🐡编辑思语
V神也出书了,传捐赠能得潜在空投?
🔹重点关注
V神 提醒:
虽然以太坊合并是在 9 月 10 日至 20 日左右,信标链硬分叉却是在 9 月 6 日。
确保在此之前更新您的客户端!
V神 发布:
将在一个月内出版 “股权证明” 的书籍,透过捐赠可获得签名的电子副本和不可转移不可卖的 NFT。
这本(实体和电子)书汇集了我在过去约 10 年中所做的各种著作,将在一个月内出版!查看和登记: https://proofofstake.gitcoin.co
收益份额全部用于@gitcoin 赠款公益事业!
SBF 澄清:
没有收购火币的计划。
只是为了澄清,因为很多人都这么传:
不,我们不打算收购火币。
🔸报导及数据
比特币恐惧与贪婪指数为 23 - 极度恐惧 当前价格:20,320 美元
以太坊恐惧与贪婪指数为 32 ~ 恐惧 当前价格:1,594 美元
大局:
美国财政部、美国证券交易委员会、美国商品期货交易委员会和美国联邦贸易委员会分别被问及是否应将加密资产视为商品、证券或两者兼而有之。
韩国港口城市釜山与加密货币交易所@FTX_official签署了一项“商业协议”,以在未来几个月带头开展几项以区块链为重点的工作。
英国政府在 4 月要求英国硬币制造商@RoyalMintUK开发 NFT 收藏品。业内人士表示,这些应该提供诸如参加特殊活动甚至与女王共度时光等特权。
伊朗批准将 Bitcoin和加密货币用于进口和贸易商品。
巴拉圭总统否决提议加密行业监管。
国会议员呼吁加密货币交易所和监管机构对加密货币中的欺诈和诈骗负责。
MorganStanley 表示,随着美元稳定币市值再次收缩,加密货币量化紧缩的暂停并没有持续多久。
FBI 在漏洞利用中向 DeFi 投资者发布建议。
行业:
以太坊创始人 Vitalik Buterin 说他将在一个月内发布一本 “股权证明书”。
风险投资公司@a16z为 NFT 创建了自己的许可制度,旨在帮助创作者轻松决定如何处理其作品的知识产权。
2022 年 8 月,OpenSea(以太坊)的月度 NFT 交易量下降了 7.2%,从 5.28 亿美元降至 4.9 亿美元,为 2021 年 7 月以来的最低交易量。
比特币挖矿难度跃升 9.26%,创 1 月以来最大增幅。
Curve 创始人表示“有可能”crvUSD 稳定币将于下个月推出。
Pantera 为创作者拥有的直播平台 Stacked 领投 1300 万美元融资。
GoGoPool 筹集 500 万美元用于在 Avalanche 上提供去中心化质押。
Arbitrum 通过将 Arbitrum One 迁移到 Nitro 来实现其最大的扩展升级。
Helium 开发人员提议完全迁移到 Solana 区块链。
协议升级意外冻结了 Compound 上的 ETH 7 天。
Luabase 筹集了 450 万美元,让区块链数据更容易、更便宜。
[Main Sources: CoinDesk, Bitcoin News, Cointelegraph, Blockworks, The Block, Delphi Digital, Messari, NansΞn, CryptoRank Platform, Bitcoin Magazine]
🔹推荐文章
跨链桥一年的漏洞以及彩虹桥的不同 - Ally Zach
文章重点
在过去的一年里,由于智能合约代码中的漏洞、多重签名泄露或后端漏洞利用,通过桥接器从更大的 DeFi 生态系统中窃取了超过 20 亿美元。
跨链桥使数据(主要是代币资产)在区块链之间传输,以利用更大的流动性,在成本和交易最终性方面建立更好的用户体验,并通过在整个区块链上分配交易负载来减少主链拥塞。更大的生态系统。
NEAR 的 Rainbow Bridge 凭借其独特的基础设施和预防策略,在过去一年中成功缓解了两次攻击。
