原文来源:BuidlerDAO随着美联储不断加息缩表,加密市场流动性不断减少,市场活跃度持续低迷进入熊市。作为市场上仅剩的这些「流动性」也就是我们这些韭菜的钱包也成为了子们虎视眈眈的对象。加密世界是个黑暗森林,Crypto带来财产所有权的同时也意味着一旦财产丢失或私钥泄露是几乎没有任何法律途径或方法可以挽回。为什么写这篇文章呢?因为菠菜的钱包被盗了,资产几乎被洗劫一空,讽刺的是,作为一个写过钱包安全相关的科普文章的老韭菜也翻车了。虽然失去了陪伴许久的钱包和内部资产,但遭遇这件事情后菠菜真真切切感受到了社区的温暖,并且得到了许多「家人们」的关心和帮助,甚至在社区一位小伙伴的帮助下在黑客手里抢救回来了近30个侥幸存活下来的NFT。虽然损失的资产无法找回了,但在本次「菠菜钱包被盗事件」中,有许多经历是可以科普的,希望这篇文章可以给行业提供一个受害活案例并给其他小伙伴敲响警钟,防止「惨案」再次发生。文章速览:01/我的钱包是如何被盗的?02/黑客是如何拿到我私钥的?03/我是如何在黑客手里抢救NFT的?04/如何实现同一区块完成所有操作?05/什么是MEV?MEV给以太坊带来什么影响?06/写在最后我的钱包是如何被盗的?
某天,推特上有一个人私信我,起初我并没有提起警觉,因为子的Twitter账号看起来像是一个正常用户。开始只是进行了一些闲聊,之后他开始问我是否愿意为cheelee这个项目输出内容并支付我报酬,且索要了一些我的作品进行验证,于是我把我的telegram给到了他,之后便在telegram上给我发了关于如何输出内容的一些细节和两个文件。下载并点击文件后什么都没有发生便意识到不对劲,于是打开小狐狸查看,不出所料,钱包被盗,所有的资产都被盗走,NFT也被直接卖给offer换成ETH转移。。黑客是如何拿到我私钥的?
元宇宙3D空间创作工具Builtopia完成千万元人民币种子轮融资:7月6日消息,据顺为资本微信公众号,元宇宙空间技术服务商“构赛博(Builtopia)”近日完成千万元人民币种子轮融资,投资方为顺为资本。本轮融资过后,资金将主要用于技术升级、市场推广。
据悉,构赛博初创团队来自于微软、网易、爱奇艺等公司,其基于web开发了一款元宇宙3D空间创作工具。[2022/7/6 1:54:36]
黑客是如何拿到我私钥的?
我的私钥加密保存在Chrome的小狐狸中,黑客是如何获取到我的私钥的?这得从Chrome这个浏览器说起:你敢想象吗?这个占据着全球66%市场份额的Chrome浏览器居然存在一个巨大的安全漏洞!这个漏洞是什么呢?如果你在下图路径打开你的Chrome浏览器的Default文件夹,你会发现一个叫LoginData的文件,这个文件存储着你在Chrome上保存的每一个密码,但如果你想直接打开去读它的话你会发现它是不可读的,显示的是一堆乱码,因为这个文件被AES算法加密过,暴力破解需要破到天荒地老,那么其实你在Chrome上保存的密码都是十分安全的,但问题出在哪?
