FX168财经网_全球视野外汇黄金加密货币NFT资讯网

中国、海外皆疯传爆料！男子寻回11年前43.6枚比特币现值已破300万美元

币，价值已突破300万美元。他通过硬件黑客Joe Grand及其朋友Bruno帮助，发现可利用的漏洞，并最终成功破解了密码。据悉，2013年时，Michael将43.6枚比特币(当时价值5300美元)存放在一个加密钱包中。当时他利用RoboForm密码管理器，为钱包生成了一个20个字元的密码，并将该密码储存在一个用TrueCrypt加密的文件里。 (来源:Wired) 不幸的是，该文件后来损坏了，导致Michael无法再访问其钱包。为了恢复他的密码，他再三联系了硬件黑客Joe Grand寻求协助。Grand以“Kingpin”称号闻名，于2022年曾帮助一位加密用户恢复了对其Trezor钱包的访问权限。后来，Grand与德国一位名叫Bruno的朋友合作，透过逆向工程发现2013年版本的RoboForm密码管理器存在漏洞，即该系统将密码产生与电脑的日期和时间挂钩，导致产生的密码可以预测，2015年该漏洞已修复。这意味着，只要知道密码产生的大致时间和其他参数，如密码长度、字元类型等，他们就可以计算出在过去某个特定日期和时间生成的任何密码。在实际操作中，他们调整了RoboForm的时间设置，让该软体认为当前的日期是Michael在2013年创建密码时的日期，以尝试重现原密码。尽管在这一过程中Michael不能准确回忆密码创建日期，但透过不断的时间范围调整和参数变更。他们最终用GMT时间2013年5月15日下午4时10分40秒成功找到了正确的密码。若对详细的技术细节有兴趣，可自行参考Grand和Bruno的Youtube视频。 (来源:Youtube) 尽管RoboForm开发商Siber Systems后来已修复了漏洞，但Grand警告说：“在不知道Siber如何解决该漏洞的情况下，攻击者仍然可以重新生成2015年修复版本发布前RoboForm生成的密码。” 他建议有使用该工具的用户，尽快更新密码或使用其他的密码管理器。在2023年11月，Grand和Bruno在协助Michael恢复钱包访问后，提取了一定比例的比特币作为服务费。当时，比特币的价格为每枚38000美元。随后，当比特币价格攀升至62000美元时，Michael出售了部分比特币。目前他仍持有30枚比特币，价值超过200万美元，并正在等待价格能够达到每枚10万美元。 Michael也提到，多年前丢失的密码，现在反而成了他的致富关键。 “我丢失密码反而为我带来了经济上的好处。如果不是因为丢失密码，我可能在比特币价格只有40000美元时就抛售了它们，从而错过了更大的财富增值机会，”他称。此前，中国社群在推特疯传消息，一名男子意外在索尼品牌电脑上，寻获父亲2015年购买的4000枚比特币。如今，这些比特币的价值已突破20亿元人民币。但网传“钱包被破解找回”的信息，疑似为虚构故事。中文圈知名意见领袖Morris周一(5月27日)在推特写道：“他说，他爸在2015年买的4000枚比特币，被找到了。”消息传出后，吸引超过120万次浏览量。延伸阅读：中国一则爆料疯传全网！父亲多年前4000枚比特币意外寻获现价已破20亿元人民币