过去一年,整个去中心化金融 (DeFi) 生态系统被盗超过 30 亿美元,其中超过 ⅔ 的被盗价值来自桥接黑客。为了使 DeFi 发展成为一个可信且安全的生态系统,需要减轻该空间内的漏洞。本报告深入探讨了网桥的工作原理、过去一年发生的黑客攻击类型,以及特别是一个网桥如何能够缓解两次单独的攻击尝试。
桥接基础
跨链桥使数据(主要是代币资产)在区块链之间传输,以利用更大的流动性,在成本和交易最终性方面建立更好的用户体验,并通过在整个区块链上分配交易负载来减少主链拥塞。 更大的生态系统。
跨链桥的去中心化程度各不相同。 在受信任或更中心化的设置中,跨链桥的安全性来自监督其操作的指定方。 在信任最小化或更分散的设置中,桥从底层链的验证者和操作桥的算法中获得安全性。
大多数 2 路桥使用 lock 和 mint 以及 burn 和 mint 模型的组合。为了将资产从一个生态系统转移到另一个生态系统,用户将他们的代币存入原始链上的智能合约中。然后在目标链上铸造等量的资产并提取给用户。为了转移回原始生态系统,用户将铸造的资产存入目标链上的智能合约中。然后这些资产将被烧毁,原始资产将在原始源链上发布。这种方法可确保在所有平台上持续供应代币。
过去一年的漏洞
跨链桥对黑客来说是一个有吸引力的目标。数百万美元的代币不仅被锁定在一个中心位置,而且通过跨多个链运行,跨链桥增加了它们潜在的故障点。所有前面提到的跨链桥抢劫案都属于以下三类之一:
后端漏洞利用
多重签名妥协
智能合约漏洞/执行错误
后端利用:
后端漏洞利用或 Web2 攻击向量意味着攻击者针对的是用户而不是网桥本身。在 BadgerDAO 的案例中,黑客利用他们的网络托管服务提供商 Cloudflare 生成了三个具有 API 权限的独立帐户。通过通过 API 将恶意脚本集成到协议中,黑客诱使桥接用户签署代币批准调用,代表他们转移资金。这些资金随后被清算并通过 Badger 桥退出。
在这种特殊情况下,BadgerDAO 团队很难单独缓解攻击,因为漏洞在于第三方。除了选择更可靠的服务提供商外,桥的用户在给予无限代币批准时需要更加谨慎。
多重签名妥协
泄露的私钥导致了迄今为止最大的 DeFi 抢劫,即 Ronin 桥黑客攻击。具有讽刺意味的是,黑客攻击可能是最容易缓解的攻击媒介。通过有针对性的鱼叉式网络钓鱼策略,黑客能够访问大多数验证者私钥。在 Ronin 桥的案例中,Sky Mavis 的一名员工在不知不觉中下载了恶意软件,使攻击者能够访问相关的 IT 基础设施。从那里,他们能够轻松地偷走九个中的五个私钥。在一次类似的网络钓鱼攻击中,一名不良行为者获得了 Harmony 的 Horizon 桥的内部工作,并耗尽了锁定的桥的资金。
在这两种情况下,如果私钥存储得更安全或网桥具有更高程度的去中心化,攻击本可以很容易地被阻止。可以说,更多的验证者节点分布在不同平台上可以阻止攻击。为了应对这些抢劫,Sky Mavis 已将 Ronin 验证器的门槛从 5 提高到 8,而 Harmony 已经建立了一个安全运营团队来打击前端的抢劫。
一般来说,受信任的网桥比不信任的网桥更不去中心化且安全性更低,因为它们依赖于外部验证者。鉴于这些事件,更多信任最小化桥梁的开发和使用可能会增加。
智能合约漏洞
在所有 DeFi 抢劫中,最常见的利用类型是通过智能合约代码中的漏洞。漏洞的类型因协议而异,通常取决于现有的基础设施。以下是以这种方式攻击不同跨鏈橋出现问题的分別:
PolyNetwork:通过其中一个智能合约中的错误,黑客能够调用他自己的智能合约来重置跨鏈橋上的中继器名称。 从本质上讲,他用自己取代了所有四个跨鏈橋中继器,成为跨鏈橋的唯一守护者。
Multichain:Multichain 团队发布公告,指示用户撤销钱包批准,因为他们注意到他们的一个智能合约中有一个未使用的功能的错误。所述功能将允许不良行为者在没有有效签名的情况下将其个人合同作为转移目的地传递。看到此公告后,黑客利用此确切漏洞从用户帐户中提取资金
