加密资产投资中的风险管理

风险管理是我们在投资过程中要时刻关注的头等大事。

在我看来，任何一个投资者都有他不可承受的风险。对这类风险，我们每个投资者都要有清晰的认知，都要在投资的过程中时刻评估，时刻牢记。

风险管理中有一点很关键的就是一定要规避我们不可承受的风险。

我一直主张我们只能用自己不用的闲钱来投资这个领域，并且还要保证我们未来18个月不工作的情况下，我们的生活都不会受到太大的影响。这从根本上保证我们能活下来，规避生存风险。

在加密领域，我一直主张比特币和以太坊加起来要占到资产配置的50%甚至更多。这是保证我们在这个领域有低风险资产作压舱石，让我们避开过高的系统风险，这样我们才有胆量和底气放开手脚投资那些高风险的资产和领域。

摩根大通和Visa达成合作，使用私有区块链网络简化跨境支付:金色财经报道，摩根大通（JP Morgan）的私有区块链网络Liink和Visa的私有区块链网络B2B Connect将使用一款名为“Confirm”的新工具在二者之间建立连接。

Confirm由摩根大通推出，已与德意志银行签约。目前正在亚太、拉美和美国招募创始成员银行，目标是扩大覆盖范围。

Confirm全球主管Alex Littlejohn表示，“Confirm的增长在很大程度上受到网络效应的影响，与Visa的区块链建立互联将加速我们在全球范围内的采用。”（finextra）[2022/10/11 10:30:59]

除了上述这些“老生常谈”的风险之外，还有一类风险是我们在投资过程中无法预料、难以评估的风险。这类风险发生的概率非常小，但造成的伤害却非常大，一旦发生到个人身上，将会是灾难性的。

上海海事法院推出《区块链证据审查指南》:10月8日消息，近日，上海海事法院召开“区块链技术应用对海事司法的影响与服务保障需求”专题研讨会，推出《区块链证据审查指南》，并对编制背景和主要内容进行了发布和解读。

《区块链证据审查指南》为各类型区块链证据提供了相对系统的审查要点指引。以敏锐眼光聚焦区块链技术创新。区块链技术带来了诸多便利，增强了电子证据的可信度。同时，区块链证据的核验功能还在不断健全完善，探索区块链电子证据的认定规则，有利于提升电子证据认定的效率和质量，推动区块链技术在司法领域的应用。（澎湃新闻）[2022/10/9 12:49:59]

这类风险就是我们常说的“黑天鹅”。

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

对黑天鹅事件，我们一定要在第一时间分析、研究、评估它对我们的影响，从而尽快拿出我们的应对方案。

这次TornadoCash被封禁事件就是加密生态的“黑天鹅”事件。

此前一直有人预估TornadoCash会被封禁，只是早晚的问题，所以在某种程度上它被美国政府禁止倒算不上那么黑天鹅。

但是美国政府封禁的方式存在极大的漏洞，是一种很容易被利用伤及无辜的方式，这恐怕是圈内人没有预料到的。

在我看来这才是真正的黑天鹅。

在昨天的文章中，我提到，在TornadoCash被封禁后，有人恶意利用TornadoCash向无辜的地址发送“赃款”，拖累无辜的人一起下水。

既然已经有人这么干，那就证明圈内多多少少有这样的意图就是想方设法拖尽量多的大咖们一起下水，到时候造成“法不责众”的局面，看你美国政府怎么办？看你们这些项目方怎么办？

只是我们目前还不知道有这样意图的人是多是少，他们是不是打算一死心黑到底，所以我们现在还无法评估这个风险从个别案例蔓延到整个圈内的概率有多大。

但我们可以推理的是，一旦这种风险开始迅速蔓延，则以太坊和以太坊生态中的所有资产都有可能遭殃。而这种风险一旦发生，则每个人都将无法置身事外。

所以这时，每个投资者就要自己评估一下这种风险一旦发生到自己身上，自己能否承受了。

如果自信地认为这个风险不会发生，那大可以按照自己以往的规划继续操作，不用理会。

但如果心存谨慎，认为这种风险不管大小，还是得有一点防备措施，那我建议就是昨天在文章中提出的方法，暂时先把部分以太坊和以太坊生态中的代币换成比特币，另外这段时间的定投以太坊比例小一点、比特币的比例大一点，规避一下风险。

如果更加谨慎的，认为这种风险发生的可能性非常大，那我建议暂时先把以太坊全部换成比特币，也暂时全部定投比特币，完全规避这个风险。

到底采取上述哪个方法，完全取决于投资者自己对风险的评估和自己能够承受风险的能力，但是不管怎么样，我们要意识到，这个风险是一个后果难以预料的“黑天鹅”，对此我们要保持高度关注和警惕。

来源：金色财经

标签：区块链TRA以太坊RAN区块链技术专业ArbitrageCT以太坊官网Transient

莱特币最新价格热门资讯