圈内人2024-05-30

BTC“跨链”方式及安全性分析

注意：在做安全性分析时，我们均排除“黑客风险”“技术代码漏洞风险” 多签的最大风险是组成多签的这部分人/个体/机构的风险。 MS-1：一般的多签桥安全分析：风险主要来源于多签人的构成，如果多签全部或主要由项目方相关人员把控，表面上用户看到的是多签，实际上跟“单签”没区别。 MS-2：选定有背景的个人/机构的多签桥安全分析：这种情况下安全性会好很多，相当于有背景的多签，人为作恶可能性会降低（考虑到名声等因素），但如果可能的利润足够大，多方依然有联合作恶的可能，引入受法规监管的机构会更好点。 MS-3：去中心化的多签人+随机选取的多签桥安全分析：很多人担心多签人的构成，那么引入足够多的多签人，争取“多签人去中心化”，然后在实际的操作过程中随机抽取多签人作为验证者，那么这种安全性又会高一些；不过我们需要观察这个“去中心化”的程度和真实性，否则又只是表面上的东西。 2、MPC 2.1 概述这是一种使用被称为多方计算 (MPC) 的技术来保护交易的方案。简单来说，多签方案需要多个人的私钥签名，而MPC方案是将一个私钥拆分为很多部分，加密之后分配给多个个体，当需要交易的时候，一个个体提出来，然后大家都用同样的函数算法计算后结合在一起就可以批准交易。这个技术也可以和多签结合起来，即使用N中的M个就可以组建有效签名。 MPC方案相对于多签是更新的技术，当然也有不少的争议。比如“可问责性”，对于外人来看，MPC签名的各个部分是无法区分到底是谁做的，所以一旦出问题如何追责是一个很大的问题。 2.2 安全性分析 MPC与多签类似，但也有所不同；最大风险是组成MPC的节点的风险，还有就是计算函数参数的泄露风险。 MPC-1：一般的MPC 安全分析：组成MPC的节点都是项目方的或者是利益相关的，那么随时都有rug的可能。 MPC-2：选用有背景的个人/机构等作为节点安全分析：安全性相对会好很多，但同样的，如果可能的利润足够大，多方依然有联合作恶的可能。 MPC-3：引入去中心化节点并充分采用TEE环境安全分析：如果充分引入去中心化的见证者，然后随机选取，在TEE内进行签名，相对来说安全性又会高不少。同时，可以引入随机选取函数、隐藏见证人信息等各个方式来提升其他维度的安全性。统一风险：TEE参数泄露如果在生成计算函数的时候TEE参数被泄露，或者作为节点的TEE环境被攻克或者恶意泄露，那么整个安全系统就失效了。 3、DLC 3.1 概述 DLC是谨慎日志合约（Discreet Log Contracts）的简称。这个技术是由麻省理工学院的 Tadge Dryja 在 2018 年提出的，是一套简洁的断言机合约方案。举例来说，A和B打赌，如果明天BTC价格到100,000那么A给B 1BTC，如果没到那么B给A 1BTC；然后他们在链下利用DLC生成这样的合约并且注资签名，但是这个交易是无效的，必须要有断言机的签名才能变成有效交易，断言机就相当于我们的oracle（类似link的作用），然后当断言机提供了信息然后签名了之后，DLC合约就会执行，比如BTC价格达到了100,000，那么注资里面的A 的1BTC就会转给B。而且，有意思的是，DLC可以让断言机根本不知道合约内容是什么，断言机只需要提供数据就可以了，这样就能一定程度上避免断言机作恶的可能性。 3.2 安全性分析 DLC方案的主要风险在于断言机。 DLC-1：一般的DLC（项目方提供断言机）安全分析：由项目方提供断言机，一般来说只在测试阶段使用，如果在正式网络这样使用的话，那么安全性完全取决于项目方的作恶意图。 DLC-2：引入第三方断言机安全分析：这种情况下，安全性会提升，特别是当第三方比较知名的情况下，可能的问题是断言机遭受攻击报错的风险，当然，合谋的风险也还是有的。 DLC-3：引入多个第三方断言机安全分析：这种情况下，安全性再得到提升，避免了单点故障的风险。当然，我们还可以再其上加入其它的技术，比如op等来提升安全性。 DLC的方案还是比较有意思的，但是目前貌似还没有这种专业的断言机；并且，还有一个问题是：这种断言机需要罗列所有的可能性预先进行签名，从而才能在对应事件发生时触发合约，比较繁琐。 4、时间锁 4.1 概述原则上时间锁并不属于“跨链”的范畴，它能实现的是“质押”功能，但是因为它能实现BTC上的原生质押并且质押之后可以通过其他方式生成凭证变相“跨链”，因此也放在这里一起讨论。 “时间锁” ，顾名思义，就是限定条件是与时间有关的锁。具体来说，就是必须有一个时间事件发生后才能打开的锁。BTC系统种有“绝对时间锁”和“相对时间锁”两种，前者是规定一个具体的时间点（比如一个日期或者一个区块高度）后解锁，后者是规定一个时延（比如过多少个区块的数量）后解锁。举例来说，我们可以定义一笔钱必须在高度385421后才能花费，这是绝对时间锁；我们也可以定义一笔钱必须得到6个区块确认之后才能花费，这就是相对时间锁。时间锁能实现的功能其实挺多的，比如： 1）强制存储。有点类似于定期存款的味道，怕自己拿不住，就放在一个具有time-lock脚本的地址里面，只有到时间才能取出来； 2）意外容灾。比如自己有BTC资产，但是担心自己出意外，可以配合多签来设定自己的私钥签名可以直接花费这个BTC，但是如果一年都没有动了，那么就可以由另外的几个私钥来花费这个BTC； 3）无信任的仲裁。比如争端事件，需要仲裁机构参与，那么可以设定一个相对时间锁的方式来提供这样无信任的仲裁介入方案。 4）…… 4.2 安全性分析时间锁因为技术很原生，而且对于BTC“跨链”范畴来说主要是用于质押，而在质押上是到期解质押，控制权一直在用户手里，所以等同于主网安全性。当然，有可能一些质押项目会有slash的措施，风险点就在于误报slash造成资产损失。 5、Bitvm 5.1 概述 BitVM技术估计很多人都听过，简单来说，就是利用现有的opcodes进行组合，形成足够为BTC主网带来图灵完备（其实不能完全这样认为，准确来说是对现有需求足够“图灵完备”）能力的一种技术方案。这个方案很晦涩，而且实现和落地过程都比较复杂，但是基于其有巨大的前景，依然有很多人看好。对应跨链这个方向，如果可以基于BitVM实现ZK桥或者OP桥，那么就能和EVM系相同了。 5.2 安全性分析如果能实现，安全性也是毋庸置疑的，但是需要观察落地情况，目前来说比较难。 6、Covenants 6.1 概述 Covenants，中文译作「限制条款」，有时也翻译为「契约」，是一种能够给未来的比特币交易设置条件的机制。你可以理解为这些都是BTC系统中的操作码，包括现有的、还在审核的、已经被弃用的等等。这些脚本操作码是形成BTC扩展能力的关键。我们很自然可以想到，如果我们可以多启用一些操作码，是不是就可以提升扩展性从而实现比如原生的跨链了呢？这个观点是没问题的，但是引入新的操作码，或者是引入新的限制条款也可能会导致一些计划外的滥用或漏洞，因此社区对此也比较谨慎。另外，限制条款的升级也需要涉及到共识规则的软分叉升级。鉴于 taproot 升级时的情形，限制条款相关的升级可能也需要很长时间来完成。比如最近呼声很高的OP_CAT一旦通过确实能够提升BTC的扩展能力，但是其潜在的未知风险让通过的可能性不大。来源：https://s.foresightnews.pro/article/detail/60406 6.2 安全性分析事实上，暂时无法分析这种方案的安全性，因为暂时还是没有方案的，只是一种可能性，不过从原理上来说，如果这种方案能够落地，相对是比较原生的，安全性比较高。 7、总结从BTC的跨链方式的多样性我们可以看出，行业内人员在通过各种各样的方式来尝试解决这个问题。因为扩展能力的不足，所以很多“奇技淫巧”都在被挖掘出来。当前主要的跨链是通过多签来实现的，虽然一般的多签方案潜藏着资产风险，也不大符合“自己掌握资产控制权”的理念，但是因为其相对简单，体验方便，是很多项目的首选方式，我们也能看到一些项目基于多签的优化方案等。不过，可喜的是，我们也能在BTC生态发展中看到越来越多原生的跨链方案，它们很侧重“资产安全性”，毕竟“BTC是最优质的的资产”的概念是深入人心的，安全的跨链才能够让BTC持有者放心的投入进来。这一方面的具体项目和技术解析，可以多看看极客web3的一些推文。来源：金色财经