Qbridge:由于存款功能的逻辑错误,黑客能够在没有触发预设故障保护的情况下输入恶意数据。然后,他们在不提供押金的情况下,在桥的一侧铸造了无抵押资产。
Wormhole:Wormhole 桥有一个 “监护人” 网络,通过观察和证明事件来保护桥免受恶意行为者的侵害。在功能升级后,黑客能够欺骗监护人签名来批准交易。
Meter's Passport:预先存在的功能允许自动包装和打开原生代币。本质上,打包的原生代币不需要被烧毁或锁定即可转移,因为它们在技术上已经解包。黑客利用此功能来模拟桥上的传输,通过对代码的不正确信任假设来铸造资产。
Nomad:由于智能合约更新实施不善,未能正确验证交易输入,一名用户能够从不属于他们的网桥中提取资金。成千上万的其他用户复制了原始攻击者的通话数据,用自己的地址进行了修改,然后开始排空网桥。
在过去的一年中,有针对性的智能合约盗窃是按被盗价值计算的最大黑客类型,包括非桥接 DeFi 盗窃。在大多数情况下,这种攻击向量很难缓解。大规模应对这些风险将需要更强大的安全审计,并代表开发人员更加关注细节。跨鏈桥的设计需要充分了解它们存在很大的攻击风险。
大规模的抢劫往往会在加密货币领域引起相当多的关注。每一次黑客攻击都是关于如何保护一个相当幼稚和不断发展的生态系统的教训。在过去的几个月中,彩虹桥凭借其独特的基础设施和预防策略,已经能够缓解两次单独的攻击尝试。
彩虹桥 Rainbow Bridge
彩虹桥在以太坊主网与 NEAR 和 Aurora 网络之间转移资产。自推出以来,价值超过 28 亿美元的资产已通过这座桥转移。查看源自以太坊的桥梁,目前超过 85% 的传输量发生在以太坊与 Polygon、Arbitrum 和 Optimism 之间。彩虹桥目前约占总价值锁定市场份额的 6%。
在高层次上,彩虹桥是一个无需信任、无需许可的双向桥,它继承了以太坊和 NEAR 网络的安全性。从表面上看,这座桥的基础设施采用了典型的锁定和铸造模型。有四个附加组件为桥提供功能:
中继:ETH2NEAR 和 NEAR2ETH 中继是网桥的消息传递协议。他们将相关信息从相应的链中继到相应的客户端。由于网桥是无需信任的(没有预先批准的中间人来传输消息),因此任何人都可以与协议进行交互。
轻客户端:轻客户端代理实现专注于通过少量计算跟踪其相应链的状态。计算和数据处理是如此之小,以至于它们可以在智能合约中运行而不会影响成本或效率。 ETHonNEAR 客户端是在 Rust 中作为 NEAR 智能合约实现的以太坊轻客户端。同样,NEARonETH 是在以太坊上以 Solidity 实现的 NEAR 轻客户端。
证明者:证明者负责验证特定的密码信息。它们与相应的轻客户端分开实现,以实现可扩展性、增强的特异性和分离操作的关注点。
看门狗:NEARonETH 轻客户端验证除验证器签名之外的所有标头数据。它采用了一种乐观的方法,假设所有签名都是有效的,除非另有证明。这就是看门狗进来的地方。有一个 4 小时的挑战窗口,预先批准的看门狗可以对签名数据提出异议。
如前所述,彩虹桥是无需信任和不需许可的。任何人都可以在未经许可的情况下与智能合约交互或部署、维护或使用桥接器。此外,用户只需要信任 NEAR 和 Ethereum 网络的安全性;没有额外的验证者来监督桥上资产的流动。
在两个不同的场合,黑客试图以完全相同的方式利用彩虹桥。他们充当中继者,向 NEARonETH 客户端发送无效数据,试图从网桥中提取资金。该交易已成功提交到以太坊网络,需要 5 ETH 的保险箱。在漏洞利用尝试不到一分钟后,自动看门狗就对恶意交易提出了质疑,不仅减轻了攻击,而且还导致攻击者损失了他们的存款。
NEAR 团队在设计这座桥时假设它会受到攻击。他们完全避免了集中故障点(本地网桥验证器)带来的额外风险,并实施了自动缓解系统(看门狗)来保护网桥免受攻击。此外,桥接器定期接受审计以验证功能,要求用户存款以阻止他们攻击系统,为团队提供自动警报系统,并运行频繁的漏洞赏金计划以补偿那些发现他们没有发现的漏洞的人。