如果你再往前翻一个目录在UserData中你会发现这样一个文件叫LocalState,如果你打开他之后在里面搜索「encrypted」,你会发现后面有一串密钥,这个密钥是什么?就是需要暴力破解几百年才能破解的LoginDataAES算法解密的密钥串!这真是离谱他妈给离谱开门,离谱到家了!这相当于什么?相当于你用世界上最坚固的材料做了一个牢不可破的保险柜存放密码但你却把保险柜钥匙放在保险柜旁边,贼进来就直接拿着钥匙打开保险柜了!并且这串密钥串还是通过Windows系统本身的密码生成工具生成的,与生成的电脑ID是唯一绑定关系,也就是说加密解密都只能在这台电脑上进行,Chrome把解密的密钥串就这么明文保存在了本地,这样黑客只需要拿着密钥串进行解密就可以拿到我的所有密码。
观点:目前行业内是一个沉淀期,builders应该更多去focus在如何解决问题:近日,BeWater DevCon 2022 全球开发者大会在硅谷湾区成功举办,来自Polychain Capital, Uphonest Capital, DFG Capital, Foresight Ventures的嘉宾进行了圆桌讨论,围绕“VC如何在熊市中投资和支持Builders”。Polychain Capital的Jacob Philips表示,目前行业内是一个沉淀期,builders 应该更多去focus在如何解决问题。Uphonest Capital的KJ表示,VC应该作为共同创业的伙伴,而不仅仅是投资就不管事儿了。DFG Capital的Joanna表示,这个熊市的基本面已经和18年19年的熊市大不一样,基础设施得到大量发展,让大家多多探索
Foresight Ventures的Suning表示,builder可以在熊市多做一些新尝试,比如在开发语言方面,尝试Move或Cairo,探索全新生态的可能性。同时作为Foresight Ventures也会更多关注真正颠覆性的创新,以及围绕DAO或者NFT等的crypto-native的文化发展。[2022/6/24 1:29:46]
波卡平行链Astar Network宣布推出Build2Earn dApp质押计划,激励开发人员要构建dApp:官方消息,波卡平行链Astar Network宣布推出Build2Earn dApp质押计划,激励开发人员要构建dApp。dApp质押者可以将他们的Astar和Shiden代币提名给他们想要支持的dApp,在Astar上,只要有dApp被提名,开发者就可以获得基本收入。dApp质押者获得区块奖励,并通过减少代币流通增加代币价值。[2022/4/11 14:18:16]
MetaMask的密码并不保存在Chrome的密码文件中,为什么我的私钥会泄露呢?因为我的MetaMask用的密码跟我的习惯密码是一个密码,黑客拿到了习惯密码后进入MetaMask还不是分分钟的事情,于是乎,我的私钥泄露了。不仅如此,所有存在Chrome浏览器上的账户都泄露了,甚至Twitter和Google账户全部遭到了冻结。我是如何在黑客手里抢救NFT的?
在钱包被盗后,黑客在OpenSea上卖出了所有带有offer的NFT并转移走了所有的资金,万幸的是有一些NFT幸存了下来,其中除了ENS和一些没offer的NFT外,有一个刚mint不久的DeBox小蛇没有被卖掉,可能因为Opensea上存在一些BUG,这个NFT是我另外一个白单地址mint完后转过去的,不知道什么原因没有被显示出来,这使得它逃过了一劫,于是乎当我尝试往钱包中转gas的时候,我发现我的钱包遭遇了「清道夫攻击」,也可以称为抢gas机器人,我转进去的Gas费被瞬间转走了!什么是抢Gas机器人?就是一旦你往钱包中转Gas费,机器人就会立马检测到并将gas立马转移走,这类机器人通常活跃在被泄露私钥的钱包中。这个机器人也活跃在一种故意泄露私钥的局,就是子会故意泄露一个钱包里面有U的钱包私钥,但这个U是被合约拉黑了的无法转走,子盯上的就是你企图转走而往里面转的Gas,下图就是一个案例,感兴趣的小伙伴可以进去看看,但别往里面打Gas噢。
