WEB:Buidler DAO:监管与安全赛道必读文章

作者:?BuidlerDAO

深度精选是我们推荐的本周市场热议主题下必读文章,取材自BuidlerDAO认知蝗虫计划每日推送;在这里,Web3Native的资深读者会从繁杂的信息源中抽取优质文章的核心内容与个人的深度思考。

本期,看项目与监管之间的博弈,寻找灰度地带的划线;安全是不变的焦点,关注技术实现路径,帮助自己建立链上操作的底层认知!

文章速览:

01/监管层详解首例DAO制裁:为Token持有人辩护@菠菜菠菜!?

02/LayerZero的多链野心:技术简析与生态项目一览@YueHan

03/?Unicode视觉攻击深度解析?@Chasey?

04/福布斯曝光Helium内幕:虚假宣传、造血困难、高管敛财@菠菜菠菜!?

05/全面解读Cosmos2.0:从链间安全捕获ATOM价值@YueHan

06/Web3黑暗森林自救指南,5000字说透钱包和安全@Aviv?

07/zkpass:去中心化KYC,行业的潜在颠覆者@memeswap

08/区块链交易隐私如何保证?零知识证明(zk-proof)技术实战解析@Tommy

监管层详解首例DAO制裁:

为Token持有人辩护@菠菜菠菜!

9月22日,美国商品期货交易委员会在周四的新闻稿中发布命令,于美国加州北区地方法院对bZeroX,LLC才能进行的活动;未能按照FCM的要求采用客户识别计划作为银行保密法合规计划的一部分。

CFTC表示,OokiDAO参与的这些活动与基于区块链的去中心化软件协议相关,该协议的功能类似于交易平台。CFTC还认为OokiDAO利用其结构逃避监管,从未以任何身份在委员会注册过,并将OokiDAO认定为「由OokiToken持有人组成的非法人协会」,并要求其支付25万美元的民事罚款,和按照指控停止进一步违反《商品交易法》和CFTC法规的行为。

MEV运营商Flashbots宣布开源Flashbots Builder:11月20日消息,MEV运营商Flashbots宣布开源Flashbots Builder,旨在帮助以太坊生态系统进一步发展,目前源代码已经发布在GitHub上。

Flashbots表示,利用其最新构建的完全去中心化区块构建器新版本SUAVE,每个构建者都能成为区块贡献的一份子,而不会让某个单一实体构建整个区块。[2022/11/21 7:50:35]

思考

这是监管层首例对DAO这个新型组织的指控以及制裁,委员会将OokiDAO非法人协会定义为了OokiToken的持有者,这些持有者对有关运营业务的治理提案进行了投票,而这项定义则源于Bean和Kistner就属于OokiToken持有者。这种做法明显是不公平的,委员会的做法将产生不利于投票的寒蝉效应,从而阻碍良好治理并在这种情况下难以形成合规文化。而从委员会在这此执法行动中的定义方法即可表明:DAO社区中的人不应该投票,即使治理投票鼓励遵守法律。我相信这个案例将会对未来DAO在法律上的定义产生十分重要的影响。

原文链接

LayerZero的多链野心:

技术简析与生态项目一览@YueHan

文章首先讲述了LayerZero的运作机制:LayerZero通过在链上部署一系列的智能合约实现去中心化信息跨链服务。Endpoint上运行着超轻节点,“超轻”两个字体现在该节点只提供指定区块的Blockheader。传输过程中,通过Oracle与Relayer保证信息发送的有效性与安全性。Endpoint是一个部署在链上的合约,负责提供消息的发送与接收。

Relayer和Oracle功能职责是一致的,都是发挥预言机的功能,不过传输的内容有所不同,两者相互独立运行,再由接收链的Endpoint对Relayer和Oracle发送来的信息进行验证与匹配,提高LayerZero的安全冗余性。具体的细节,可以参考《深入浅出:如何理解LayerZero技术原理》一文。?

Web3构建者网络Buildspace完成1000万美元融资,a16z领投:11月18日消息,Web3构建者网络Buildspace近日在其官网上宣布完成1000万美元融资,a16z领投,Founders Inc、Weekend Fund、Y-Combinator、Vayner Fund、Protocol Labs、OrangeDAO、Solana Ventures、OpenSea Ventures、Alchemy Ventures、DreamerVC等参投。

据悉,Buildspace旨在为用户提供探索职业生涯发展的学习平台,现在正专注于Web3领域。目前Buildspace上开设的学习项目包括Solidity、以太坊NFT、Solana Web3 App等。[2022/11/18 13:21:25]

文章的第二部分描述了LayerZero的代表生态项目,包括致力于构建完全可组合的原生资产跨链桥协议LayerZero;主打零滑点,MEV保护的跨链DEX,通过使用LayerZero实现跨链消息传递的Hashflow,以及部署在Arbitrum上基于LayerZero/Stargate的多链借贷项目Radiant等。?

