作者:?BuidlerDAO
深度精選是我們推薦的本周市場熱議主題下必讀文章,取材自BuidlerDAO認知蝗蟲計劃每日推送;在這里,Web3Native的資深讀者會從繁雜的信息源中抽取優質文章的核心內容與個人的深度思考。
本期,看項目與監管之間的博弈,尋找灰度地帶的劃線;安全是不變的焦點,關注技術實現路徑,幫助自己建立鏈上操作的底層認知!
文章速覽:
01/監管層詳解首例DAO制裁:為Token持有人辯護@菠菜菠菜!?
02/LayerZero的多鏈野心:技術簡析與生態項目一覽@YueHan
03/?Unicode視覺欺騙攻擊深度解析?@Chasey?
04/福布斯曝光Helium內幕:虛假宣傳、造血困難、高管斂財@菠菜菠菜!?
05/全面解讀Cosmos2.0:從鏈間安全捕獲ATOM價值@YueHan
06/Web3黑暗森林自救指南,5000字說透錢包和安全@Aviv?
07/zkpass:去中心化KYC,行業的潛在顛覆者@memeswap
08/區塊鏈交易隱私如何保證?零知識證明(zk-proof)技術實戰解析@Tommy
監管層詳解首例DAO制裁:
為Token持有人辯護@菠菜菠菜!
9月22日,美國商品期貨交易委員會在周四的新聞稿中發布命令,于美國加州北區地方法院對bZeroX,LLC才能進行的活動;未能按照FCM的要求采用客戶識別計劃作為銀行保密法合規計劃的一部分。
CFTC表示,OokiDAO參與的這些活動與基于區塊鏈的去中心化軟件協議相關,該協議的功能類似于交易平臺。CFTC還認為OokiDAO利用其結構逃避監管,從未以任何身份在委員會注冊過,并將OokiDAO認定為「由OokiToken持有人組成的非法人協會」,并要求其支付25萬美元的民事罰款,和按照指控停止進一步違反《商品交易法》和CFTC法規的行為。
Cardano EMURGO BUILD 2023黑客松將于下個月進行:金色財經報道,Cardano開發團隊EMURGO宣布,將于下個月舉辦Cardano EMURGO BUILD 2023黑客松活動,向新一代的去中心化解決方案提供七位數的獎金池。[2023/4/15 14:05:14]
思考
這是監管層首例對DAO這個新型組織的指控以及制裁,委員會將OokiDAO非法人協會定義為了OokiToken的持有者,這些持有者對有關運營業務的治理提案進行了投票,而這項定義則源于Bean和Kistner就屬于OokiToken持有者。這種做法明顯是不公平的,委員會的做法將產生不利于投票的寒蟬效應,從而阻礙良好治理并在這種情況下難以形成合規文化。而從委員會在這此執法行動中的定義方法即可表明:DAO社區中的人不應該投票,即使治理投票鼓勵遵守法律。我相信這個案例將會對未來DAO在法律上的定義產生十分重要的影響。
原文鏈接
LayerZero的多鏈野心:
技術簡析與生態項目一覽@YueHan
文章首先講述了LayerZero的運作機制:LayerZero通過在鏈上部署一系列的智能合約實現去中心化信息跨鏈服務。Endpoint上運行著超輕節點,“超輕”兩個字體現在該節點只提供指定區塊的Blockheader。傳輸過程中,通過Oracle與Relayer保證信息發送的有效性與安全性。Endpoint是一個部署在鏈上的合約,負責提供消息的發送與接收。
Relayer和Oracle功能職責是一致的,都是發揮預言機的功能,不過傳輸的內容有所不同,兩者相互獨立運行,再由接收鏈的Endpoint對Relayer和Oracle發送來的信息進行驗證與匹配,提高LayerZero的安全冗余性。具體的細節,可以參考《深入淺出:如何理解LayerZero技術原理》一文。?