金色财经2024-05-30

年内涨幅超过1100% 看懂PEPE的过去与未来

所，吓坏了持有者并导致抛售。最初归因于黑客攻击，PEPE 的 Twitter 透露，这一变化是由于团队内部动荡，而不是盗窃。该代币在今年余下的时间里都受到了这种影响，直到 2 月份再次开始上涨。随着最近的暴涨，该代币已攀升至 memecoin 之巅，目前的市值超过 60 亿美元。就像一只不断上涨的狗狗币能提振所有小狗类代币一样，PEPE 的暴涨也提振了一系列与 Pepe 相关的竞争对手。虽然大多数衍生品都逐渐消失，但有些衍生品却脱颖而出，例如 APU，这是一种社区代币，已经经受住了开发者的考验，目前的市值达到 2.15 亿美元。也许更有趣的是竞争对手 PepeCoin，它早于 PEPE，于 2016 年 3 月作为定制的 L1 区块链推出，并于 2023 年 4 月迁移到 ETH。与 PEPE 不同的是，PepeCoin 的目标是建立一个新兴的技术生态系统，其中包括 Pepe Paint（MS-Paint 风格的 NFT 创建者）和 Pepe Messenger（钱包到钱包的通讯工具）等 dApp。 PEPE 的持续增长证明了 memecoins 在最近这个周期中的强大力量，以及基于 ETH 的资产的持续强势。这一周期已经见证了 memecoin 活动的多次浪潮，但最受关注的胜利往往是基于 Solana 的代币，如 WIF 或 BONK。基于 ETH L2 的 memecoin 的吸引力吸引了人们对 Base 等网络上的 memecoin 领域的关注，但在所有这些吸引力中，它仍然很难与 L1 竞争。 PEPE的未来 PEPE 的崛起经历了戏剧性的高潮和艰难的低谷。从一枚毫无实用性的 meme 币到……仍然是一枚毫无实用性的 meme 币，但现在也是排名前 20 的代币，PEPE 的文化意义、政治关联以及作为以太坊 meme 的称号巩固了它不仅是领先的 meme 币，而且是本周期领先的代币。然而，正如我们一次又一次看到的那样，加密货币中很少有只涨不跌的代币，即使是像 DOGE 这样的领先 meme，它在上一周期从 752.6 亿美元的市值高位跌至 70 亿美元。鉴于 PEPE 目前的规模，从现在开始实现“令人难以置信的”回报可能很难。虽然衍生品可能提供更高的增长空间，但由于其市值较低，它们也承担着更高的风险。虽然它的最大涨幅可能已经过去，但其规模、不断增加的活动和强大的共识地位使得投资者在远离这只青蛙之前三思而后行是明智的。来源：金色财经

金色财经2024-05-30

为什么WEB3急切需要BPFS去中化分布式动态存储

数据安全和隐私保护方面具有优势，但面临黑客攻击、恶意节点和数据泄露等潜在风险。如何确保数据在分布式网络中的安全传输和存储，防止数据泄露和恶意篡改，是一个长期的挑战。社区与生态建设：BPFS动态存储的发展离不开庞大的开发者社区和生态系统的支持。如何吸引更多的开发者参与，构建一个健康、繁荣的生态系统，将是实现BPFS动态存储技术普及和应用的关键。面对这些挑战，BPFS动态存储需要不断完善技术、扩大应用场景、加强生态建设，以实现其在个人、企业和社会层面的广泛应用，为数字时代的数据存储提供更安全、高效、可扩展的解决方案。来源：金色财经

金色财经2024-05-30

龙运币：结合古老智慧与现代科技的数字货币

和线下活动，如AMA互动、技术研讨会、黑客松和见面会，增强成员之间的联系并提供学习平台。 DFC社区还活跃在多种社交媒体平台，方便成员互动交流，获取最新资讯和技术支持。DFC社区独创入场即翻倍模式，通过存入流动性提供者(LP)加入共同坐庄，代币由官方赠送。社区鼓励成员通过代码开发、内容创作、市场推广等方式做出贡献，并提供空投、代币奖励和专属NFT作为回报。所有决策和发展方向通过社区投票和讨论决定，确保透明治理和成员参与。应用场景与未来规划龙运币在多个领域展示了其强大的应用潜力。首先，结合区块链和AI技术，DFC实现了数据安全共享和智能合约自动执行。在智能供应链管理中，AI算法分析市场需求，区块链确保数据真实可靠，DFC还可用于AI模型的去中心化训练和验证。其次，DFC支持创建和交易NFT，赋予数字艺术品和收藏品独特的价值和所有权，通过区块链技术确保艺术家和创作者获得应有的权益和收益。此外，DFC在数字游戏领域有广泛应用，玩家可以使用龙运币购买游戏内物品、道具和皮肤，确保所有交易透明、安全且可追溯。龙运币还积极参与去中心化金融（DeFi）生态的建设，提供流动性挖矿、质押和借贷等多种DeFi服务，促进整个生态系统的繁荣。最后，DFC的技术架构设计具有高度可扩展性，通通过不断优化底层技术和升级网络协议，龙运币始终保持技术领先，确保平台的稳定和高效运行。 DragonFortuneCoin不仅是数字货币领域的一颗新星，更是中华文化在全球舞台上的新代表。我们坚信，通过持续的技术创新和文化传播，DFC将不仅为用户带来财富和好运，更将在全球范围内传播中华文化的智慧和魅力。让我们一起携手，乘着龙的翅膀，飞向区块链的未来，创造更加辉煌的明天！来源：金色财经

金色财经2024-05-30

金色Web3.0日报 | 杠杆以太坊ETF将于6月4日上市交易

社区损失，META NFT合约刚刚遭到黑客攻击，黑客将钱包中的NFT转换为META代币并出售，攻击路径源自METANFT。 DeFi热点 1.彭博分析师：以太坊和比特币ETF规模比例或与白银和黄金ETF类似金色财经报道，彭博ETF分析师Eric Balchunas在X平台发文称，白银ETF规模大约是黄金ETF的15%，以太坊ETF规模可能会与白银类似，许多人不会觉得有必要超越比特币/黄金来配置他们的加密货币/贵金属投资组合。 2.Ethena将在L2网络Blast上线并实现USDe原生收益 5月29日消息，Ethena Labs 在 X 平台发文表示，从今天起，Ethena 将在 L2 网络 Blast 上线，并实现原生收益。 USDe 和 sUSDe 将在 Thruster LP 池中上线，与 USDB 组成交易对。两个池都将获得最高 Ethena 分配，包括 30 倍 Sats 以及 Blast Gold 和 Thruster Credits。随后在 Hyperlock Finance 进行质押的用户将获得额外的 5 倍 Sats。 3.Optimism：5月超级链成员预计贡献812枚ETH用于Retro Funding 5月29日消息，Optimism在X平台发文表示，超级链（Superchain）排序器收入将用于Retro Funding。5月，来自超级链所有成员的贡献总额约为812枚ETH。除了OP Collective分配外，Retro Funding资金池主要来自两个来源： -100%的OP Mainnet利润； -每个超级链成员的2.5%排序器收入或15%排序器利润（以较高者为准）。 4.代币SCROLL遭Rugpull，币价下跌100% 金色财经报道，CyversAlerts监测，系统检测到一个可疑交易，其代币名称为SCROLL（Scroll Network），攻击者已获得Tornado Cash资助，总损失约为295,000美元。攻击者已经部署了两个恶意合约，攻击者在执行交易之前瞄准的是SCROLL代币；Uniswap池中的所有流动性都已耗尽，导致SCROLL代币的价格下跌100%。 5.以太坊或将继续跑赢比特币，5月涨幅近30%创2月以来最佳月度表现金色财经报道，Coinglass的数据显示，得益于以太坊 ETF 19-b申请获得美国证券交易委员会的批准，以太坊在5月份经历了显著上涨，涨幅接近30%，创下自 2 月份上涨 46% 以来的最佳月度表现。历史数据显示，5 月通常是以太坊表现最强劲的月份，平均涨幅为 31%。相比之下，比特币也表现出积极的走势，5 月份上涨超过 12%，试图从 4 月份 15% 的跌幅中恢复过来。鉴于目前的趋势和叙事有利于以太坊，以太坊可能会继续跑赢比特币，因为今年迄今的 ETH/BTC 比率保持了正增长，表明以太坊的主导地位正在转移。 6.Solana Labs联创：solana上确认延迟中值的最佳情况为500毫秒金色财经报道，Solana Labs联创在社交媒体发文表示，solana上确认延迟中值的最佳情况是： 1.用户在区块中间直接将tx发送给区块生产者（100毫秒）; 2.在区块结束前（200ms）包含交易; 3.验证者收到最后的碎片和投票（100毫秒）; 4.用户观察到2/3+X的OC投票（100毫秒）大约500毫秒。或者根据tx在区块中的位置，为300到700毫秒。游戏热点 1.链游Illuvium公开Beta测试网已上线 5月29日消息，链游 Illuvium在X平台发文表示，公开Beta测试网现已上线，玩家可前往Epic Games Store 进行下载体验。免责声明：金色财经作为区块链资讯平台，所发布的文章内容仅供信息参考，不作为实际投资建议。请大家树立正确投资理念，务必提高风险意识。来源：金色财经