全球小费打赏文化平台TIP已报名参加币安智能链BUIDL奖励计划:据官方消息,经过初步的筛选,TIP已成功报名参与MVB计划,成功进入第二阶段。
据悉,TIP是用于构建基础设施的项目,同时在在TVL与流动性、日活跃用户、成熟的用户社区、Certik安全审计等方面也表现不错。[2022/3/16 14:00:45]
我的钱包在被抢gas机器人盯上之后就意味着我无法转移走我幸存的那些NFT,因为我没办法在钱包中转入gas去支付我转移走NFT的操作,难道说我的NFT要永远被困在钱包里了吗?就在这一筹莫展之时,社区的力量体现出来了,BuidlerDAO社区中有一位小伙伴站了出来帮助我在抢gas机器人手中把幸存的NFT给抢回来了!人间有真情人间有真爱!那么这位小伙伴到底是怎么做到的呢?首先让我们看看手动情况下需要多快时间可以在抢Gas机器人前面转走我的NFT,在区块链浏览器中可以看到当我转进去gas费,抢gas机器人在三个区块之后将所有gas转移走了,在以太坊合并后POS权益证明机制中一个区块的出块时间固定为12秒一个区块,那这是不是意味着我只要在前两个区块操作就可以快过机器人了呢??这样想就太天真了,如果是这么慢的速度那就都不好意思叫机器人了。
在以太坊中,一笔交易的处理速度取决于你支付了多少Gas费,如果你想交易被更快的处理就需要支付更多的Gas费,Gas费的均价会随着以太坊的交易需求量而变化,如果按照正常情况下的Gas费用来算的话,处理一笔交易所需要的时间大概为30秒,这就意味着我如果想在抢Gas机器人抢走Gas之前把NFT抢救走就需要在36-30=6秒之内完成我的操作,这几乎是一个不可能完成的事情,因为我即便是在看到Gas到账后的第一时间就去转NFT,Metamask弹出界面的时间差不多就已经6秒了,那么要如何做到在Gas机器人转走Gas之前就把NFT转移走呢?
Build Finance遭遇治理攻击,110万枚代币通过投票被恶意增发并抛售:2月15日消息,风投DAO组织Build Finance在推特表示,该项目遭遇恶意治理接管,恶意行为者通过获得足够多的投票成功了控制 Build 代币合约,进而铸造了 110万 BUILD代币并耗尽了项目的流动资金池,此外还将DAO金库中的 13 万 METRIC 代币全部抛售。该项目团队成员与攻击者进行了直接接触,但对方似乎没有兴趣进行对话。[2022/2/15 9:51:58]
答案就是在同一个区块内完成往钱包里转Gas和转走NFT的操作,这样机器人就无法把Gas抢走了,因为机器人需要不停监控区块链浏览器来确认是否有Gas费转进钱包,如果在一个区块内完成了所有操作机器人即便检测到了区块,我也已经把NFT转走并且没有留下多余的Gas给机器人转了。如何实现同一区块完成所有操作?
这就需要使用到Flashbots的searcher-sponsored-tx功能,这个功能大部分都被用在私钥泄露被机器人监控的钱包上。懂技术的小伙伴可以直接在Github上查看:https://github.com/flashbots/searcher-sponsored-txFlashbots的这个功能支持一个钱包转Gas给另外一个钱包的同时附带交易事务,也就是同一区块完成所有操作,在区块链浏览器中可以看到转入Gas和调用合约都在16388251这个区块中完成。
顺便提一下什么是Flashbots,Flashbots是一群关注区块链的研究人员、Buidler和白帽人士组成的研究组织,致力于减轻最大可提取价值(MEV,MaximalExtractableValue)对有状态区块链带来的负面外部性。什么是MEV?MEV给以太坊带来了什么影?
