Buidler DAO:蝗虫精选(10):监管与安全赛道必读文章
深度精选是我们推荐的本周市场热议主题下必读文章,取材自 Buidler DAO 认知蝗虫计划每日推送;在这里,Web 3 Native 的资深读者会从繁杂的信息源中抽取优质文章的核心内容与个人的深度思考。
本期,看项目与监管之间的博弈,寻找灰度地带的划线;安全是不变的焦点,关注技术实现路径,帮助自己建立链上操作的底层认知!
文章速览:
01/ 监管层详解首例 DAO 制裁:为 Token 持有人辩护 @菠菜菠菜!
02/ LayerZero的多链野心:技术简析与生态项目一览 @Yue Han
03/ Unicode 视觉欺骗攻击深度解析 @Chasey
04/ 福布斯曝光Helium内幕:虚假宣传、造血困难、高管敛财 @菠菜菠菜!
05/ 全面解读Cosmos2.0:从链间安全捕获ATOM价值 @Yue Han
06/ Web3黑暗森林自救指南,5000字说透钱包和安全 @Aviv
07/ zkpass:去中心化KYC,行业的潜在颠覆者 @memeswap
08/ 区块链交易隐私如何保证?零知识证明 (zk-proof) 技术实战解析 @Tommy
监管层详解首例 DAO 制裁:
为 Token 持有人辩护@菠菜菠菜!
9月22日,美国商品期货交易委员会(CFTC)在周四的新闻稿中发布命令,于美国加州北区地方法院对 bZeroX, LLC(后来 bZeroX 将 bZx 协议「现为 Ooki 协议」的控制权转移给 bZx DAO「现为 Ooki DAO」) 及其创始人 Tom Bean 和 Kyle Kistner 提起联邦民事执法诉讼,指控其非法提供杠杆和数字资产中的保证金零售商品交易;从事只有注册期货佣金商(FCM)才能进行的活动;未能按照 FCM 的要求采用客户识别计划作为银行保密法合规计划的一部分。CFTC 表示,Ooki DAO 参与的这些活动与基于区块链的去中心化软件协议相关,该协议的功能类似于交易平台。CFTC 还认为 Ooki DAO 利用其结构逃避监管,从未以任何身份在委员会注册过,并将 Ooki DAO 认定为「由 Ooki Token 持有人组成的非法人协会」,并要求其支付 25 万美元的民事罚款,和按照指控停止进一步违反《商品交易法》(CEA)和 CFTC 法规的行为。
思考
这是监管层首例对 DAO 这个新型组织的指控以及制裁,委员会将 Ooki DAO 非法人协会定义为了 Ooki Token 的持有者,这些持有者对有关运营业务的治理提案进行了投票,而这项定义则源于 Bean 和 Kistner 就属于 Ooki Token 持有者。这种做法明显是不公平的,委员会的做法将产生不利于投票的寒蝉效应,从而阻碍良好治理并在这种情况下难以形成合规文化。而从委员会在这此执法行动中的定义方法即可表明:DAO 社区中的人不应该投票,即使治理投票鼓励遵守法律。我相信这个案例将会对未来DAO在法律上的定义产生十分重要的影响。
原文链接:
https://m.theblockbeats.info/news/31920
LayerZero的多链野心:
技术简析与生态项目一览 @Yue Han
文章首先讲述了 LayerZero 的运作机制:LayerZero 通过在链上部署一系列的智能合约(Endpoint)实现去中心化信息跨链服务。Endpoint 上运行着超轻节点,“超轻”两个字体现在该节点只提供指定区块的 Block header。传输过程中,通过 Oracle 与 Relayer 保证信息发送的有效性与安全性。Endpoint 是一个部署在链上的合约,负责提供消息的发送与接收。Relayer 和 Oracle 功能职责是一致的,都是发挥预言机 的功能,不过传输的内容有所不同,两者相互独立运行,再由接收链的 Endpoint 对 Relayer 和 Oracle 发送来的信息进行验证与匹配,提高 LayerZero 的安全冗余性。具体的细节,可以参考《深入浅出:如何理解 Layer Zero 技术原理》一文。
文章的第二部分描述了 LayerZero 的代表生态项目,包括致力于构建完全可组合的原生资产跨链桥协议Layer Zero;主打零滑点,MEV 保护的跨链 DEX,通过使用 LayerZero 实现跨链消息传递的Hashflow,以及部署在 Arbitrum 上基于 LayerZero/Stargate 的多链借贷项目Radiant等。
