WEB:DeFinance創始人遭釣魚攻擊損失545枚ETH，Web3世界還安全嗎？_JustDefi

「我錢包里的ETH都沒了！」今日，DeFinance創始人Arthur在社交媒體上表示其遭受魚叉式網絡釣魚攻擊。Arthur點擊了一封酷似DefianceCapital合作資管平臺官方地址發來的郵件中的PDF文檔，導致其熱錢包被盜，損失大量NFT以及其他資產價值超400ETH。Web3.0的世界好像并不安全，我們的鏈上資產似乎處處受到威脅。確實，從上層來看，鏈上應用不光要考慮應用邏輯的漏洞，還要考慮所部屬鏈共識層可能潛在的攻擊途徑。除此之外，我們還需要擦亮雙眼看清交互前端，并預防各類釣魚鏈接。最致命的一點是，交易一旦獲得清算保證，回滾成本極高。這么說來，Web3.0整體安全程度還不如Web2.0呢。但從更底層維度來看，理論上來說Web3.0其實應該是更安全的。例如，鏈上的去中心化平行執行為鏈上應用打造了去信任化的執行環境。Web2.0應用常遇到的DoS攻擊也被Gas機制所解決。協議的開源同時也讓用戶在使用前「有權」進行DYOR，等等...本文出自加密錢包ZenGo聯創TalBe'ery，文中就Web3.0固有的安全優勢進行了詳細解讀，并提出了現存問題的潛在解決方案。律動研究院將全文進行了翻譯：我知道這一點聽起來很荒唐，畢竟Web3的安全性是目前科技領域的一大笑柄，而Web3在去年也因安全漏洞損失了超過100億美元。然而，我認為目前這樣的情況應該是階段性的，而非持續性的，一旦Web3應用程序變得更加成熟，它們將在安全性上超越很多「傳統應用程序」。Web3的定義

DeFi 概念板塊今日平均漲幅為0.28%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為0.28%。47個幣種中25個上漲，22個下跌，其中領漲幣種為：RSR(+10.72%)、BZRX(+10.66%)、BAL(+9.99%)。領跌幣種為：AMPL(-18.23%)、DMG(-9.84%)、CRV(-7.70%)。[2021/10/27 21:00:57]

在我們開始討論Web3的安全性之前，我們需要首先對其作出定義。我們可以暫時將Web3定義為依賴于「智能合約」的應用程序，其商業邏輯和存儲均在區塊鏈上完成。因此，Web3目前主要包括DeFi應用程序和NFT，但在未來可以擴展到更多領域。

Web3三角在對Web3作出定義之后，我們便可以開始探討它的安全性，而這主要包括智能合約的安全性。為了簡單起見，我們將只討論以太坊上的智能合約，但我相信其結論也適用于其他相似的系統和區塊鏈。Web3的安全性有其內在優勢

Top Hat創始人成立DeFi加密基金Gadze Finance，正在進行160萬美元股權融資:10月14日消息，Top Hat創始人、前首席執行官Mike Silagadze將注意力從數字教育轉向加密投資，成立一家新資產管理公司。Silagadze與前Top Hat員工、Checkout 51創始人Andrew McGrath一起，在過去幾個月里創建Gadze Finance。10月初，該公司啟動一個DeFi加密基金，最初管理規模為2500萬美元。Gadze希望在未來六個月內將規模擴大到1億美元，并引入一些新投資者，包括個人和機構投資者。

BlueCat聯合創始人Richard Hyatt和Michael Hyatt參與投資Gadze，作為Gadze預計本月晚些時候結束的160萬美元股權融資的一部分。Gadze將利用這筆融資幫助其基金的啟動。這輪股權融資由風投公司Version One Ventures創始人Boris Wertz領投，Version One的基金和Purpose Investments也參與投資。（Betakit）[2021/10/14 20:29:40]