最大可提取价值(MEV)是指通过在区块中添加和排除交易并更改区块中的交易顺序,可以从区块生产中提取的超过标准区块奖励和燃料费用的最大值。怎么理解呢?举个例子,首先我们要知道在以太坊中一个交易发起后,这笔交易会被放在mempool中等待被矿工打包,那么矿工就可以看到mempool中的所有交易,而矿工的权利是很大的,矿工掌握了交易的包含、排除和顺序。如果有人通过支付更多的Gas费贿赂矿工调整了交易池中的交易顺序而获利,这就属于一种最大可提取价值MEV。你可能在想矿工换一个交易顺序怎么就可以获利了呢?有一种MEV手段叫「三明治攻击」或「夹子攻击」,这种提取MEV的手段是通过在链上监控大额的DEX交易,比如有人想在Uniswap上购买价值100万美金的山寨币,而这一笔交易会将这个山寨币的价格拉高很多,在这笔交易被放入mempool的时候,监控机器人就可以检测到这一笔交易,这时机器人就贿赂打包这个区块的矿工将一笔买入这个山寨币的操作插队在这个人前面,随后在这个人的购买操作之后进行一个卖出的操作,就像一个三明治一样把这个进行大额DEX交易的人夹在中间,这样发动「三明治攻击」的人就从中获取了山寨币因为这个人大额交易拉盘的利润,而大额交易的这个人则造成了损失。除此之外,获取MEV的手段还包括DEX的套利,清算机器人等等,MEV的存在也一直给以太坊带来一些负面的影响,比如「三明治攻击」给用户带来的损失和更差的用户体验、抢跑者竞争导致的网络拥堵和高Gas费等,甚至的一定程度上威胁到了区块链的完整性,截至2023年1月,MEV带来的利润已经达到了6.8亿美元。
数据来源:https://explore.flashbots.net/Flashbots的出现照亮了MEV这个黑暗森林,Flashbots在MEV上做了许多的研究并开发了一些产品在一定程度上减少了MEV给以太坊带来的负面影响,虽然Flashbots无法解决MEV带来的问题,但在以太坊的新分片方案Danksharding中以太坊提出了一种新的机制来解决MEV问题,如果对Flashbots和MEV感兴趣的小伙伴可以查看以下链接。以太坊官方对于MEV的介绍Flashbots的官方网址最后有什么想说的吗?
钱包被盗后看到所有的加密资产和喜欢的NFT都没了之后心里十分难受的,身子最喜欢的DeBox一家子都没了。感谢社区的小伙伴在知道后一直陪着我帮我出谋划策,甚至抢救完NFT后DeBox项目方空投给菠菜一个NFT作为安慰,DeBox真的是一个有温度的团队,疯狂打Call。
关于钱包安全问题真的不可以大意,在此之前我也从未想过自己会成为被盗者之一。文章临近截稿时看到一个KOLNFTGOD的钱包也遭遇到了黑客攻击失去了所有的资产,并且所有的社交帐户都泄露被利用发了信息,原因是下载了谷歌广告链接中的虚假软件,类似于曾经的假TP钱包局,所以,千万不要下载任何来自陌生人的文件,下载所有软件的时候也一定要确认一遍是否是官方网址。除此之外,加密资产一定不要都放在热钱包中,资产放在冷钱包中一定是最安全的,Metamask的密码也最好不要使用习惯密码,因为Chrome上的Metamask插件不是绝对安全的,一定一定要去学习钱包安全的相关知识。
原地址
随着Blur的空投上线各大交易所,这给广受关注的NFT市场赛道又增添了不少热度。激烈的竞争已让该领域涌现出大量的变革与创新,无论是此前Sudoswap通过AMM为NFT提供流动性,还是此次Blu.
1900/1/1 0:00:00继GMX后,Arbitrum生态又迎来了一个大热DEX协议Camelot。与GMX不同,Camelot更加侧重为新项目引导流动性,展现出更大的想象空间,也为Arbitrum生态的蓬勃发展搭建了一.
1900/1/1 0:00:002月10日,ETHGlobal和Filecoin联合举办的FVM黑客松决赛名单已经出炉,共筛选出12个项目,包括DeFi、GameFi、存储、去中心化计算等领域.
1900/1/1 0:00:00主要观点:Web3游戏领域的大多数用户来自几款顶级游戏;在排名前100的游戏中,7%的游戏支持NFT租赁,18%的游戏计划采用这种模式;游戏玩家使用租赁的主要原因是为了降低成本.
1900/1/1 0:00:00原文标题:《区块链演化史:加密矿业演化简史》原文作者:wesely,DeFi之道在加密行业中,矿工是一个特殊的群体,他们是区块链底层安全保障,是加密行业中最富有的和最具话语权的一群人.
1900/1/1 0:00:00原文作者:NathanSnell,Raleon联合创始人兼首席执行官原文来源:Bankless原文编译:DeFi之道每个人都喜欢空投,毕竟谁不喜欢免费的赠品呢?但从项目的角度来看.
1900/1/1 0:00:00