对于未来的展望,作者提到:未来的区块链世界会是怎么样的?LayerZero 会给区块链有哪些改变,产生什么样的影响?不知道,不过可以确定的是,未来区块链的发展一定是朝向互联互通的方向进行,即便捷用户又方便开发者。
思考
随着多链生态的发展,资产的跨链成为一个刚需,不过目前并没有一个完美的解决方案。某种程度上,CEX仍然是跨链的最佳选择,跨链桥存在非原生包裹和安全性的缺陷。Layer Zero在预言机的帮助下,将部署成本转向按使用付费的可变成本,有望实现新的突破。
原文链接:
https://www.odaily.news/post/5181874https://foresightnews.pro/article/detail/2100
Unicode 视觉欺骗攻击深度解析
@Chasey
Unicode 15.0 版增加了新规范 = Unicode 安全机制(UTS#39),意在减少字符视觉欺骗带来的同形异意攻击。什么是同形异意攻击?就如数字“1”和字母“I”“l”或是"rn"和“m”在足够小时会难以分辨一样,同形异意攻击指的是:通过注入难以分辨/不可见/重新排序/删除的字符串,来混淆用户的视听,或是影响模型的性能。在本文中,作者主要研究了字形渲染、混合脚本、PunyCode、双向文本、组合字符几方面造成的视觉欺骗。
字形渲染:字形指的是 “a / ɑ”, “強/强”,“戶/户/戸”这种某一语义所对应的图形符号,样式不固定。在阿拉伯语等语言中,字形会根据环境中的其他文字而发生改变;此外,还有 U+1F512 这种编码,其外形和 Chrome/Firefox浏览器地址栏中的小锁图标类似,容易引起误导。不当的渲染会带来安全问题。
混合脚本:比如希腊小写字母 Omicron 和拉丁文 o 外观难以分辨,苹果产品中编码 latin small letter dum (U+A771) 渲染的字形和 latin small letter d (U+0064) 难以分辨等。利用此特征可以伪造域名。
双向文本:阿拉伯语等倒叙输入的文字与正序输入的文字混在一起时,可能会导致文本序列的混乱。可以利用倒叙显示+空白符伪造域名。
组合字符:如 googlè.com 和 google.com.;io.com 和 סוֹ.com 等。浏览器如果不做 PunyCode 编码,则很容易造成误导。
思考
Unicode 的作用是把计算机语言转换成人类可读的字符,视觉欺骗与乱码/特殊字符造成的系统崩溃一直存在。对于系统的攻击多为恶作剧,只要删掉无法识别的内容即可;瞄准了用户的域名安全问题则属于恶意钓鱼,防不胜防。
原文链接:
https://web3caff.com/zh/archives/32713
福布斯曝光Helium内幕:
虚假宣传、造血困难、高管敛财 @菠菜菠菜!
Helium 被吹捧为 Web3 技术的最佳现实用例。但在该项目难以创造收入之际,《福布斯》的一项调查发现,在项目启动之初,Helium 高管和他们的朋友就悄悄囤积了大部分财富。
市值 12 亿美元的 Web3 公司 Helium 得到了 a16z 和 Tiger Global 的融资,该公司表示正在建设“用户网络”(People’s Network),这是一个为停车计时器和狗项圈等物品提供无线互联网连接的全球网络。用户要做的就是花 500 美元买一台看起来像 Wi-Fi 路由器的机器,把它插到墙上,然后获得 Helium 的加密货币作为回报(一种循环的被动收入流)。一位 Helium 的投资者声称,所有者可以在几周内收回购买的资金。
如果对 Helium 系统的需求上升,推高其 Helium 网络代币(HNT)的价值,该公司暗示,网络的收益将由所有人分享。但经《福布斯》揭露后却被狠狠“打脸”了。
思考
个人其实是十分看好 Helium 的,作为目前全世界最庞大的物联网网络,每月数以万计的新节点加入不断扩大规模足以证明其物联网 + 区块链的模式对行业的颠覆性,对于福布斯的曝光,其实这种项目方内部吃项目早期红利的案例在 Web3 中数不胜数,算不上新鲜事,设备造假的问题也在最新的迁移至 Solana 的提案中提到会引入位置预言机,目前 Helium 除了正在大力发展新的 5G 业务外,未来 Helium 也将引入更多的网络如Wifi、VPN等,个人觉得,项目方画大饼,敛财都不是什么大事情,最难能可贵的还得是“项目方在做事”,万一画的饼实现了呢?