金色财经2024-05-29

金色百科 | 区块链网络会遭受 DDoS 攻击吗？

计算机或在线服务。 DDoS 攻击涉及黑客将恶意软件插入可能数千个支持互联网的设备（统称为僵尸网络），并促使它们同时向目标系统发送大量请求。这些受感染的机器称为机器人或僵尸，可能是手机、台式机、服务器甚至物联网 (IoT) 设备。攻击者通常在受害者不知情的情况下通过用恶意软件感染机器人来建立对机器人的直接控制。传入流量的涌入使目标系统无法响应有效请求，因为攻击消耗了太多的带宽、处理能力或内存。 Cloudflare 在其 2024 年第一季度 DDoS 威胁报告中指出，DDoS 攻击总体增加了 50%，令人震惊。二、区块链网络会遭受 DDoS 攻击吗？通过 DDoS 攻击来攻击区块链网络在理论上是可行的，尽管它比针对网站或服务器等中心化系统更困难。由于其去中心化，区块链网络本质上能够抵抗此类攻击。区块链作为去中心化的分布式账本，在一系列节点上运行，负责验证和处理交易以及创建区块。与传统系统不同，区块链网络内没有中心控制点。去中心化使得区块链网络更难受到攻击，因为攻击者需要处理大量节点。破坏网络的一种方法是用垃圾邮件交易淹没区块链，这会压垮网络并降低交易吞吐量，从而阻碍合法交易的及时验证。这会将来自真实用户的交易排队到内存池中，内存池是区块链节点中存储未确认交易的机制。一个著名的 DDoS 攻击实例是 Solana 区块链网络，该攻击导致 2021 年 9 月出现 17 小时的停机。在 Grape Protocol 在基于 Solana 的 DEX Raydium 上首次进行去中心化交易产品 (IDO) 期间，机器人对网络每秒有40万笔交易负载，导致网络拥塞。此外，DDoS 攻击可能针对去中心化应用程序 (DApp)，这些应用程序是构建在区块链之上的应用程序，而不是区块链网络本身。加密货币交易所在确保基于区块链的生态系统中的流动性方面发挥着关键作用，经常成为 DDoS 攻击的受害者，导致暂时的服务中断。三、DDoS 攻击如何影响区块链网络？ DDoS 攻击可以通过交易泛滥和损害智能合约来影响区块链网络。其目的是通过欺诈性交易堵塞网络，减慢网络速度，在更糟糕的情况下，甚至使其停止。交易泛滥恶意行为者可能会故意通过大量交易使区块链网络超载，从而扰乱其正常运行。攻击者通常使用自动化脚本或专用软件来引发一系列交易请求。这些交易类似于合法交易，但旨在挤压网络。攻击者将这些交易广播到节点。为了达成共识，网络将交易传播到多个节点，这些节点负责处理这些交易。然而，大量的传入交易超出了它们的处理能力。网络变得拥挤，甚至真正的交易也被积压。这种中断可能会影响依赖区块链网络的企业、交易所和其他服务。智能合约黑客可以识别区块链网络中易受攻击的智能合约，并向其发送大量交易请求。这些交易包含欺诈指令或过度计算，以耗尽合约和底层网络的功能。智能合约中代码的执行变得越来越繁重，导致交易验证过度延迟。由于智能合约是区块链的关键部分，此类攻击的影响可能会在整个网络中传播，影响其他智能合约和交易，扰乱关键操作并使合法用户无法访问服务。软件崩溃区块链中的核心应用程序软件对于分配的内存以及它可以在区块中处理并存储在内存池中的交易数量有内置的限制。当交易量激增时，软件可能会出现意外行为或直接崩溃。此外，不变性是区块链交易的固有特征，这意味着它们一旦被记录在区块中就无法更改。当攻击期间交易淹没网络时，这种机制就会产生问题。网络因无用的事务而超载，这可能远远超出了软件的处理能力。节点故障充当验证者或矿工的节点在足够强大的设备上运行核心区块链软件，足以满足严格的需求。当恶意行为者在 DDoS 攻击中流入大量垃圾数据时，节点可能会耗尽内存或处理能力并崩溃。一个节点因攻击而发生故障会增加网络中其他节点的压力。区块链网络本质上是节点的合并，其中每个接收节点跟踪区块链的状态并向其他节点广播有关交易的信息。欺诈性交易的泛滥对节点架构产生了有害影响，减慢了整个网络的速度，甚至导致其瘫痪。 DDoS 攻击如何影响加密货币交易所加密货币交易所是区块链生态系统中不可或缺的一部分，因为它们使数字资产具有流动性。他们往往是攻击者的目标。在攻击交易所时，攻击者的作案手法是利用漏洞，例如交易所基础设施中过时的安全补丁，扰乱运营，勒索赎金或操纵市场。据 Cloudflare 称，针对加密货币交易所的 DDoS 攻击主要来自简单服务发现协议 (SSDP) 放大攻击、网络时间协议 (NTP) 放大攻击和应用层攻击。 SSDP 攻击是一种基于反射的 DDoS 攻击，它利用通用即插即用 (UPnP) 网络协议向目标系统调度大量流量。 NTP 攻击是指攻击者发送一系列小型查询，触发不同机器人的大型响应，从而使流量成倍增加的技术。应用层攻击是指针对开放系统互连（OSI）模型顶层的攻击者方法。四、如何防范区块链网络的DDoS攻击为了保护区块链网络免受DDoS攻击，需要在节点和网络层面采取安全措施。定期审计会处理漏洞，而冗余基础设施和压力测试即使在攻击期间也能保持网络正常运行。节点级安全措施节点应具有足够的存储、处理能力和网络带宽，以抵御 DDoS 攻击。强大的身份验证方法和访问控制有助于保护网络节点。完全自动化的区分计算机和人类的公共图灵测试（CAPTCHA）对于确保只有合法用户才能发送交易请求并防止机器人渗透网络非常有用。负载均衡有助于划分流量并减轻节点级攻击的影响。网络级保护在网络层面建立足够的防御机制对于保护区块链网络非常重要。为了识别和减少 DDoS 攻击的影响，防火墙和入侵检测/防御系统 (IDS/IPS) 可以发挥很好的作用。内容分发网络（CDN）也有助于分散和吸收攻击流量。审计为了发现并修复任何漏洞，对区块链各个方面进行彻底审核非常重要。这应该包括分析智能合约、审核区块链数据结构的完整性以及验证共识算法。共识机制的容错能力应该足够强，能够抵御攻击。定期更新代码对于阻止攻击者和提高安全性非常重要。压力测试网络和系统应定期对区块链协议进行压力测试，以评估其抵御 DDoS 攻击的能力。这将有助于及时发现潜在的漏洞，从而能够修补网络基础设施和升级防御机制。冗余和备份区块链协议和 DApp 需要拥有冗余的网络基础设施和备份服务器，以确保系统即使在受到攻击时也能保持正常运行。位于多个地理位置的节点可以抵御仅限于特定区域的 DDoS 攻击。来源：金色财经

