加密世界总能给我们带来“惊喜”。上周,Nomad遭受了多方攻击,300个地址利用漏洞从跨链桥上提取了1.9亿美元的资金。但在被攻击后的几天里,41个地址返回了约3600万美元价值的资金。这些人是一群“白帽黑客”,他们以金钱奖励和不受法律干扰来换取Nomad的资金。白帽是加密生态系统中的强大力量,每个协议都应该考虑设计机制来启用他们。深度防御不容忽视,而白帽代表了该框架的关键支柱。那么我们如何才能最好地启用白帽呢?建议如下:每个协议都应该主动设置一个“Dropbox”,以供白帽存储协议资金。与此同时,还应承诺对于将资金从协议转移到该地址的白帽,协议不会采取法律行动,并允许白帽在此过程中保留部分资金。这一机制为白帽提供了一个清晰的技术、经济和法律框架。通过清晰的表述,他们可以在事件发生时全心全意地维护协议。
Cathie Wood:与传统金融世界相比,许多加密资产没有中心化故障点:金色财经报道,ARK Invest创始人Cathie Wood在社交媒体上称,具有讽刺意味的是,随着加密资产在硅谷银行崩盘期间飙升,本届政府建议区域银行的投资者和股票和债券持有人应该准备好在联邦基金利率史无前例地提高 20 倍之后被“淘汰”。现在我们听到的轶事不仅是企业和个人正在用一些加密资产对冲他们的法币资产,而且他们还通过从低收益的银行存款转向高收益的货币市场基金来降低风险和增加收益,这是一个双赢的结果。
为什么比特币和其他加密资产在这次银行业危机中升值?在我们看来,与传统金融世界相比,许多加密资产没有中心化故障点:它们是去中心化的、透明的和可审计的。为什么监管机构会剥夺美国公民获得加密资产的机会,这是 2008-09 全球金融危机中诞生的“保险”,以防止美联储和监管机构再次犯下威胁我们福祉的政策错误的可能性(希望很低)?[2023/3/23 13:21:58]
报告:与销售挖矿芯片相比 英伟达挖ETH能赚更多:3月11日消息,RBC分析师Mitch Steves发布的报告指出,与销售挖矿芯片相比,英伟达可以从挖掘ETH本身中赚取更多的钱。(U.Taday)[2021/3/11 18:35:49]
当白帽发现漏洞时,会发生什么?
目前,大多数协议都没有“Dropbox”或明确的白帽政策。当白帽发现漏洞时,有三种常见可能性。他们可以联系核心团队,修复漏洞。有两个主要的风险:通信过程太慢,或者通信通道中的某人直接利用漏洞。例如,后者延缓了OpenZeppelin在Convex协议中发现漏洞的补丁的部署。他们可以尝试对漏洞本身采取行动,并将自己定义为事后的白帽。这往往会导致错误的身份识别,因为他们很难与黑帽区分开来。例如,目前还不清楚PolyNetwork的黑客是否是白帽。不作为。考虑到其他选择所涉及的声誉和法律风险,我们怀疑许多白帽,尤其是机构会选择被动方式。此外,对白帽也没有明确的补偿机制。对于那些出于道德原因这样做的人来说,这可能没什么问题,但许多人想从他们获得的价值中获得一些份额。由于缺乏补偿计划,白帽更倾向于选择第三种——不作为。在活跃的开发过程中,这些权衡变得更加尖锐,比如Nomad跨链桥事件。当然,我们没有时间去接触核心团队,而且为了确保资金的安全而加入这场争夺战也存在很大的法律风险。第三种选择再次成为最具吸引力的。而不参与白帽可能会阻碍协议的安全态势。
动态 | 外媒:Circle正寻求筹集1.5亿美元 相比此前报道的目标减少40%:据The Block消息,据知情人士透露,加密初创公司Circle正寻求筹集1.5亿美元,远低于The Information今年3月报道的2.5亿美元目标,降低了40%。消息来源包括该公司的一名前员工和一名审查其投资推介台的人士。根据Crunchbase的数据,该公司迄今已从Pantera Capital、Digital Currency Group和比特大陆等筹集总计2.46亿美元的公开资金。Circle业务的核心是场外交易业务。该公司解雇大约30名员工,占员工总数的10%。裁员不一定与场外交易平台面临的压力有关。一名前员工表示,“交易柜台没有人被裁掉。” Circle拒绝对融资情况置评,指出其Circle Trade业务盈利,预计Poloniex在Q2和Q1增加更多客户。[2019/5/22]