原文链接:
https://m.marstelegram.com/newsdetailShare/20220926174832542538.html
全面解读Cosmos2.0:
从链间安全捕获ATOM价值 @Yue Han
Cosmos公布了2.0版本的白皮书,一些核心观点摘录如下:
Cosmos V1 的白皮书侧重于通过 IBC 构建出 Cosmos Hub 和通信模型,这一点现在已经实现了。
今天的 ATOM 是 Cosmos 生态系统中的 MEME,它可以做到更多。Cosmos Hub 成为了 Cosmos 生态成功的牺牲品。Interchain Scheduler 和 Interchain Allocator 将成为 Cosmos 生态的重要组成部分.
Interchain Scheduler (链间调度器)是Cosmos 中的一个跨链 区块空间市场,它从跨链 MEV 中产生收入。Interchain Allocator (链间分配器),旨在简化整个 Cosmos 网络的经济协调,加速 Cosmos 项目的用户和流动性获取,同时确保 ATOM 作为网络储备货币的地位。总结起来就是:Scheduler 将 IBC 的经济活动货币化,收入最终流向 Allocator,Allocator 支持 Cosmos 生态中的新项目,扩大了 Scheduler 的潜在市场容量。
Interchain Security 链间安全,是备受期待的升级之一。如果新推出的应用程序由市值低于该链上的 TVL 的通证质押者来保护,则会有被攻击的风险。Interchain Security 允许这些应用链从 Cosmos Hub 租用安全性,只需要付出一定比例的交易费用,这些应用链将能够得到 Cosmos Hub 的验证者提供的安全保障。
目前 ATOM 代币经济学被人诟病的地方在于高且不稳定的通胀率和缺少价值捕获方式。白皮书 2.0 通过 Interchain Security,取代了用于激励验证者和质押者的代币通胀,反而是用由此产生的安全费用来奖励验证者和质押者。用户可以通过质押凭证,获得流动性,从而参与更多的链上活动,比如参与更多 DeFi 活动。
Cosmos 生态或许不再是一个“松散的联盟”状态,而是走向了一个经济共同体。
思考
做为偶联万物的跨链生态,ATOM和 DOT 两大巨头中,我认为 ATOM 在技术和生态方面都比 DOT 暂时领先。新的白皮书中,新增扩展层和功能层板块,Allocator 将新的 Cosmos 链资本化并激励它们进行交易,而 Scheduler 则为高价值 IBC 交易创造市场并使用收入来支持网络增长。2.0版本白皮书中还提到了新的代币模型,生态中可能有新的空头机会,也是值得关注的。
原文链接:
https://mp.weixin.qq.com/s/W6WSplyVO4mNHxvEizMPnA
https://www.odaily.news/post/5182004https://mp.weixin.qq.com/s/oIaI_O_0agXmzF_WPe3hTw
Web3黑暗森林自救指南
5000字说透钱包和安全 @Aviv
一、我们要掌握一个原则,计算机世界里,几乎没有安全的地方,甚至你的每一步操作都有泄露隐私的风险。
二、焦虑和傲慢这两种情绪是我们在区块链世界最大的敌人。
三、安全使用web3钱包
冷钱包、热钱包、交易所冷钱包最为安全。
对于大多数人来说,只要做好密码保护和双重验证,交易所实际上会比热钱包更安全。
USDT的潜在风险
钱包的各类交互操作
一般认为签名不涉及授权,不会有操作风险,但是遇到非明文写下的签名,还是有安全隐患的。除签名外,最常用的一个功能是授权。黑客们最喜欢用的一招就是让你在焦虑、兴奋、沮丧等情绪下,将你骗到一个假冒网站,让你无意中将授权交给他。
NFT
网站前端安全
剪贴板安全
关于使用钱包的一些安全建议
a)不要复制,也不要使用网络传输私钥、助记词。万不得已时,苹果用户可使用隔空投送,其他用户可使用telegram(相对安全)
b)大额资产使用独立的钱包
c)新项目开始前,如果感到危险,可新建立一个钱包去参与
d)对不明来源的空投保持警惕,骗子常常在nft上刻下钓鱼网站的网址,将你诱骗到危险的地方
e)对每一次钱包的操作都保持警惕
四、设备安全
行走web3,保持设备与保证钱包安全同样重要。
五、社会工程学攻击
密码
邮件钓鱼
不要轻信任何客服
个人信息
思考