对于未来的展望,作者提到:未来的区块链世界会是怎么样的?LayerZero会给区块链有哪些改变,产生什么样的影响?不知道,不过可以确定的是,未来区块链的发展一定是朝向互联互通的方向进行,即便捷用户又方便开发者。

思考

随着多链生态的发展,资产的跨链成为一个刚需,不过目前并没有一个完美的解决方案。某种程度上,CEX仍然是跨链的最佳选择,跨链桥存在非原生包裹和安全性的缺陷。LayerZero在预言机的帮助下,将部署成本转向按使用付费的可变成本,有望实现新的突破。

原文链接

Unicode视觉攻击深度解析??

@Chasey

Unicode15.0版增加了新规范=Unicode安全机制,意在减少字符视觉带来的同形异意攻击。什么是同形异意攻击?就如数字“1”和字母“I”“l”或是"rn"和“m”在足够小时会难以分辨一样,同形异意攻击指的是:通过注入难以分辨/不可见/重新排序/删除的字符串,来混淆用户的视听,或是影响模型的性能。在本文中,作者主要研究了字形渲染、混合脚本、PunyCode、双向文本、组合字符几方面造成的视觉。

Axie Infinity推出Builders Program计划,旨在进一步提升游戏体验:1月21日消息,P2E游戏Axie Infinity官方宣布推出Builders Program,并提供总计5000枚AXS支持该计划,旨在为社区开发者提供资源、推广、支持和工具以进一步提升Axie Infinity的游戏体验。据Axie Infinity透露,凡是入选的项目至少可以获得价值5000美元的AXS捐赠,还能得到SkyMavis游戏设计和产品的指导,以及Ronin Network测试网、SSO和钱包集成等支持。[2022/1/22 9:05:16]

字形渲染:字形指的是“a/ɑ”,“強/强”,“戶/户/戸”这种某一语义所对应的图形符号,样式不固定。在阿拉伯语等语言中,字形会根据环境中的其他文字而发生改变;此外,还有U+1F512这种编码,其外形和Chrome/Firefox浏览器地址栏中的小锁图标类似,容易引起误导。不当的渲染会带来安全问题。

混合脚本:比如希腊小写字母Omicron和拉丁文o外观难以分辨,苹果产品中编码latinsmallletterdum(U+A771)渲染的字形和latinsmallletterd(U+0064)难以分辨等。利用此特征可以伪造域名。

双向文本:阿拉伯语等倒叙输入的文字与正序输入的文字混在一起时,可能会导致文本序列的混乱。可以利用倒叙显示+空白符伪造域名。

组合字符:如googlè.com和google.com.;io.com和???.com等。浏览器如果不做PunyCode编码,则很容易造成误导。

思考

Unicode的作用是把计算机语言转换成人类可读的字符,视觉与乱码/特殊字符造成的系统崩溃一直存在。对于系统的攻击多为恶作剧,只要删掉无法识别的内容即可;瞄准了用户的域名安全问题则属于恶意钓鱼,防不胜防。

原文链接

福布斯曝光Helium内幕:

虚假宣传、造血困难、高管敛财@菠菜菠菜!

Solana为印度开发者和企业家推出黑客马拉松活动Building out Loud:区块链平台Solana宣布推出针对印度开发者和企业家的黑客马拉松项目Building out Loud。Solana计划与黑客马拉松平台Devfolio以及YouTube影响者Superpumped合作,推出为期3周的活动。Solana邀请学生、Web2和Web3开发者、工程师和任何希望合作进入加密领域的人参与该活动,申请截止日期为8月12日。除了8万美元的现金奖励外,获胜的参与者还将从Solana基金会和知名全球投资者那里筹集资金。这一活动获得包前Coinbase首席技术官(CTO)Balaji Srinivasan、种子投资者Chris McCann、CRED创始人Kunal Shah等加密人士和企业家的支持。(Cointelegraph)[2021/7/27 1:18:30]

Helium?被吹捧为Web3技术的最佳现实用例。但在该项目难以创造收入之际,《福布斯》的一项调查发现,在项目启动之初,Helium高管和他们的朋友就悄悄囤积了大部分财富。?

