验证或拒绝请求，并使用MPC-TSS技术。密钥收集超过阈值（30个中的20个）时生成签名，并由客户端结合使用密钥以满足请求。恢复机制： · 2/3机制：使用智能合约中存储的认证方法访问账户，Lit节点对请求进行验证，如果超过2/3的节点确认，则继续处理请求。 6、结论在L2、L3和数据可用性解决方案的热情推动下，我们热衷于提高区块链的性能。我们同时也追求真正的安全，将零知识证明隐私与透明性相结合。所有的努力都朝着一个目标：为那些经常与区块链互动的真实用户做好准备，并将加密技术应用到他们的日常生活中。我们很容易困在一个理想的技术梦里，但我们必须问这样一个问题：我们的目标是达成什么样的体验？我们设想一个世界，在这个世界里，加密很容易被理解，而非一堆堆令人生畏的技术术语，在这个世界里，用户可以毫不迟疑毫不费力地跳进兔子洞。想象一个用户Rui：她发现了一个很棒的dApp，使用面部识别或指纹轻松完成注册，并可以选择设置备份或守护者。她使用该dApp顺利地执行交易，可能只收取少量的ERC20费用，甚至根本不收取任何费用。之后，她自定义钱包设置——可能是为自动交易激活时间锁，添加另一个设备作为备份签名者，或者是修改她的守护者名单。我们的建设者让这一切成为可能。将WebAuthn和Passkey结合，我们增强了私钥管理，使其既安全又方便。在此基础上，SCA作为一个实体开启了个性化安全和功能的领域。至于gas费？借助Paymaster，提供商可以为swap交易创建一个“金库”，甚至允许广告商为用户支付费用，这些交易变得不那么麻烦了。这一演变的核心，特别是对于以太坊主网及其等效L2来说，就是ERC4337。它引入了另一种内存池，可以将SCA交易与EOA分离，而无需对协议进行重大修改。另一方面，一些L2网络甚至原生采用SCA，将它们无缝集成到系统中。要使一切变得简单，需要付出巨大的努力。存在方方面面的挑战，比如降低SCA的部署、验证和执行费用；标准化接口，增加账户互操作性；跨链同步账户状态，等等。感谢所有的建设者们，让我们一天比一天更接近成功。来源：金色财经

金色财经2023-12-12

24小时热点