金色财经2024-05-29

零知识证明的先进形式化验证：两个ZK漏洞的深度剖析

的情况发生过。就此而言，ZK漏洞将使得黑客可以提交用于证明虚假交易的伪造ZK证明，并让ZK证明检查器接受。对于zkVM的证明器而言，ZK证明过程涉及运行程序、生成每一步的执行记录，并把执行记录的数据转换成一组数字表格（该过程称为“算术化”）。这些数字之间必须满足一组约束（即“电路”），其中包括了具体表单元格之间的联系方程、固定的常数、表间的数据库查找约束，以及每对相邻表行间所需要满足的多项式方程（亦即“门”）。链上验证可以由此确认的确存在某张能满足所有约束的表，同时又保证不会看到表中的具体数字。 zkWasm算术化表每一个约束的准确性都至关重要。任何约束中的一个错误，无论是偏弱或是缺失，都可能使得黑客能够提交一个误导性的证明，这些表格看似代表了智能合约的一次有效运行，但实际并非如此。与传统VM相比，zkVM交易的不透明性放大了这些漏洞。在非ZK链中，交易的计算细节是公开记录在区块之上的；而zkVM则不将这些细节存储于链上。透明度的缺失使得攻击的具体情况很难被确定，甚至连攻击是否已发生都很难确定。执行zkVM指令规则的ZK电路极其复杂。对于zkWasm来说，其ZK电路的实现涉及超过6,000行的Rust代码和数百个约束。这种复杂性通常意味着可能存在多个漏洞正等待着被发现。 zkWasm电路架构的确，我们通过对于zkWasm审计和形式化验证发现了多个这样的漏洞。下面，我们将讨论两个具有代表性的例子，并讨论它们之间的差异。代码漏洞：Load8数据注入攻击第一个漏洞涉及zkWasm的Load8指令。在zkWasm中，堆内存的读取是通过一组LoadN指令来完成的，其中N是要加载的数据的大小。例如，Load64应该从zkWasm内存地址读出64位的数据。Load8应该从内存中读出8位的数据（即一个字节），并用0前缀填充以创建一个64位的值。zkWasm内部将内存表示为64位字节的数组，因此其需要“选取”内存数组的一部分。为此使用了四个中间变量（u16_cells），这些变量合起来构成了完整的64位加载值。这些LoadN指令的约束定义如下：这个约束分为Load32、Load16和Load8这三种情况。Load64没有任何约束，因为内存单元正好就是64位的。对于Load32的情况，代码确保了内存单元中的高4个字节（32位）必须为零。对于Load16的情况，内存单元中的高6个字节（48位）必须为零。对于Load8的情况，应该要求内存单元中的高7个字节（56位）为零。遗憾的是，在代码中并非如此。正如你所见，只有高9至16位被限制为零。其他的高48位可以是任意值，却仍然可以伪装成“从内存中读取的”。通过利用这个漏洞，黑客可以篡改一个合法执行序列的ZK证明，使得Load8指令的运行加载这些意外的字节，从而导致数据损坏。并且，通过精心安排周边的代码和数据，可能会触发虚假的运行和转账，从而窃取数据和资产。这种伪造的交易可以通过zkWasm检查器的检查，并被区块链错误地认定为真实交易。修复这个漏洞实际上相当简单。该漏洞代表了一类被称为“代码漏洞”的ZK漏洞，因为它们源于代码的编写，并可以通过较小的局部代码修改来轻松修复。正如你可能会同意的那样，这些漏洞也相对更容易被人看出来。设计漏洞：伪造返回攻击让我们来看看另一个漏洞，这次是关于zkWasm的调用和返回。调用和返回是基本的VM指令，它们允许一个运行的上下文（例如函数）去调用另一个，并在被调用者完成其执行后，恢复调用者上下文的执行。每次调用都预期稍后会返回一次。zkWasm在调用和返回的生命周期中所追踪的动态数据被称为“调用帧（call frame）”。由于zkWasm按顺序执行指令，所有调用帧可以根据其在运行过程中的发生时间进行排序。下面是一个在zkWasm上运行的调用/返回代码示例。用户可以调用buy_token()函数来购买代币（可能是通过支付或转移其他有价值的东西）。它的核心步骤之一是通过调用add_token()函数，实际将代币账户余额增加1。由于ZK证明器本身并不支持调用帧数据结构，因此需要使用执行表（E-Table）和跳转表（J-Table）来记录和追踪这些调用帧的完整历史记录。上图说明了buy_token()调用add_token()的运行过程，以及从add_token()返回到buy_token()的过程。可以看到，代币账户余额增加了1。在执行表中，每个运行步骤占一行，其中包括当前执行中的调用帧编号、当前上下文函数名称（仅用于此处的说明）、该函数内当前运行指令的编号，以及表中所存的当前指令（仅用于此处的说明）。在跳转表中，每个调用帧占一行，表中存有其调用者帧的编号、调用者函数上下文名称（仅用于此处的说明）、调用者帧的下一条指令位置（以便该帧可以返回）。在这两个表中，都有一个jops列，它追踪当前指令是否为调用/返回（在执行表）以及该帧（在跳转表）发生的调用/返回指令总数。正如人们所预期的，每次调用都应该有一次相应的返回，并且每一帧应该只有一次调用和一次返回。如上图所示，跳转表中第1帧的jops值为2，与执行表中的第1行和第3行相对应，那里的jops值为1。目前看起来一切正常。但实际上这里有一个问题：尽管一次调用和一次返回将使帧的jops计数为2，但两次调用或者两次返回也会使计数为2。每帧有两次调用或两次返回听起来可能很荒谬，但要牢记的是，这正是黑客试图通过打破预期要做的事情。你现在可能有点兴奋了，但我们真的找到问题了吗？结果表明，两次调用并不是问题，因为执行表和调用表的约束使得两个调用无法被编码到同一帧的行中，因为每次调用都会产生一个新的帧编号，即当前调用帧编号加1。而两次返回的情况就没那么幸运了：由于在返回时不会创建新的帧，黑客确实有可能获取合法运行序列的执行表和调用表，并注入伪造的返回（以及相应的帧）。