总体而言,由于其自动检查系统和团队对细节的关注,彩虹桥的安全级别有所提高。跨链桥是去中心化的:没有可以泄露密钥的中心化运营商。然而,这并不意味着这座桥是完全防黑客的。随着任何即将到来的升级,开发人员需要确保所有代码简洁、高效和安全,以防止任何智能合约漏洞。
最后的想法
更大的加密生态系统可能会演变为一个多链世界,没有一个单一的区块链会统治所有这些世界。互操作性对于实现这一目标至关重要。跨链桥不仅有助于消除孤立的生态系统,还提供更大的流动性、更好的用户体验并减少个人网络拥塞。
跨链桥对于不良行为者来说是有吸引力的目标,需要在设计时考虑到这种风险。更高程度的去中心化和更细心的开发人员监督是两个有助于防止未来攻击的解决方案。包括彩虹桥背后的团队在内的开发人员还实施了更强大的安全措施、阻止漏洞利用的赏金计划和系统审计,以确保桥上资金的安全。为了让 DeFi 发展成为一个可信的生态系统,需要减轻桥梁中的漏洞。
-
🔸各种情报及讨论
Doug Colkitt 认为:
在现今的通用链上未能使链上订单簿的经济可持续发展。目前 TradeFi的有机比率太低,即使费用便宜也没有意义。
作者认为唯一的解决方案是具有应用感知定价的特定于订单簿的应用链。通用链无法盈利地托管订单簿。
问题归结为需要专家进行大量 “再平衡活动” 以创建有效市场并为有机用户提供可靠流动性的订单簿。
在现代 TradFi 中,HFT 消息传递与有机活动的比率至少为 25:1。 这意味着与 AMM 不同,流动性提供者通常执行的交易少于交换者,订单簿需要巨大且恒定的交易吞吐量才能有效运作。
所以,我们只需要制作一个具有廉价交易的超可扩展区块链,就可以了吗?但这会给链条本身的经济性带来问题。 L1 代币的增值依赖于从自然用户那里提取有意义的费用。我们中的许多人(包括作者在内)曾经认为区块空间供应创造了自己的需求。弥补数量上的廉价交易。我们错了。
加密货币现在充斥在“黑暗区块空间”中。除了 Eth,绝大多数可用的块空间都没有使用。即使是 BSC,其过度活跃,也只占其空间的 18%。现实是需求非常有限。降价低于 0.02 美元不会导致边际有机需求。
在当前环境下,对于有机用户而言,具有低于便士交易的链根本无法为代币持有者带来有意义的价值增值。 (至少在市场找到激进的新方法来提高区块空间需求之前。)
这就是为什么 Solana 尽管拥有令人惊叹的技术,但仍在使用一种极其破碎的价值应计模型。对于商业模式来说,费用*太便宜*没有意义。Sol 执行了大量的交易,但每天只收取 6000 美元的费用。与 Fantom 差不多。
当前的模型甚至不足以为验证者支付托管费用。更不用说保护价值数十亿美元的网络了。
解决方案表面上很简单。将费用提高 50 到 1 美分左右。一百分之一的自然用户甚至都不会注意到。
非常痛苦的部分是它需要破坏根深蒂固于其生态系统核心的订单簿应用程序。绝大多数 Solana 交易不是有机的,而是做市商、机器人和预言机更新,它们可以保持订单簿的流动性和效率。这些配角中没有一个可以在每笔交易接近一美分的情况下保持盈利。
这归结为为什么链上订单簿从根本上被破坏了。为了实现价值增值,L1 需要比高频交易和做市商能够承受的更昂贵的交易。
CEX 通过明确区分有机流量和高频交易流量的价格来避免这种情况,对前者的收费要低得多。但是与应用程序无关的链上 VM 甚至几乎看不到市场订单(在 CEX 中非常昂贵)和限制取消(在 CEX 中几乎总是免费)之间的任何区别。
这就是为什么作者相信链上订单簿可以在应用链环境中实现可持续经济。
这是因为 L1 费用可以具体反映订单簿经济学的微妙之处。例如,为进行大量陡峭 Gas 费折扣的 HFT 提供服务。
Jason Choi 表示:
在分析加密货币领域时,需要同时兼备长短时间框架的视野。
看到年轻分析师在加密货币领域最常见的问题是理解时间框架。
两者都只需要回答一件事 - 在 X 时间范围内,代币的需求是否会超过供应。
X 会影响一个人的关注点。