行情 | BTC报价币安相比火币及OKEx出现小幅溢价:据行情显示,BTC今日持续震荡上行,短时突破6200美元。三大交易所中,BTC火币现报6180美元,OKEx现报6179美元,币安现报6223美元。BTC报价币安相比火币与OKEx 高出约40美元,出现BTC小幅溢价情况。据此前币安官方公告,受安全漏洞影响,币安大约需要一周的时间进行彻底的安全检查,期间会暂停充值和提现,以保证交易市场不受影响。[2019/5/10]
“Dropbox”的优势
协议并非注定面对被“洗劫一空”的命运。它们可以为白帽们提供技术、经济和法律上的清晰性,使他们能够参与竞争。Nomad跨链桥事件就是例子,作为一个协议,尽管在开发后提供了如此清晰的奖励信息,但仍只收回了约20%的资金。这种清晰的表述本可以提前发挥更大的作用。因此,我们建议协议采取以下步骤:在它们的公链上建立一个“Dropbox”。理想情况下,这些密钥应该由多方控制,在创始团队成员之间分配,并有一些合理的机制来提取资金。建立一个清晰和公开的承诺,将资金从协议转移到“Dropbox”的白帽将不会被视为不良行为者或被协议追究,只要他们遵守赔偿限额,并没有其他不法行为的证据。为那些将资金从协议转移到“Dropbox”的白帽们设立一个明确定义的奖励计划。最简单的方案是按百分比转移资金。然而,如果配合一些事后的KYC检查以防止女巫攻击,也可以实施一个最高限额的理论上的奖励计划。第三种机制是每次事件支付固定的名义款项,根据所担保的资金按比例分配给参与的白帽。这一机制为白帽提供了第四个选择,当他们发现漏洞时:将资金转移到“Dropbox”,并获得少量分成。重要的是,这种新的“Dropbox”选择应该始终主导“不作为”过程,无论是出于法律原因还是经济原因。曾因缺乏透明度和奖励而犹豫不决的白帽现在已经有了明确动机,可以保护协议的资金。这个新选项进一步主导了接受资金并在之后确认自己是白帽的策略。最后,考虑到“Dropbox”的速度和经济回报,这个新选项很可能会接触到核心团队的策略。从表面上看,这对以前可以免费了解漏洞的协议来说可能不可取。然而,该协议确实获得了速度方面的好处,这在活跃漏洞存在时是至关重要的。简而言之,白帽会有一个清晰的框架,鼓励他们以快速和可预测的方式行动,实现双方的互利。这一机制在活跃的开发过程中更加有效,例如Nomad事件。清晰的框架鼓励快速和广泛的参与。我们不知道在Nomad被盗事件过程中,在没有明确的奖励和回报的情况下,是否有许多有技能的白帽选择不参与。当然,推特上有很多关于这个漏洞的实时讨论。不难想象,如果他们知道自己有更多的合法掩护,他们中的一些人可能会加入这场战斗,成为白帽。提前设置“Dropbox”还有一个小好处。在Nomad攻击之后的几天里,人们对正确的地址产生了混淆,有一次公布了一个错误的地址。提前设置“Dropbox”地址可以减少此类错误的发生。“Dropbox”并非没有缺陷。主要的问题是“Dropbox”会公开暴露漏洞并关闭整个协议,这是破坏性的。此外,如果白帽只获得一部分资金,或者协议中的其他合约也有同样的漏洞,这也是危险的。白帽往往是认真且有能力的,但我们不应该对这些风险掉以轻心。协议需要权衡这一缺点与其他好处。
行情 | BTC、ETH链上交易数相比上周均有所下降:据监测,截至4月16日,BTC活跃地址数为67.85万,较上周同比下降0.9%;链上交易数为38.13万,较上周同比上涨2.4%。以太坊活跃地址数为35.08万,较上周同比下降5.8%;链上交易数为62.21万,较上周同比下降6.9%。[2019/4/16]
漏洞奖励和“Dropbox”奖励该选哪个?
