「我钱包里的ETH都没了!」
今日,DeFinance创始人Arthur在社交媒体上表示其遭受鱼叉式网络钓鱼攻击。Arthur点击了一封酷似DefianceCapital合作资管平台官方地址发来的邮件中的PDF文档,导致其热钱包被盗,损失大量NFT以及其他资产价值超400ETH。
Web3.0的世界好像并不安全,我们的链上资产似乎处处受到威胁。确实,从上层来看,链上应用不光要考虑应用逻辑的漏洞,还要考虑所部属链共识层可能潜在的攻击途径。除此之外,我们还需要擦亮双眼看清交互前端,并预防各类钓鱼链接。最致命的一点是,交易一旦获得清算保证,回滚成本极高。这么说来,Web3.0整体安全程度还不如Web2.0呢。
但从更底层维度来看,理论上来说Web3.0其实应该是更安全的。例如,链上的去中心化平行执行为链上应用打造了去信任化的执行环境。Web2.0应用常遇到的DoS攻击也被Gas机制所解决。协议的开源同时也让用户在使用前「有权」进行DYOR,等等...
微软研究团队提出 LLM 加速器 LLMA:金色财经报道,微软的一组研究人员提出 LLM 加速器 LLMA。据悉。这种带有参考文献的推理解码技术可以在许多现实世界的环境中,通过利用 LLM 的输出和参考文献之间的重叠来加快 LLM 的推理速度。LLMA 的运作方式是从参考文献中选择一个文本跨度,将其标记复制到 LLM 解码器中,然后根据输出的标记概率进行有效的并行检查。[2023/4/20 14:14:58]
本文出自加密钱包ZenGo联创TalBe'ery,文中就Web3.0固有的安全优势进行了详细解读,并提出了现存问题的潜在解决方案。律动研究院将全文进行了翻译:
我知道这一点听起来很荒唐,毕竟Web3的安全性是目前科技领域的一大笑柄,而Web3在去年也因安全漏洞损失了超过100亿美元。然而,我认为目前这样的情况应该是阶段性的,而非持续性的,一旦Web3应用程序变得更加成熟,它们将在安全性上超越很多「传统应用程序」。
Paxos Treasury销毁近9330万枚BUSD:金色财经报道,据Etherscan数据显示,Paxos Treasury于1小时前(2月22日17:21:23UTC)销毁93,336,183枚BUSD。[2023/2/23 12:23:41]
Web3的定义
在我们开始讨论Web3的安全性之前,我们需要首先对其作出定义。我们可以暂时将Web3定义为依赖于「智能合约」的应用程序,其商业逻辑和存储均在区块链上完成。因此,Web3目前主要包括DeFi应用程序和NFT,但在未来可以扩展到更多领域。
分析:Alameda是WBTC最大铸造者,但不足以构成系统性风险:11月26日消息,最近WBTC/BTC脱锚引发加密社区成员的质疑。推特用户Castaneda指出,根据WBTC生态系统的机制,当商家希望创建新的WBTC时,它必须首先向托管方提供真实的BTC,托管方随后铸造新WBTC并将其提供给商家。当商家希望收回BTC时,他们必须销毁相同数量的WBTC,因此确保其WBTC数量不超过BTC。Alameda至少从2020年9月28日起在Wayback Machine Checkpoint充当商家,但Alameda仅能铸造WBTC,而不能托管BTC。如今Alameda不再被列为商家,审计页面中也无法找到Alameda托管方钱包。Castaneda表示,通过检查其之前托管方的钱包,发现钱包已清空,并且最后的5000枚BTC在11月11日被提走,就在FTX崩溃后不久。
Castaneda强调,“然而,我们不认为这会带来任何系统性风险,因为真正重要的是,托管方仍保留必要的储备,以确保WBTC/BTC之间的1:1比例。虽然人们仍然可以用1枚WBTC换1枚BTC,但有可能在出现折价时套利。根据我们的评估中,WBTC看起来仍然稳健,价格波动似乎更多是由市场恐慌而非资不抵债造成的。”[2022/11/26 20:47:43]
Web3三角