对于交易者来说,时间框架较短。需求的驱动力是投机者,他们受叙事驱动。清算、流动性、市场结构等变得越重要,时间越短。
对于投资者来说,时间框架更高。需求的驱动力是由效用驱动的用户。时间越长,技术理解、业务层面的战略思维等就越重要。
这些是根本不同的技能组合。
一些在大基金中经营流动性书籍的鲸鱼/人无法解释汇总是如何工作的。同样,一些最好的 VC 也不了解融资率和 OI。
当分析师投球时:
因项目技术优越而进行的短期交易;或
风险投资,因为生态系统/垂直领域很热门
他们通常会遇到问题。
这种策略漂移甚至会影响投资老手,而且在很多情况下,交易员和风险投资人都在投资和持有相同的资产,因此难度倍增。我看到的越多,我就越相信这两种技能/所需的气质存在于光谱的两端。有分析师/投资者能够站在两者之间,但我可以数得出他们。
一篇中文圈分析庞氏骗局的进化历程,从美元、中国房地产、养老金、到比特币。
🔹NFT & GameFi相关
Delphi Digital 游戏部门发布:
Free-to-Own(免费拥有)- 挑战以一种全新的 web3 模型,改变游戏的盈利模式。
有三个方面:
(1)社区免费开始。
没有创建等级的白名单等。
没有预付“收入”。 (实际上是从web3利益驱动的玩家那里获得投资)
免费开始项目可以避免类似骗局的行为:
卖出,然后无法交付。 (激励都离开)
您将粉丝转变为即将到来的游戏的最佳拥护者。
(2)他们获得的 NFT 归他们所有。
这是一个经典的论点:玩家在拥有 NFT 时会投入更多。
但更好的是,这些 NFT 代表了游戏背景下的一些经济效用。
它提供了正确的激励机制,因为团队在 NFT 中获得了奖励,因此,他们正在推动与原始 NFT 的所有经济相关性。
(3)那些 NFT 是产生新 NFT(用于游戏、化妆品)的工厂。
稀缺和生产。
拥有工厂 NFT 可以让游戏经济设计师更灵活地在不同季节进行平衡,将游戏整体经济增长的收益推给工厂 NFT 持有者。 它变成了平衡价值流动的练习,而不是暴跌保护。
Leydon 说,“对于免费游戏,开发者在黑暗中制作游戏的时间很长,他们不知道人们会做什么。他们发布它并希望人们花钱。”
这正是作者作为第一手 web3 游戏构建者所学到的。尽早发货并获得反馈。
本文章仅代表原作者观点,纯参考及学习用途,不构成任何投资建议或意见。
LOL Capital 是一家专注于加密货币、元宇宙的投资公司。我们的成立宗旨是开展一段crypto世界有趣且兴奋的旅程,真正做到 “experience to earn”。 LOL 可以从资本、社群、交易所等方面,给予被投方全方位的支持,也有着得天独厚的资源优势成为中西方项目的桥梁,作为一个长期主义的投资基金,和项目方共同成长是我们最开心的事。欢迎联络交流!
LOL Capital is an independent investment firm specializing in cryptocurrency and metaverse. Our vision is to truly achieve “Experience to earn” by initiating a fascinating journey in the crypto world. Owning abundant resources and powerful assets in capital, community and exchange, we can benefit investees with all-round support.
Acting as an irreplaceable bridge between the West and the East, we hold long-term prospects in investment. We are always happy to grow together with our project parties.