例如，先前执行表和调用表中buy_token()调用add_token()的例子可以被黑客篡改为以下情况：黑客在执行表中原来的调用和返回之间注入了两次伪造的返回，并在调用表中增加了一个新的伪造的帧行（原来的返回和后续指令的运行步骤编号在执行表中则需要加4）。由于调用表中每一行的jops计数均为2，因此满足了约束条件，zkWasm证明检查器将接受这个伪造的执行序列的“证明”。从图中可以看出，代币账户余额增加了3次而不是1次。因此，黑客能够以支付1个代币的价格获得3个代币。解决这个问题有多种方法。一个明显的方法就是分别单独追踪调用和返回，并确保每一帧恰好有一次调用和一次返回。你可能已经注意到，到目前为止我们尚未展示这个漏洞的哪怕一行代码。主流的原因是没有任何一行代码是有问题的，代码实现完全符合表格和约束设计。问题在于设计本身，而修复方法也是如此。你可能认为，这个漏洞应该是显而易见的，但实际上并非如此。这是因为“两次调用或两次返回也会导致jops计数为2”与“实际上两次返回是可能的”之间存在空白。后者需要对执行表和调用表中相关的各种约束进行详细、完整地分析，很难进行完整的非形式化推理。两个漏洞的比较对于“Load8数据注入漏洞”和“伪造返回漏洞”，它们都可能导致黑客能够操纵ZK证明、创建虚假交易、骗过证明检查器，并进行窃取或劫持。但他们的性质和被发现的方式却截然不同。 “Load8数据注入漏洞”是在对zkWasm进行审计时发现的。这绝非易事，因为我们必须审查超过6,000行的Rust代码和上百条zkWasm指令的数百个约束。尽管如此，这个漏洞还是相对容易发现和确认的。由于这个漏洞在形式化验证开始之前就已被修复，所以在验证过程中并未遇到它。如果在审计过程中未发现该漏洞，我们可以预期在对Load8指令的验证中会发现它。 “伪造返回漏洞”是在审计之后的形式化验证中发现的。我们在审计中未能发现它的部分原因在于，zkWasm中有一个同jops非常相似的机制叫做“mops”，其在zkWasm运行期间追踪每个内存单元历史数据对应的内存访问指令。mops的计数约束确实是正确的，因为其只追踪了一种类型的内存指令，即内存写入；而且每个内存单元的历史数据都是不可变的，并只会写入一次（mops计数为1）。但即使我们在审计期间注意到了这个潜在的漏洞，如果不对所有的相关约束进行严格的形式化推理，我们将仍然无法轻易地确认或排除每一种可能情况，因为实际上没有任何一行代码是错误的。总结来说，这两种漏洞分别属于“代码漏洞”和“设计漏洞”。代码漏洞相对较为浅显，更容易被发现（错误代码），并且更容易推理和确认；设计漏洞可能非常隐蔽，更难以发现（没有“错误”代码），更难以推理和确认。发现ZK漏洞的最佳实践根据我们在审计和形式化验证zkVM以及其他ZK及非ZK链的经验，下面是关于如何最好地保护ZK系统的一些建议：检查代码以及设计如前所述，ZK的代码和设计中都可能存在漏洞。这两种类型的漏洞都可能导致ZK系统受到破坏，因此必须在系统投入运行之前消除它们。与非ZK系统相比，ZK系统的一个问题是，任何攻击都更难揭露和分析，因为其计算细节没有公开或保留在链上。因此人们可能知道发生了黑客攻击，但却无法知道技术层面上是如何发生的。这使得任何ZK漏洞的成本都非常高。相应地，预先确保ZK系统安全性的价值也非常高。进行审计以及形式化验证我们在这里介绍的两个漏洞分别是通过审计和形式化验证发现的。有人可能会认为，使用了形式化验证就不需要审计了，因为所有的漏洞都会被形式化验证发现。实际上我们的建议是两者都要进行。正如本文开头所解释的，一个高质量的形式化验证工作始于对代码和设计的彻底审查、检查和非正式推理；而这项工作本身就与审计重叠。此外，在审计期间发现并排除更简单的漏洞，将使形式化验证变得更加简单和高效。如果要对一个ZK系统既进行审计又进行形式化验证，那么最佳时机是同时进行这两项工作，以便审计师和形式化验证工程师能够高效地协作（有可能会发现更多的漏洞，因为形式化验证的对象和目标需要高质量的审计输入）。如果你的ZK项目已经进行了审计（赞）或多次审计（大赞），我们的建议是在此前审计结果的基础上对电路进行形式化验证。我们在zkVM以及其他ZK和非ZK项目的审计和形式化验证的经验一再表明，验证常常能捕捉到审计中遗漏而不易发现的漏洞。由于ZKP的特性，虽然ZK系统应该提供比非ZK解决方案更好的区块链安全性和可扩展性，但其自身的安全性和正确性的关键程度要远高于传统的非ZK系统。因此，对ZK系统进行高质量形式化验证的价值也远高于非ZK系统。确保电路以及智能合约的安全 ZK应用通常包含电路和智能合约两个部分。对于基于zkVM的应用，有通用的zkVM电路和智能合约应用。对于非基于zkVM的应用，有应用特定的ZK电路及相应部署在L1链或桥的另一端的智能合约。 ZK应用电路智能合约基于zkVMzkVM应用非基于zkVM应用特定L1链/桥我们对zkWasm的审计和形式验证工作只涉及了zkWasm电路。从ZK应用的整体安全性角度来看，对其智能合约进行审计和形式化验证也非常重要。毕竟，在为了确保电路安全方面投入了大量精力之后，如果在智能合约方面放松警惕，导致应用最终受到损害，那将是非常遗憾的。有两种类型的智能合约值得特别关注。第一种是直接处理ZK证明的智能合约。尽管它们的规模可能不是很大，但它们的风险非常高。第二种是运行在zkVM之上的大中型智能合约。我们知道，它们有时会非常复杂，而其中最有价值的应该进行审计和验证，特别是因为人们无法在链上看到它们的执行细节。幸运的是，经过多年的发展，智能合约的形式化验证现在已经可以实用，并且为合适的高价值目标做好了准备。让我们通过以下的说明来总结形式化验证（FV）对ZK系统及其组件的影响。来源：金色财经