韩国检方在调查Terra事件中已结束对加密交易所扣押搜查,将对扣押材料进行全面分析:7月28日消息,韩国首尔南区检察院金融证券犯罪联合调查组于本月20日至27日完成了对部分交易所的搜查扣押令的执行。检方官员解释说:“调查所需的交易所数据的取证工作花费了很长时间。”通过此次扣押搜查,检察机关获得了Terraform Labs首席执行官Do Kwon以及Terraform Labs联合创始人、TMON联合创始人Daniel Shin等人的交易明细和算法稳定币的开发过程、资金流向相关的资料。在完成搜查和扣押后,检方开始对扣押的材料进行全面分析,相关人士的传唤仍在继续。
此前消息,韩国检方发出Do Kwon“入境时通报”通知并勒令Terraform高管禁止出境,检方也正讨论与国际刑警组织合作发布红色通缉令以引渡Do Kwon的可能性。(韩联社)[2022/7/28 2:42:45]
在对Web3作出定义之后,我们便可以开始探讨它的安全性,而这主要包括智能合约的安全性。为了简单起见,我们将只讨论以太坊上的智能合约,但我相信其结论也适用于其他相似的系统和区块链。
报告:到 2028年NFT市场规模将增至 73.908 亿美元:金色财经报道,NFT市场按类型(艺术和收藏品、游戏)、应用(初级市场、二级市场初级市场、二级市场)划分。2022-2028机会分析和行业预测。预计到2028 年,NFT市场规模将从 2021 年的15.536 亿美元增至 73.908 亿美元,?2022-2028年的复合年增长率为 24.4%。
此外,NFT 在供应链管理、零售和时尚领域的使用越来越多,以及行业巨头为实现元界和 NFT 个性化所做的努力,将为 NFT 供应商带来诱人的前景。
从地区来看,北美是最大的市场,份额约为 34%,其次是亚太和欧洲,份额约为 31% 和 23%。根据类型,艺术品和收藏品是最大的细分市场,份额超过 70%。NFT 允许人们创建、共享和获取广泛的数字资产,包括视觉艺术、游戏和音乐,从而引发了一场数字革命。从应用来看,最大的应用是一级市场,其次是二级市场。[2022/6/22 4:44:05]
Web3的安全性有其内在优势
想象一下,如果Web3软件环境中没有了恶意软件、拒绝服务攻击以及其他类型的攻击,该是一次多么美妙的升级。下面我们一起来认识一下实现了安全乌托邦的Web3:
-Web3可以免疫注入式攻击:对于传统的网络应用程序,所有参数都是以字符串的形式发送。这个设计缺陷是大多数传统网络应用程序漏洞背后的核心原因,这些漏洞包括SQL注入和命令注入,让攻击者能够将非预期输入偷运到尚未完善的网络应用程序之中。相比之下,由于Web3的强类型性质,这种非预期输入将立即失败,而Web3应用程序则不需要做任何特殊的准备。
-Web3对拒绝服务攻击的抵抗力更强:虽然这些攻击并不聪明,因为它们通常不是靠「脑力」,而是靠僵尸网络大军的「蛮力」,以较低的成本向攻击目标发送垃圾流量,但它们仍然是传统Web应用程序面对的一个主要问题。相比之下,Web3应用程序就不会受此困扰,因为区块链为了防止被过量使用,设置了较高的交易费用,从而让DoS攻击者无从下手。
除了上面几点以外,Web3在其他方面也表现出了很好的安全性。但是,仅仅是做到了上面几点,就已经相当厉害了。
但除了上述的技术优势外,鉴于Web3的完全开放性和透明度,Web3还具有一些理念意义上的安全优势。早在Web3出现之前,开放式安全理念在安全领域就有很多拥护者,认为它比「隐蔽式安全」更具优势。Web3将开放式安全理念发挥到了极致:在Web3中,不仅代码按照惯例是开源的,而且根据定义,二进制文件在区块链上也是对外公开的,且可以被验证为是已发布源代码的结果。此外,根据定义,所有代码的执行都是公开的,任何人都可以对其进行验证和审查。
理论优势并非实际优势
如果Web3的安全性在理论上大大优于传统应用程序,那为什么在实际操作中,DeFI应用程序的安全性还是比不过传统的银行应用程序?