在 web3 中,资产的安全尤为重要,近期不断发生的黑客攻击事件给我们敲响了警钟。在与区块链打交道的时候,安全问题离我们每一个人都很近。虽然黑客的攻击防不胜防,但是我们自己提高警惕,不要泄漏个人隐私和资产,就有办法保护好钱包和资产。
原文链接:
https://mp.weixin.qq.com/s/q0yrALsPvSiX6w2BqqBqwQ
zkpass:去中心化KYC
行业的潜在颠覆者 @memeswap
zkPass作为一个基于MPC(多方计算)和ZKP(零知识证明)的去中心化的KYC解决方案,允许用户通过他们在 Web2 的身份发行方发放的凭证向第三方(其他项目方/验证方)匿名证明他们的身份。在将Web2身份凭证转换为匿名凭证的整个过程中,不需要集中式服务器(传统的KYC平台)或可信硬件(TEE等)。zkPass协议是传统KYC服务提供商的完美替代品,可以为企业和用户提供更高水平的KYC解决方案,完全是去中心化的方式。
思考
zkPass的设计思路非常巧妙,一方面通过 MPC 用于防止欺诈(用户伪造数据),另一方面又 ZKP 用于保护用户隐私。
在过往的 KYC 验证中,用户是先将身份数据传送至 KYC 代理平台,再由 KYC 代理平台向发证方验证(发证方是权威机构,比如银行),这在 KYC 的过程中,用户的数据会在 KYC 代理平台处进行储存,而用户隐私是否会泄露,就全然看 KYC 平台的自身操守和相关的数据安全措施。在实际的使用中,以 Galxe Passport 为例,疑似发现代理平台通过算法虚假 KYC 的情况(有用户简单把自己的头像 ps 在别人的 ID 上进行认证也能通过)。
于是引出目前 KYC 的两点潜在问题:
1、用户隐私
2、虚假KYC
而 zkPass 通过 MPC 的技术,让用户 KYC 数据绕开了 KYC代理平台直接与发证机构通讯认证,并在过程中防止用户虚构回传数据进行欺诈,并经由ZK技术帮助用户在身份脱敏的情况下也能效验相关资质。
在没有传统身份发布者的任何程序化支持的情况下,zkPass 可以最大限度地减少对身份发布者可用性的依赖,并使匿名凭证仍然与身份授权的使用兼容。
zkPass无论是在 Web3 的去中心化语境中还是在 web2 的用户隐私语境中,都是非常优秀的选择,我觉得并不应该仅仅把它视为单纯的 web3 项目,它是有很大的潜力被 Web2 组织所采用的。zkPass会是既有的 KYC 行业的有力挑战者。
原文链接:
https://docsend.com/view/x8aeie95qugdgpxn
https://docsend.com/view/s/ebnbkz6i77bz37ka
区块链交易隐私如何保证?
零知识证明 (zk-proof) 技术实战解析 @Tommy
如何在同态加密及零知识证明框架集成。通过代码结和应用场景描述了 zksnark 如何集成到现有联盟链体系保护金融领域交易隐私 。
零知识证明是指一方(证明者)向另 一方(验证者)证明一个陈述是正确的, 而无需透露除该陈述正确以外的任何信息,适用于解决任何NP问题。而区块链恰好可以抽象成多方验证交易是否有效 (NP问题)的平台,因此,两者是天然相适应的。
将零知识证明应用到区块 链中 需要考虑的技术挑战分为两大类:
一类是适用于隐私保护的区块链架构设计方案,包括隐秘交易所花资产存在性证明、匿名资产双花问题、匿名资产花费与转移、隐秘交易不可区分等技术挑战;
另一类是零知识证明技术本身带来的挑战,包括参数初始化阶段、算法性能以及安 全问题 等技术挑战。
思考
交易隐私保护这块的技术应该是比较多的,零知识证明技术并不一定是一个最好的选择,在安全领域中还有很多诸如同态,秘密分享,不经意传输,或者基于TEE硬件的一些隐私保护能力,可以去做一些隐私保护 。
在区块链上的数据会公开给所有用户;但如何保障用户在交易时防止过多透露信息,隐藏交易的 pattern 以及用户交易企图,zk-proof还在早期的探索阶段,后续期待在数据的公开性和用户隐私之间在技术的不断发展下有更好的平衡。
原文链接:
https://www.huaweicloud.com/zhishi/bcs15
「认知蝗虫」由 Buidler DAO 投研公会推出,更多了解请查看(点击阅读原文):
https://buidlerdao.notion.site/b0ee90f0929b4dc68e1ac58dbe4ddba7
加入 DC 社区:
文章:@Buidler DAO
设计:@Rui
排版:@Coucou @满意my