金色财经2024-05-29

被黑的 GCR 和被骗的卡戴珊继父黑客正利用名人效应发起攻击

ol 有关。ZachXBT 表示，「在黑客攻击前几分钟，一个与 Sol 团队有关的地址在去中心化衍生品交易平台 Hyperliquid 上开设了 230 万美元的 ORDI 和 100 万美元的 ETHFI 多头头寸。」而据 Lookonchain 监测，该团队在发布 CAT 时，就曾通过老鼠仓地址，花费 1370 枚 SOL（价值约 23 万美元）买入 6.32 亿枚 CAT （占总供应量的 63.2%）。随后，该地址将部分 CAT 兑换成约 29525 枚 SOL（价值约 500 万美元）并转移至多个钱包。其中，6M54x 开头的地址从售出的 CAT 中收到约 1.5 万枚 SOL（价值约 250 万美元），并于 5 月 25 日开始向 Kucoin（4800 枚 SOL）和 MEXC（4800 枚 SOL 和 140 万枚 USDC）存入资金。通过时间分析，ZachXBT 发现在上述交易发生后不久，以太坊和 Arbitrum 上也出现了类似金额的取款操作。 5 月 26 日凌晨 1 点 22 分，0x23bc 向 0x5e3e 转入 65 万枚 USDC。5 月 27 日凌晨 1 点 45 分到 56 分，0x5e3e 在 Hyperliquid 上开设了 230 万美元的 ORDI 多头头寸。 5 月 27 日凌晨 1 点 55 分，GCR X 账号 @GCRClassic 黑客发布关于其看好 ORDI 的帖子，称：「我目前重仓的一个币种是 ORDl。我相信，随着比特币在未来几周内接近 10 万的目标，我们将看到它的真正潜力。」推文发布后， ORDI 价格短线从 38 USDT 附近拉升至 44.5 USDT后回落。在此期间，也就是 1 点 56 分至 2 点间，0x5e3 陆续平仓，最终获利约 3.4 万美元。此外，5 月 27 日凌晨 3 点 04 分到 12 分期间，0x5e3e 在 Hyperliquid 开设了 100 万美元的 ETHFI 多头头寸。3 点 12 分，遭黑客入侵的 GCR 账户发布关于 ETHFI 的新帖子，称「ETH ETF 获批的故事才刚刚开始。在我看来，ETHFl 很适合中期持有。」然而，ETHFI 价格受此影响并不大，反而略有下跌。从 3 点 16 分到 3 点 45 分，0x5e3e 开始平仓，最终损失约 3500 美元。黑客可能并没注意到，GCR 已于凌晨 1 点 58 分通过另一个账户确认 @GCRClassic 遭到攻击。所以，黑客黑了账户就只赚了 3 万美元（不排除在 CEX 上交易永续产品的可能）？与大家一样，笔者也觉得奇怪。但在看了 ZachXBT 提供的黑客 Hyperliquid Vault 的成绩后，好像也没什么好惊讶的了。ZachXBT 更是讽刺其为「史上最伟大的交易者」，只是不知黑客给其 Vault 取名「I Know What I'm Doing」是什么意思，难道这一切都在掌控之中？抛开黑客的意图，此次事件再次凸显了圈子内存在已久的问题。作为名声在外的传奇交易者，GCR 的影响力确实很大，但这种极致的影响力对行业而言是否有利？除了 GCR 事件，卡戴珊继父 Caitlyn Jenner 发布 meme 币 JENNER 的「抓马」情节昨日也在 CT 上引发了激烈的讨论。由于此前甚少涉及加密货币领域，Caitlyn Jenner 此次的行动让不少投资者觉得困惑，怀疑是否也出现了 GCR 似的账号被盗的情况。然而，在 Caitlyn Jenner 团队一次次地辟谣之后，不少投资者还是冲了进去，JENNER 的价格也是过山车般地上涨下跌。但 JENNER 是否真的是 Caitlyn Jenner 所发？链上侦探 Roxo 指出，Caitlyn Jenner 的账号并未被盗，而是遭到了 Sahil Arora 的「社会工程」操纵。 Roxo 表示，Caitlyn 团队对加密货币一无所知，Sahil Arora 作为「中间人」负责为 Caitlyn 发行代币。在推出 JENNER 并让 Caitlyn 进行推广后，Sahil 就将部署者钱包中的所有代币和他在费用销毁钱包中攫取的更多代币全部抛售。那时的 Caitlyn 团队对此毫无头绪，其经济人甚至还在 Space 中说道，中间人会为其保管所有代币。直到今日上午，Caitlyn Jenner 才幡然醒悟，痛骂 Sahil。Jenner 表示，Sahil 已出局，团队将继续投资和推广 JENNER 代币。除 Caitlyn Jenner 之外，Roxo 指出，本周 Sahil 已成功利用 KOL，策划并操纵了 5 起 Rug Pull，包括说唱歌手「Rich the Kid」的 RICH 代币，艺术家 Soul Ja Boy 的 SOULJA 代币，模特 Kazumi 及 Ivana Knöll 的 ZUMI 和 DOLL 代币。而据 Cointelegraph 报道，Sahil Arora 曾发推称有人泄露了他的 ID。Arora 在 5 月 27 日还主持了四场 Twitter Space，其中只有一场持续时间超过五分钟。他在活动前发帖称，将回答有关 SOL Scan 以及自己是如何被背叛的等问题。Cointelegraph 称，在其收听最长的一场播客时，谈话内容与 memecoins 无关。而几分钟后，该账号（@sahilsaysol）就被删除了。所以 Sahil Arora 就是这些 Rug Pull 的实施者吗？答案仍未可知。但抛开这些不谈，正如 ZachXBT 所总结的，这些事件给我们带来的教训是，黑客正在利用 KOL 发起攻击。此外，Meme 币的操纵程度或与 VC 币一样，甚至更高。尤其是那些借由名人推广的 Meme 币，投资者更应该留心。反观 KOL，也应注意自己的行为举止。彭博社此前就发文指出，近期出现的「KOL 轮融资」可能是一条新的暴富之路，也可能是下一个被 SEC 盯上的猎物。来源：金色财经