想象一下，如果Web3軟件環境中沒有了惡意軟件、拒絕服務攻擊以及其他類型的攻擊，該是一次多么美妙的升級。下面我們一起來認識一下實現了安全烏托邦的Web3：-Web3解決了可信執行的問題：對于傳統的應用程序，可信執行是一個尚未解決的主要問題。目前，一個應用程序必須信任其軟件和硬件的執行環境。如果這種信任被惡意軟件或能夠植入惡意處理器的硬件供應鏈攻擊所破壞，攻擊者便可以獲得控制權。Web3利用執行的去中心化解決了這個基本的安全問題。所有的區塊鏈節點都在平行執行web3的代碼，并且必須就執行的結果達成一致。除非執行引擎本身存在一些系統性風險，否則攻擊者必須發動「51%算力攻擊」，用惡意軟件感染大多數區塊鏈節點，以破壞其執行。-Web3可以免疫注入式攻擊：對于傳統的網絡應用程序，所有參數都是以字符串的形式發送。這個設計缺陷是大多數傳統網絡應用程序漏洞背后的核心原因，這些漏洞包括SQL注入和命令注入，讓攻擊者能夠將非預期輸入偷運到尚未完善的網絡應用程序之中。相比之下，由于Web3的強類型性質，這種非預期輸入將立即失敗，而Web3應用程序則不需要做任何特殊的準備。-Web3對拒絕服務攻擊的抵抗力更強：雖然這些攻擊并不聰明，因為它們通常不是靠「腦力」，而是靠僵尸網絡大軍的「蠻力」，以較低的成本向攻擊目標發送垃圾流量，但它們仍然是傳統Web應用程序面對的一個主要問題。相比之下，Web3應用程序就不會受此困擾，因為區塊鏈為了防止被過量使用，設置了較高的交易費用，從而讓DoS攻擊者無從下手。除了上面幾點以外，Web3在其他方面也表現出了很好的安全性。但是，僅僅是做到了上面幾點，就已經相當厲害了。但除了上述的技術優勢外，鑒于Web3的完全開放性和透明度，Web3還具有一些理念意義上的安全優勢。早在Web3出現之前，開放式安全理念在安全領域就有很多擁護者，認為它比「隱蔽式安全」更具優勢。Web3將開放式安全理念發揮到了極致：在Web3中，不僅代碼按照慣例是開源的，而且根據定義，二進制文件在區塊鏈上也是對外公開的，且可以被驗證為是已發布源代碼的結果。此外，根據定義，所有代碼的執行都是公開的，任何人都可以對其進行驗證和審查。理論優勢并非實際優勢

韓國DAO項目HubDAO：無節制的流動性挖礦導致了近期DeFi市場的下跌:9月23日，韓國DAO項目HubDAO中國社區負責人阿爾法李在參加哼哈互動舉辦的《尖叫列車第四期》訪談時認為，無節制的流動性挖礦導致了近期DeFi市場的下跌。巨量的代幣被挖出后流入二級市場，在價值共識不足的情況下，難以形成價值預期，最終形成“挖提賣”的惡性循環導致市場崩盤。

HubDAO 將嚴格控制挖礦產量與獨特的雙代幣體系來解決挖礦泛濫的問題，通過把挖礦代幣和治理代幣分開，用挖礦代幣HDT吸引早期關注者來參與，獲取早期的市場人氣及流量。但是實際上接下來在二級市場流通的是治理代幣HD。在HDT和HD之間，存在第二層Farm關系，同時還有一定的鎖倉時間。這使得HubDAO 既激勵了早期用戶產生熱度，也不會對二級市場形成直接的沖擊。

阿爾法李透露，HubDAO 將于9月23日20：00正式開啟創世挖礦，首期挖礦設立 USDT、 HT、GXC、GOF、BNB、wETH六個礦池，每個池子每周激勵為 41.67 萬枚 HDT。[2020/9/23]