成熟的协议通常已经有一个防御措施:漏洞奖励。这使得“Dropbox”的使用更加微妙。“Dropbox”应该被设计成漏洞奖励的补充,而不是替代品。漏洞奖励缓解了“Dropbox”的主要弱点,因为漏洞是在受控条件下识别和修补的,对用户的影响最小。漏洞奖励也具有“Dropbox”的许多优点,它们为白帽提供了清晰的法律框架和经济激励。与漏洞奖励相比,“Dropbox”保留的主要优势是速度。在黑客活跃或协议处于关键期间,“Dropbox”可以比漏洞赏金更快地被用来保护资金。协议如何并行地实现这两个步骤,如何通过“Dropbox”解决黑客活跃期间的漏洞?答案在于激励。特别是“Dropbox”提供的奖励应该低于漏洞奖励。当白帽发现漏洞时,他们会判断漏洞是否具有时间敏感性。如果是,他们唯一的选择就是使用“Dropbox”机制并获得较低的奖励。如果没有,他们首选的选择是使用漏洞赏金机制并要求更高的奖励。再次强调,我们不应该忽视部署两个重叠但截然不同的机制的微妙之处。考虑到支付的确定性和速度,白帽可能会倾向于使用“Dropbox”。白帽在判断漏洞的时间敏感性时可能会犯错误。但这两种机制都是强大的,这种设置使危机中最知情的行动者——白帽能够做出最佳决策。
总结
协议通常会在被盗取后使用一些“Dropbox”的衍生品,例如为返还资金的黑客提供安全保障。通过提供清晰的法律框架、明确的奖励和确保资金安全的技术机制,“Dropbox”可以吸引和授权加密社区的无名英雄来保护他们的协议。也许“Dropbox”能带来一些真正意想不到的好处。也许有一天,一个黑客会选择使用它。虽然“Dropbox”主要是为白帽准备的,但我们会张开双臂欢迎潜在的对手转变为盟友。加密世界可能是混乱和不可预测的,但往往有出人意料的结果。
自2020年中期DeFi活动和创新大规模爆发以来,去中心化借贷已成为新兴链上金融体系的核心支柱.
1900/1/1 0:00:00对于加密用户SaintEclectic来说,SunnyAggregator的做法有些不太正常。Sunny的原生代币在去年夏天的牛市期间上涨了五倍。9月初,Sunny在成立还不到两周时间时,就有数十亿美元的加密货币涌入这个收益农场.
1900/1/1 0:00:00从最初的Tornado制裁事件,以及配合美国制裁的各大DeFi协议,现在的争论是,以太坊PoS改造后,中心化质押服务是否最终会开始审核具体交易?社区也在争论BTC、ETH或BeaconChain是否更去中心化和抗审查.
1900/1/1 0:00:00TL;DR 并不是所有区块链都会造成巨大的能源消耗,人们往往认为共识机制是纯粹的资源浪费;主流的共识机制有Pow和PoS,两者是实现路径完全不同,PoS对比PoW的能源消耗通常能节省99%左右.
1900/1/1 0:00:00在刚刚发布的《2022年上半年Web3安全态势深度研报》中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等.
1900/1/1 0:00:00NFT市场正处于最寒冷的时刻。DuneAnalytics数据显示,头部交易平台OpenSea的每日交易量已降至800万美元左右,不足巅峰期数据的2%.
1900/1/1 0:00:00