我认为这不是因为Web3的安全性本身有多差,而是因为它的运行环境异常恶劣,攻击者可以更容易地靠黑客攻击赚钱。Web3应用程序每时每刻都在处理着「流动资金」,因为区块链上的资金转移几乎都是即时发生且不可改变的;而在传统的银行系统中,即使银行应用程序被黑,在攻击者兑现以前,这些恶意交易所涉及的财产都可以被追回。
具体而言,我们可以看一下规模最大的银行被黑案之一——2016年孟加拉银行黑客入侵案。攻击者利用恶意软件渗透到银行当中,并发送欺诈性的SWIFT电汇,试图劫走10亿美元。为了真正得到这10亿美元,攻击者需要看好一个特定的日期,这一天正好银行放假,好让他们有足够的时间来变现。他们还需要在一家能够处理大量电汇的菲律宾银行提前做好准备,以便在电汇被退回之前将资金套现。最终,攻击者「只」获得了10亿美元中的6000万美元,而这并不是因为银行的软件安全性高,而是因为环境比较宽松,给了防卫者足够的时间追回电汇。
因此,我们可以得出结论,为了击败攻击者,我们需要为防卫者争取更多的时间。
要想做到这一点,我们需要减少攻击的检测时间,或者延长交易可逆转前的时间,又或者同时做好这两点。
我非常看好我们社区在改善攻击检测时间上的能力,因为目前已经有一些安全公司能够根据公开数据,利用上述的区块链透明度及「开放式安全」理念,提前对黑客攻击作出预警。从最近发生的黑客攻击案及其事后分析来看,没有什么能阻止在交易执行时分析的实时进行。当我们把这样一种先进的预警系统集成进合约当中以后,可能就足以用来杜绝此类恶意交易了,正如最近出现的Forta.network等项目所显示的那样。
即使在今天,套现也不像看起来那么容易。一些CryptoToken已经设置了自己的黑名单,用以冻结名单用户的资产。此外,要想兑现成法币,攻击者通常需要借助中心化交易所,而这些交易所正受到越来越多的监管,并也增添了KYC功能及黑名单,阻止了攻击者进行兑现。因此,如今一些攻击者更愿意归还大部分被黑的资金,只保留一小部分,并把这部分资金洗白成被黑应用程序发放的「漏洞修补赏金」。正如最近查获的Bitfinex被黑资金,这些黑客其实很难将大笔的Crypto套现。可以肯定的是,套现只会变得越来越难。
结论:我们终将成功
虽然Web3的安全性还远远不够,但随着它的不断改进,未来很有可能成为我们数字活动的安全护盾。就像大多数革命性的技术一样,Web3的功能越丰富,其安全性就越是问题,这也是一直以来的情况。不过今后在风险投资和成功Web3项目的资金支持下,安全系统的人才将不断从传统安全产品涌入Web3领域,我相信到那时Web3的安全性便可以充分的发挥出来。
Web3和Crypto技术涉及计算机科学和经济中的诸多学科,而我只了解安全领域。我相信,Web3将为安全领域带来重大突破,而且我也深信它能对其他我不了解的领域作出改进。
或者用Web3的行话说,WAGMI。
“元宇宙的开拓者”是我们针对元宇宙的发展而设立的专栏,主要面向那些深挖元宇宙产业或者在元宇宙进行“淘金”的从业者,分享这些企业或者创业者们的故事.
1900/1/1 0:00:00加密货币行业已经在华盛顿的旋转门上占据了一席之地,雇佣了数十名前政府官员和监管机构,因为它试图制定政策来管理基本上不受监管的市场.
1900/1/1 0:00:00原文标题:《STEPNpromisestobuildagreenerWeb3》NFT的另一面在过去一年左右的时间里,NFT已经成为主流,被一些人称它为Web3运动的一部分.
1900/1/1 0:00:003月24日周四,贝莱德掌门人拉里芬克在致投资者的信中警告称,俄乌冲突将重塑世界经济,促使企业撤出全球供应链,从而进一步推高通胀。他表示:“俄乌冲突结束了我们在过去三十年中所经历的全球化.
1900/1/1 0:00:00本文以目前GameFi领域最常见的双代币模型为例,将探索两个思路的可行性:保持打金代币在某个区间稳定尽可能的让治理代币实现价格增长用一个简单好懂的比喻来举例,如果我们将游戏比作一个小国家.
1900/1/1 0:00:00CrossRiver以提供技术基础设施,为金融服务的未来提供动力而闻名。CrossRiver官方网站指出,CrossRiver致力于引领金融的未来—技术是我们工作的核心,它正在改变我们的金融科技.
1900/1/1 0:00:00