如果Web3的安全性在理論上大大優于傳統應用程序，那為什么在實際操作中，DeFI應用程序的安全性還是比不過傳統的銀行應用程序？我認為這不是因為Web3的安全性本身有多差，而是因為它的運行環境異常惡劣，攻擊者可以更容易地靠黑客攻擊賺錢。Web3應用程序每時每刻都在處理著「流動資金」，因為區塊鏈上的資金轉移幾乎都是即時發生且不可改變的；而在傳統的銀行系統中，即使銀行應用程序被黑，在攻擊者兌現以前，這些惡意交易所涉及的財產都可以被追回。具體而言，我們可以看一下規模最大的銀行被黑案之一——2016年孟加拉銀行黑客入侵案。攻擊者利用惡意軟件滲透到銀行當中，并發送欺詐性的SWIFT電匯，試圖劫走10億美元。為了真正得到這10億美元，攻擊者需要看好一個特定的日期，這一天正好銀行放假，好讓他們有足夠的時間來變現。他們還需要在一家能夠處理大量電匯的菲律賓銀行提前做好準備，以便在電匯被退回之前將資金套現。最終，攻擊者「只」獲得了10億美元中的6000萬美元，而這并不是因為銀行的軟件安全性高，而是因為環境比較寬松，給了防衛者足夠的時間追回電匯。因此，我們可以得出結論，為了擊敗攻擊者，我們需要為防衛者爭取更多的時間。要想做到這一點，我們需要減少攻擊的檢測時間，或者延長交易可逆轉前的時間，又或者同時做好這兩點。我非常看好我們社區在改善攻擊檢測時間上的能力，因為目前已經有一些安全公司能夠根據公開數據，利用上述的區塊鏈透明度及「開放式安全」理念，提前對黑客攻擊作出預警。從最近發生的黑客攻擊案及其事后分析來看，沒有什么能阻止在交易執行時分析的實時進行。當我們把這樣一種先進的預警系統集成進合約當中以后，可能就足以用來杜絕此類惡意交易了，正如最近出現的Forta.network等項目所顯示的那樣。即使在今天，套現也不像看起來那么容易。一些CryptoToken已經設置了自己的黑名單，用以凍結名單用戶的資產。此外，要想兌現成法幣，攻擊者通常需要借助中心化交易所，而這些交易所正受到越來越多的監管，并也增添了KYC功能及黑名單，阻止了攻擊者進行兌現。因此，如今一些攻擊者更愿意歸還大部分被黑的資金，只保留一小部分，并把這部分資金洗白成被黑應用程序發放的「漏洞修補賞金」。正如最近查獲的Bitfinex被黑資金，這些黑客其實很難將大筆的Crypto套現。可以肯定的是，套現只會變得越來越難。結論：我們終將成功

DeFi借貸平臺ForTube獲NGC戰略投資:DeFi借貸平臺ForTube宣布獲得加密資產投資機構NGC Ventures的戰略投資，雙方將推動ForTube業務生態發展，在探索DeFi行業新商業模式方面達成共識，投資金額未披露。 ForTube是原力協議打造的DeFi借貸平臺，致力于為全球的加密數字資產愛好者提供去中心化的借貸服務，滿足不同用戶的加密數字金融業務需求。近日，團隊在原有產品的基礎上，進行了核心的功能的升級，推出了全新升級的ForTube 2.0，不僅靈活支持全球熱門資產，包括FOR、YFII、YFI、LINK、COMP等，還在確保系統安全的情況下，大幅度降低了Gas費用。[2020/9/10]

雖然Web3的安全性還遠遠不夠，但隨著它的不斷改進，未來很有可能成為我們數字活動的安全護盾。就像大多數革命性的技術一樣，Web3的功能越豐富，其安全性就越是問題，這也是一直以來的情況。不過今后在風險投資和成功Web3項目的資金支持下，安全系統的人才將不斷從傳統安全產品涌入Web3領域，我相信到那時Web3的安全性便可以充分的發揮出來。Web3和Crypto技術涉及計算機科學和經濟中的諸多學科，而我只了解安全領域。我相信，Web3將為安全領域帶來重大突破，而且我也深信它能對其他我不了解的領域作出改進。或者用Web3的行話說，WAGMI。原地址

鏈上ChainUP VP Kris Lee：鏈上ChainUP正深度參與IPFS、DEFI、DOT等生態建設:9月3日，華中區塊鏈周在武漢隆重舉辦。鏈上ChainUP VP Kris Lee在《鏈上三周年：交易系統的設計與探索》主題演講中提到，鏈上ChainUP通過三年的技術深耕，采用云原生與分布式撮合等綜合底層技術來提升交易系統的資源利用率、故障自愈、服務治理等能力，做到了全系統分布式無單點、彈性伸縮、適應突發流量、秒級容災恢復。Kris還分享了鏈上ChainUP的大中臺技術戰略，將交易所基礎服務和平臺數據開放，形成以交易所為核心的產品生態，與行業更多優質企業合作，為客戶提供更多交易所擴展功能。同時，在IPFS、DEFI、DOT等生態建設上，鏈上ChainUP也正在從技術層面深度參與，以推動區塊鏈技術在金融領域更廣泛地應用。[2020/9/3]

Tags：WEBWEB3EFIDEFWEB價格web3游戲有哪些Ramp DeFiJustDefi

XMR