文章的第二部分描述了LayerZero的代表生態項目,包括致力于構建完全可組合的原生資產跨鏈橋協議LayerZero;主打零滑點,MEV保護的跨鏈DEX,通過使用LayerZero實現跨鏈消息傳遞的Hashflow,以及部署在Arbitrum上基于LayerZero/Stargate的多鏈借貸項目Radiant等。?
Klaytn公布BUIDL the Future黑客松Klaytn賽道獲獎項目:3月2日消息,韓國區塊鏈平臺Klaytn發文介紹Coinbase Cloud主辦的BUIDL the Future黑客松Klaytn賽道的獲獎項目者,分別為:冠軍項目Web3眾籌平臺Wanna、第一名NFT游戲化平臺 Encryp、第二名NFT資產管理平臺 GameFolio。[2023/3/2 12:38:36]
對于未來的展望,作者提到:未來的區塊鏈世界會是怎么樣的?LayerZero會給區塊鏈有哪些改變,產生什么樣的影響?不知道,不過可以確定的是,未來區塊鏈的發展一定是朝向互聯互通的方向進行,即便捷用戶又方便開發者。
思考
隨著多鏈生態的發展,資產的跨鏈成為一個剛需,不過目前并沒有一個完美的解決方案。某種程度上,CEX仍然是跨鏈的最佳選擇,跨鏈橋存在非原生包裹和安全性的缺陷。LayerZero在預言機的幫助下,將部署成本轉向按使用付費的可變成本,有望實現新的突破。
原文鏈接
Unicode視覺欺騙攻擊深度解析??
@Chasey
Unicode15.0版增加了新規范=Unicode安全機制,意在減少字符視覺欺騙帶來的同形異意攻擊。什么是同形異意攻擊?就如數字“1”和字母“I”“l”或是"rn"和“m”在足夠小時會難以分辨一樣,同形異意攻擊指的是:通過注入難以分辨/不可見/重新排序/刪除的字符串,來混淆用戶的視聽,或是影響模型的性能。在本文中,作者主要研究了字形渲染、混合腳本、PunyCode、雙向文本、組合字符幾方面造成的視覺欺騙。
字形渲染:字形指的是“a/ɑ”,“強/強”,“戶/戶/戸”這種某一語義所對應的圖形符號,樣式不固定。在阿拉伯語等語言中,字形會根據環境中的其他文字而發生改變;此外,還有U+1F512這種編碼,其外形和Chrome/Firefox瀏覽器地址欄中的小鎖圖標類似,容易引起誤導。不當的渲染會帶來安全問題。
混合腳本:比如希臘小寫字母Omicron和拉丁文o外觀難以分辨,蘋果產品中編碼latinsmallletterdum(U+A771)渲染的字形和latinsmallletterd(U+0064)難以分辨等。利用此特征可以偽造域名。
騰訊云宣布支持全球Web3生態發展并推出面向Web3 Builders的新產品:金色財經報道,全球科技公司騰訊云宣布承諾支持 Web3 生態系統的發展,騰訊云公布了全套區塊鏈 API 服務的發展路線圖及其全新的騰訊云 Metaverse-in-a-Box產品,為 Web3 構建者提供強大的技術基礎,同時加強其成為 Web3 數字化推動者的承諾行業。
騰訊云還與Web3基礎設施提供商 Ankr 簽署了諒解備忘錄 (MoU) ,共同開發全套區塊鏈API服務,提供高性能的全球分布式和去中心化的遠程過程調用 (RPC)節點網絡,使構建者能夠為他們的 Web3 項目提供動力。這套新的區塊鏈 API 服務將部署在騰訊云的基礎設施之上,并將為 Web3 游戲和 Web3 社交應用等項目提供與大多數流行區塊鏈的可靠、高效的連接。
此外,騰訊云還宣布與 Avalanche、Scroll、Sui 達成戰略合作,以構建更強大的基礎設施,幫助全球建設者加速采用 Web3 以實現去中心化的未來。[2023/2/22 12:22:31]
雙向文本:阿拉伯語等倒敘輸入的文字與正序輸入的文字混在一起時,可能會導致文本序列的混亂。可以利用倒敘顯示+空白符偽造域名。
組合字符:如googlè.com和google.com.;io.com和???.com等。瀏覽器如果不做PunyCode編碼,則很容易造成誤導。
思考
Unicode的作用是把計算機語言轉換成人類可讀的字符,視覺欺騙與亂碼/特殊字符造成的系統崩潰一直存在。對于系統的攻擊多為惡作劇,只要刪掉無法識別的內容即可;瞄準了用戶的域名安全問題則屬于惡意釣魚,防不勝防。
原文鏈接
福布斯曝光Helium內幕:
虛假宣傳、造血困難、高管斂財@菠菜菠菜!