市值12亿美元的Web3公司Helium得到了a16z?和TigerGlobal的融资,该公司表示正在建设“用户网络”,这是一个为停车计时器和狗项圈等物品提供无线互联网连接的全球网络。用户要做的就是花500美元买一台看起来像Wi-Fi路由器的机器,把它插到墙上,然后获得Helium的加密货币作为回报。一位Helium的投资者声称,所有者可以在几周内收回购买的资金。?

如果对Helium系统的需求上升,推高其Helium网络代币的价值,该公司暗示,网络的收益将由所有人分享。但经《福布斯》揭露后却被狠狠“打脸”了。

思考

个人其实是十分看好Helium的,作为目前全世界最庞大的物联网网络,每月数以万计的新节点加入不断扩大规模足以证明其物联网+区块链的模式对行业的颠覆性,对于福布斯的曝光,其实这种项目方内部吃项目早期红利的案例在Web3中数不胜数,算不上新鲜事,设备造假的问题也在最新的迁移至Solana的提案中提到会引入位置预言机,目前Helium除了正在大力发展新的5G业务外,未来Helium也将引入更多的网络如Wifi、VPN等,个人觉得,项目方画大饼,敛财都不是什么大事情,最难能可贵的还得是“项目方在做事”,万一画的饼实现了呢?

动态 | Coinbase取消“BUIDL”商标注册:据coindesk报道,在社交媒体上收到批评回应后,Coinbase不再寻求对“BUIDL”一词进行商标注册。经美国专利商标局证实,该交易所于12月14日放弃了该商标的申请,加急请求于12月17日获得批准。[2018/12/20]

原文链接

全面解读Cosmos2.0:

从链间安全捕获ATOM价值?@YueHan

Cosmos公布了2.0版本的白皮书,一些核心观点摘录如下:

CosmosV1的白皮书侧重于通过IBC构建出CosmosHub和通信模型,这一点现在已经实现了。

今天的ATOM是Cosmos生态系统中的MEME,它可以做到更多。CosmosHub成为了Cosmos生态成功的牺牲品。InterchainScheduler和InterchainAllocator将成为Cosmos生态的重要组成部分.

InterchainScheduler是Cosmos中的一个跨链区块空间市场,它从跨链MEV中产生收入。InterchainAllocator,旨在简化整个Cosmos网络的经济协调,加速Cosmos项目的用户和流动性获取,同时确保ATOM作为网络储备货币的地位。总结起来就是:Scheduler将IBC的经济活动货币化,收入最终流向Allocator,Allocator支持Cosmos生态中的新项目,扩大了Scheduler的潜在市场容量。

InterchainSecurity链间安全,是备受期待的升级之一。如果新推出的应用程序由市值低于该链上的TVL的通证质押者来保护,则会有被攻击的风险。InterchainSecurity允许这些应用链从CosmosHub租用安全性,只需要付出一定比例的交易费用,这些应用链将能够得到CosmosHub的验证者提供的安全保障。

目前ATOM代币经济学被人诟病的地方在于高且不稳定的通胀率和缺少价值捕获方式。白皮书2.0通过InterchainSecurity,取代了用于激励验证者和质押者的代币通胀,反而是用由此产生的安全费用来奖励验证者和质押者。用户可以通过质押凭证,获得流动性,从而参与更多的链上活动,比如参与更多DeFi活动。

Cosmos生态或许不再是一个“松散的联盟”状态,而是走向了一个经济共同体。

思考

做为偶联万物的跨链生态,ATOM和DOT两大巨头中,我认为ATOM在技术和生态方面都比DOT暂时领先。新的白皮书中,新增扩展层和功能层板块,Allocator将新的Cosmos链资本化并激励它们进行交易,而Scheduler则为高价值IBC交易创造市场并使用收入来支持网络增长。2.0版本白皮书中还提到了新的代币模型,生态中可能有新的空头机会,也是值得关注的。

原文链接

Web3黑暗森林自救指南

5000字说透钱包和安全@Aviv

一、我们要掌握一个原则,计算机世界里,几乎没有安全的地方,甚至你的每一步操作都有泄露隐私的风险。?

二、焦虑和傲慢这两种情绪是我们在区块链世界最大的敌人。?