金色财经2024-05-29

“捡钱”时代已过散户通过比特币等加密资产赚钱将越来越难

，谨防各个层面的风险。 2）日益猖獗的黑客 / 钓鱼攻击最近在链上安全领域最令人侧目的一起案件，无疑就是大家似乎已经司空见惯的「首尾号相同钓鱼攻击」：某巨鲸地址遭首尾号相同地址钓鱼攻击，损失 1155 枚 WBTC，高达 4 亿元以上！虽然后续迫于种种因素该黑客选择了归还资金，但仍揭露了此种钓鱼行为「三年不开张，开张吃一辈子」的极高风险收益比。而且类似的钓鱼攻击近半年来也已然产业化——黑客往往通过海量生成不同首尾号的链上地址，作为预备的种子库，一旦某个地址和外界发生资金转账，就会立即通过在种子库里找到首尾号相同的地址，然后调用合约进行一笔关联转账，漫天撒网等待收获。由于有些用户有时会直接在交易记录里复制目标地址，且只核对首尾几位，从而中招，按照慢雾创始人余弦的说法，针对首尾号的钓鱼攻击，「黑客玩的就是撒网攻击，愿者上钩，概率游戏」。这也只是目前愈发猖獗的黑客攻击的一个缩影，对普通用户来说，花花绿绿的链上世界里，有形的、无形的风险几乎呈指数级增加，而个人的风险防范意识却很难跟上。总的来看，目前链上、钱包、DeFi 等攻击形式层出不穷，甚至社会工程学攻击也大行其道，使得 DeFi 安全风险就像是一场不对称的单向猎杀：对技术天才而言无疑是取之不尽的免费提款机，而对绝大部分普通用户而言，更像是一把不知何时会落下的达摩克里斯之剑，保持警惕不随便参与授权之余，更多的也是运气。且到目前为止，网络钓鱼、社会工程学攻击等 C 端的风险，是普通用户在 Web3 中损失资金的最常见方式，且由于智能合约的额外风险点，问题日趋严重。每一次成功的骗局背后，都会有一个用户停止使用 Web3，而 Web3 生态在没有任何新用户的情况下，将无处可去，这也是对加密行业伤害最大的点之一。 3）KOL 花式喊单对于绝大部分普通用户来说，关注各类加密 KOL 的社交媒体喊单，是获取 Alpha 密码的重要来源。这也衍生出了所谓「KOL Round」的说法——作为拥有对二级市场投资者更大影响力的角色，KOL 甚至能够获得比机构 VC 更短的解锁期、更低的估值折扣：譬如前不久 Monad Labs 以 30 亿美元的大额估值完成了新一轮融资，而知情人士称，一些业内 KOL 获准以 Paradigm 估值五分之一的上限进行投资。那跟随 KOL 喊单，就真的能够保证稳赚不赔么？根据哈佛大学等研究员对 180 名最著名的加密社交媒体影响者（KOL）发布的约 36000 条推文中所提到的加密资产相关回报表现进行研究，涵盖超过 1600 种 Token，得出了并不尽如人意的结论： KOL 发推喊单某个 Token，平均一天（两天）回报率为 1.83%（1.57%），市值前 100 名之外的加密项目，喊单一天后的回报率为 3.86%，且收益最早开始大幅下降是在推文发布五天后，第二天到第五天的平均回报率为 -1.02%，这表明超过一半的初始涨幅在五个交易日内被消除。 4）VC Token 上线跌跌不休一个高 FDV（全稀释估值）、低流通量的 VC Token，一个完全「土狗」、盈亏自负的 Memecoin，你会选哪个？最近市场的风向已经开始转变，其中 Meme 的风潮更是异军突起，助推 Solana 和 Base 链上交易的极度繁荣，就像坐稳了新一届 Memecoin 扛把子地位的 PEPE，更是创下历史新高，其实到了如今的市场环境下，短期投机之外，Meme 背后所代表的普罗大众对于公平的呼声已经渐成潮流，资金都在用脚投票。与此对应的，则是近期一连串上线头部平台之后，FDV 极高且走势跌跌不休的 VC，其中的典型代表正如 AEVO、REZ 甚至 BN Megadrop 首个项目 BounceBit 的 Token BB 等等，上市以来几乎每日都以阴线收场，进场的用户无一不被深套。两相对比之下，关于 Memecoin 和 VC 的讨论与质疑就难免再度成为社区主流，Meme 至少还有用户流带来持续的增量资金与关注热度，而近期动辄数十亿美元估值的新项目却都是套皮宏大叙事或老玩法的陈旧概念产品，必然会遭社区嫌弃，这也为习惯了路径依赖的 VC 与项目方们敲响了警钟。普通玩家何去何从？之前在《Web3 无眠，加密世界的「繁花时代」永不落幕？》一文中就提到，「我们爱的不是《繁花》，而是那个遍地机会的年代」。相信不少加密行业的朋友都曾经试想过，如果我们有机会都回到 10 年前，该如何参与这波时代浪潮？屯 BTC？做 Miner？成立另一个比特大陆？或是成为 BN 的早期员工？最佳的选择似乎数不胜数，无外乎加密世界过去的草莽十年，真的是突破想象力极限的黄金时代，也诞生了一波又一波的业内传奇与大佬神话。不管怎么说，赚钱与否这个问题，是 Web3 世界的永恒话题，也是 Web3 发展的生命线。当交易平台、做市商、VC、项目方、KOL 都开始赚钱，却只有大部分普通用户在持续亏钱时，说明整个市场的深层次结构性问题已经畸形到了一定程度，注定不会长久。还是那句话，每一次「花式亏钱大法」的背后，都可能会有一批用户停止使用 Web3 产品、远离 VC Token，而去选择拥抱更具公平与草根特征的 Memecoins，这本身就是资金在用脚投票的一种反抗。而部分 Web3 生态应用在真正跑通价值闭环之前，普通用户将「无处可去」，当然这也许是 Web3 发展所必经的「曲折」，加密行业依然在摸索中前进。来源：金色财经

金色财经2024-05-29

24小时热点