Helium?被吹捧為Web3技術的最佳現實用例。但在該項目難以創造收入之際,《福布斯》的一項調查發現,在項目啟動之初,Helium高管和他們的朋友就悄悄囤積了大部分財富。?
動態 | 日本BUIDL公司推出面向加密貨幣交易所的洗錢對應工具SHIEDL:據Crypto Watch消息,5月30日,日本BUIDL公司推出了面向加密貨幣交易所的AML/CFT對應工具SHIEDL。該工具可計算出區塊鏈地址的風險分數,并通過API提供,該工具可防范洗錢風險較大的用戶的洗錢行為。目前該工具只能用于BTC、ETH、XRP三個幣種,今后將逐漸應對ERC-20及其他加密貨幣。[2019/5/30]
市值12億美元的Web3公司Helium得到了a16z?和TigerGlobal的融資,該公司表示正在建設“用戶網絡”,這是一個為停車計時器和狗項圈等物品提供無線互聯網連接的全球網絡。用戶要做的就是花500美元買一臺看起來像Wi-Fi路由器的機器,把它插到墻上,然后獲得Helium的加密貨幣作為回報。一位Helium的投資者聲稱,所有者可以在幾周內收回購買的資金。?
如果對Helium系統的需求上升,推高其Helium網絡代幣的價值,該公司暗示,網絡的收益將由所有人分享。但經《福布斯》揭露后卻被狠狠“打臉”了。
思考
個人其實是十分看好Helium的,作為目前全世界最龐大的物聯網網絡,每月數以萬計的新節點加入不斷擴大規模足以證明其物聯網+區塊鏈的模式對行業的顛覆性,對于福布斯的曝光,其實這種項目方內部吃項目早期紅利的案例在Web3中數不勝數,算不上新鮮事,設備造假的問題也在最新的遷移至Solana的提案中提到會引入位置預言機,目前Helium除了正在大力發展新的5G業務外,未來Helium也將引入更多的網絡如Wifi、VPN等,個人覺得,項目方畫大餅,斂財都不是什么大事情,最難能可貴的還得是“項目方在做事”,萬一畫的餅實現了呢?
原文鏈接
全面解讀Cosmos2.0:
從鏈間安全捕獲ATOM價值?@YueHan
Cosmos公布了2.0版本的白皮書,一些核心觀點摘錄如下:
CosmosV1的白皮書側重于通過IBC構建出CosmosHub和通信模型,這一點現在已經實現了。
聲音 | Coinbase CTO:不會為BUIDL這個詞注冊商標:據ethereumworldnews消息,針對媒體報道Coinbase可能會把“BUIDL”這個詞注冊成商標,該公司CTO Balaji Srinivasan推特表示,“我不相信這種東西有商標,所以我們會把它還給社區。”[2018/12/7]
今天的ATOM是Cosmos生態系統中的MEME,它可以做到更多。CosmosHub成為了Cosmos生態成功的犧牲品。InterchainScheduler和InterchainAllocator將成為Cosmos生態的重要組成部分.