三、安全使用web3钱包

冷钱包、热钱包、交易所冷钱包最为安全。

对于大多数人来说,只要做好密码保护和双重验证,交易所实际上会比热钱包更安全。

USDT的潜在风险

钱包的各类交互操作

一般认为签名不涉及授权,不会有操作风险,但是遇到非明文写下的签名,还是有安全隐患的。除签名外,最常用的一个功能是授权。黑客们最喜欢用的一招就是让你在焦虑、兴奋、沮丧等情绪下,将你到一个假冒网站,让你无意中将授权交给他。

NFT

网站前端安全

剪贴板安全

关于使用钱包的一些安全建议

a)不要复制,也不要使用网络传输私钥、助记词。万不得已时,苹果用户可使用隔空投送,其他用户可使用telegram

b)大额资产使用独立的钱包

c)新项目开始前,如果感到危险,可新建立一个钱包去参与

d)对不明来源的空投保持警惕,子常常在nft上刻下钓鱼网站的网址,将你诱到危险的地方

e)对每一次钱包的操作都保持警惕

四、设备安全?

行走web3,保持设备与保证钱包安全同样重要。

五、社会工程学攻击?

密码

邮件钓鱼

不要轻信任何客服

个人信息

思考

在web3中,资产的安全尤为重要,近期不断发生的黑客攻击事件给我们敲响了警钟。在与区块链打交道的时候,安全问题离我们每一个人都很近。虽然黑客的攻击防不胜防,但是我们自己提高警惕,不要泄漏个人隐私和资产,就有办法保护好钱包和资产。

原文链接

zkpass:去中心化KYC

行业的潜在颠覆者@memeswap

zkPass作为一个基于MPC和ZKP的去中心化的KYC解决方案,允许用户通过他们在Web2的身份发行方发放的凭证向第三方匿名证明他们的身份。在将Web2身份凭证转换为匿名凭证的整个过程中,不需要集中式服务器或可信硬件。zkPass协议是传统KYC服务提供商的完美替代品,可以为企业和用户提供更高水平的KYC解决方案,完全是去中心化的方式。

思考

zkPass的设计思路非常巧妙,一方面通过MPC用于防止欺诈,另一方面又?ZKP用于保护用户隐私。?

在过往的KYC验证中,用户是先将身份数据传送至KYC代理平台,再由KYC代理平台向发证方验证,这在KYC的过程中,用户的数据会在KYC代理平台处进行储存,而用户隐私是否会泄露,就全然看KYC平台的自身操守和相关的数据安全措施。在实际的使用中,以GalxePassport为例,疑似发现代理平台通过算法虚假KYC的情况。?

于是引出目前KYC的两点潜在问题:?

1、用户隐私?

2、虚假KYC?

而zkPass通过MPC的技术,让用户KYC数据绕开了KYC代理平台直接与发证机构通讯认证,并在过程中防止用户虚构回传数据进行欺诈,并经由ZK技术帮助用户在身份脱敏的情况下也能效验相关资质。?

在没有传统身份发布者的任何程序化支持的情况下,zkPass可以最大限度地减少对身份发布者可用性的依赖,并使匿名凭证仍然与身份授权的使用兼容。

zkPass无论是在Web3的去中心化语境中还是在web2的用户隐私语境中,都是非常优秀的选择,我觉得并不应该仅仅把它视为单纯的web3项目,它是有很大的潜力被Web2组织所采用的。zkPass会是既有的KYC行业的有力挑战者。

原文链接

区块链交易隐私如何保证?

零知识证明(zk-proof)技术实战解析@Tommy

如何在同态加密及零知识证明框架集成。通过代码结和应用场景描述了zksnark如何集成到现有联盟链体系保护金融领域交易隐私。?

零知识证明是指一方向另一方证明一个陈述是正确的,而无需透露除该陈述正确以外的任何信息,适用于解决任何NP问题。而区块链恰好可以抽象成多方验证交易是否有效的平台,因此,两者是天然相适应的。

将零知识证明应用到区块链中需要考虑的技术挑战分为两大类:

一类是适用于隐私保护的区块链架构设计方案,包括隐秘交易所花资产存在性证明、匿名资产双花问题、匿名资产花费与转移、隐秘交易不可区分等技术挑战;

另一类是零知识证明技术本身带来的挑战,包括参数初始化阶段、算法性能以及安全问题等技术挑战。

思考

交易隐私保护这块的技术应该是比较多的,零知识证明技术并不一定是一个最好的选择,在安全领域中还有很多诸如同态,秘密分享,不经意传输,或者基于TEE硬件的一些隐私保护能力,可以去做一些隐私保护。

在区块链上的数据会公开给所有用户;但如何保障用户在交易时防止过多透露信息,隐藏交易的pattern以及用户交易企图,zk-proof还在早期的探索阶段,后续期待在数据的公开性和用户隐私之间在技术的不断发展下有更好的平衡

原文链接

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:93ms0-0:710ms