InterchainScheduler是Cosmos中的一個跨鏈區塊空間市場,它從跨鏈MEV中產生收入。InterchainAllocator,旨在簡化整個Cosmos網絡的經濟協調,加速Cosmos項目的用戶和流動性獲取,同時確保ATOM作為網絡儲備貨幣的地位。總結起來就是:Scheduler將IBC的經濟活動貨幣化,收入最終流向Allocator,Allocator支持Cosmos生態中的新項目,擴大了Scheduler的潛在市場容量。
InterchainSecurity鏈間安全,是備受期待的升級之一。如果新推出的應用程序由市值低于該鏈上的TVL的通證質押者來保護,則會有被攻擊的風險。InterchainSecurity允許這些應用鏈從CosmosHub租用安全性,只需要付出一定比例的交易費用,這些應用鏈將能夠得到CosmosHub的驗證者提供的安全保障。
目前ATOM代幣經濟學被人詬病的地方在于高且不穩定的通脹率和缺少價值捕獲方式。白皮書2.0通過InterchainSecurity,取代了用于激勵驗證者和質押者的代幣通脹,反而是用由此產生的安全費用來獎勵驗證者和質押者。用戶可以通過質押憑證,獲得流動性,從而參與更多的鏈上活動,比如參與更多DeFi活動。
Cosmos生態或許不再是一個“松散的聯盟”狀態,而是走向了一個經濟共同體。
思考
做為偶聯萬物的跨鏈生態,ATOM和DOT兩大巨頭中,我認為ATOM在技術和生態方面都比DOT暫時領先。新的白皮書中,新增擴展層和功能層板塊,Allocator將新的Cosmos鏈資本化并激勵它們進行交易,而Scheduler則為高價值IBC交易創造市場并使用收入來支持網絡增長。2.0版本白皮書中還提到了新的代幣模型,生態中可能有新的空頭機會,也是值得關注的。
原文鏈接
Web3黑暗森林自救指南
5000字說透錢包和安全@Aviv
一、我們要掌握一個原則,計算機世界里,幾乎沒有安全的地方,甚至你的每一步操作都有泄露隱私的風險。?
二、焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。?
三、安全使用web3錢包
冷錢包、熱錢包、交易所冷錢包最為安全。
對于大多數人來說,只要做好密碼保護和雙重驗證,交易所實際上會比熱錢包更安全。
USDT的潛在風險
錢包的各類交互操作
一般認為簽名不涉及授權,不會有操作風險,但是遇到非明文寫下的簽名,還是有安全隱患的。除簽名外,最常用的一個功能是授權。黑客們最喜歡用的一招就是讓你在焦慮、興奮、沮喪等情緒下,將你騙到一個假冒網站,讓你無意中將授權交給他。
NFT
網站前端安全
剪貼板安全
關于使用錢包的一些安全建議
a)不要復制,也不要使用網絡傳輸私鑰、助記詞。萬不得已時,蘋果用戶可使用隔空投送,其他用戶可使用telegram
b)大額資產使用獨立的錢包
c)新項目開始前,如果感到危險,可新建立一個錢包去參與
d)對不明來源的空投保持警惕,騙子常常在nft上刻下釣魚網站的網址,將你誘騙到危險的地方
e)對每一次錢包的操作都保持警惕
四、設備安全?
行走web3,保持設備與保證錢包安全同樣重要。
五、社會工程學攻擊?
密碼
郵件釣魚
不要輕信任何客服
個人信息
思考
在web3中,資產的安全尤為重要,近期不斷發生的黑客攻擊事件給我們敲響了警鐘。在與區塊鏈打交道的時候,安全問題離我們每一個人都很近。雖然黑客的攻擊防不勝防,但是我們自己提高警惕,不要泄漏個人隱私和資產,就有辦法保護好錢包和資產。
原文鏈接
zkpass:去中心化KYC
行業的潛在顛覆者@memeswap
zkPass作為一個基于MPC和ZKP的去中心化的KYC解決方案,允許用戶通過他們在Web2的身份發行方發放的憑證向第三方匿名證明他們的身份。在將Web2身份憑證轉換為匿名憑證的整個過程中,不需要集中式服務器或可信硬件。zkPass協議是傳統KYC服務提供商的完美替代品,可以為企業和用戶提供更高水平的KYC解決方案,完全是去中心化的方式。
思考
zkPass的設計思路非常巧妙,一方面通過MPC用于防止欺詐,另一方面又?ZKP用于保護用戶隱私。?
在過往的KYC驗證中,用戶是先將身份數據傳送至KYC代理平臺,再由KYC代理平臺向發證方驗證,這在KYC的過程中,用戶的數據會在KYC代理平臺處進行儲存,而用戶隱私是否會泄露,就全然看KYC平臺的自身操守和相關的數據安全措施。在實際的使用中,以GalxePassport為例,疑似發現代理平臺通過算法虛假KYC的情況。?
于是引出目前KYC的兩點潛在問題:?
1、用戶隱私?
2、虛假KYC?
而zkPass通過MPC的技術,讓用戶KYC數據繞開了KYC代理平臺直接與發證機構通訊認證,并在過程中防止用戶虛構回傳數據進行欺詐,并經由ZK技術幫助用戶在身份脫敏的情況下也能效驗相關資質。?
在沒有傳統身份發布者的任何程序化支持的情況下,zkPass可以最大限度地減少對身份發布者可用性的依賴,并使匿名憑證仍然與身份授權的使用兼容。
zkPass無論是在Web3的去中心化語境中還是在web2的用戶隱私語境中,都是非常優秀的選擇,我覺得并不應該僅僅把它視為單純的web3項目,它是有很大的潛力被Web2組織所采用的。zkPass會是既有的KYC行業的有力挑戰者。
原文鏈接
區塊鏈交易隱私如何保證?
零知識證明(zk-proof)技術實戰解析@Tommy
如何在同態加密及零知識證明框架集成。通過代碼結和應用場景描述了zksnark如何集成到現有聯盟鏈體系保護金融領域交易隱私。?
零知識證明是指一方向另一方證明一個陳述是正確的,而無需透露除該陳述正確以外的任何信息,適用于解決任何NP問題。而區塊鏈恰好可以抽象成多方驗證交易是否有效的平臺,因此,兩者是天然相適應的。
將零知識證明應用到區塊鏈中需要考慮的技術挑戰分為兩大類:
一類是適用于隱私保護的區塊鏈架構設計方案,包括隱秘交易所花資產存在性證明、匿名資產雙花問題、匿名資產花費與轉移、隱秘交易不可區分等技術挑戰;
另一類是零知識證明技術本身帶來的挑戰,包括參數初始化階段、算法性能以及安全問題等技術挑戰。
思考
交易隱私保護這塊的技術應該是比較多的,零知識證明技術并不一定是一個最好的選擇,在安全領域中還有很多諸如同態,秘密分享,不經意傳輸,或者基于TEE硬件的一些隱私保護能力,可以去做一些隱私保護。
在區塊鏈上的數據會公開給所有用戶;但如何保障用戶在交易時防止過多透露信息,隱藏交易的pattern以及用戶交易企圖,zk-proof還在早期的探索階段,后續期待在數據的公開性和用戶隱私之間在技術的不斷發展下有更好的平衡
原文鏈接
原文標題:《a16z:需要監管的應是Web3應用,而非協議》原文作者:MilesJennings原文編譯:DeFi之道互聯網的許多早期支持者主張永遠保持自由和開放.
1900/1/1 0:00:00作者:PrivacyIN作為加密行業備受矚目的潛力賽道,ZK既可以保證知識的隱私性,也可以保證知識的有效性,這使得ZK在「隱私」、「擴容」等領域擁有廣泛應用場景.
1900/1/1 0:00:00鏈捕手消息,在由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會上,Filecoin創始人JuanBenet?發布題為《Filecoin整體規劃》的演講.
1900/1/1 0:00:00鏈捕手消息,BNBChain官方橋BinanceBridge遭遇黑客攻擊,BNBChain官方發推表示,由于活動異常,已經暫停BNBChain的運行.
1900/1/1 0:00:00作者:Jack(0x137),BlockBeats上個月,國內最大的DAO組織之一PandaDAO宣布解散,并在加密社區掀起了不小的波瀾.
1900/1/1 0:00:00鏈捕手消息,據Decrypt報道,Solana聯合創始人AnatolyYakovenko在最新采訪中解釋了最近爆發的網絡中斷問題.
1900/1/1 0:00:00