WEB:Buidler DAO：監管與安全賽道必讀文章

作者：?BuidlerDAO

深度精選是我們推薦的本周市場熱議主題下必讀文章，取材自BuidlerDAO認知蝗蟲計劃每日推送；在這里，Web3Native的資深讀者會從繁雜的信息源中抽取優質文章的核心內容與個人的深度思考。

本期，看項目與監管之間的博弈，尋找灰度地帶的劃線；安全是不變的焦點，關注技術實現路徑，幫助自己建立鏈上操作的底層認知！

文章速覽：

01/監管層詳解首例DAO制裁：為Token持有人辯護@菠菜菠菜！?

02/LayerZero的多鏈野心：技術簡析與生態項目一覽@YueHan

03/?Unicode視覺欺騙攻擊深度解析?@Chasey?

04/福布斯曝光Helium內幕：虛假宣傳、造血困難、高管斂財@菠菜菠菜！?

05/全面解讀Cosmos2.0：從鏈間安全捕獲ATOM價值@YueHan

06/Web3黑暗森林自救指南，5000字說透錢包和安全@Aviv?

07/zkpass：去中心化KYC，行業的潛在顛覆者@memeswap

08/區塊鏈交易隱私如何保證？零知識證明(zk-proof)技術實戰解析@Tommy

監管層詳解首例DAO制裁：

為Token持有人辯護@菠菜菠菜！

9月22日，美國商品期貨交易委員會在周四的新聞稿中發布命令，于美國加州北區地方法院對bZeroX,LLC才能進行的活動；未能按照FCM的要求采用客戶識別計劃作為銀行保密法合規計劃的一部分。

CFTC表示，OokiDAO參與的這些活動與基于區塊鏈的去中心化軟件協議相關，該協議的功能類似于交易平臺。CFTC還認為OokiDAO利用其結構逃避監管，從未以任何身份在委員會注冊過，并將OokiDAO認定為「由OokiToken持有人組成的非法人協會」，并要求其支付25萬美元的民事罰款，和按照指控停止進一步違反《商品交易法》和CFTC法規的行為。

PermaDao Builder Panda：流量入口的最終目的就是讓進入Web3.0的門檻越來越低:金色財經現場報道，在8月8日由金色財經主辦的金色沙龍活動中，PermaDao Builder Panda在《下一個十億級Web3用戶來自哪里》圓桌會議中表示，流量入口的最終目的只有一個就是讓Web3.0進入的門檻越來越低。

很多開發者會出現私鑰保管不當，發地址的時候錯發成私鑰。我從去年一直在關注MPC和AA錢包賽道，有了MPC錢包，就是讓用戶拿不到私鑰，這樣被盜的概率就會大大降低。AA錢包還有一個好處，很多新人理解不了為什么要用GAS，因為在Web2.0是免費轉賬。

在以太坊和BTC網絡存數據非常昂貴。這樣我們可以把比特幣網絡的數據和代碼放到永存網絡上，把計算邏輯和VM放到鏈下。大家可以嘗試更廉價的存儲，比如Arweave等公鏈，這也是一個新的思路。

現在看起來ZKL2是一個值得發展和探索的路子，但能不能行通不好說，也要看技術落地。因為現在交易鏈非常慢，所以要看在V神的帶領下，ZK這些項目哪個到底更好用，這也是值得期待的。[2023/8/8 21:32:36]

思考

這是監管層首例對DAO這個新型組織的指控以及制裁，委員會將OokiDAO非法人協會定義為了OokiToken的持有者，這些持有者對有關運營業務的治理提案進行了投票，而這項定義則源于Bean和Kistner就屬于OokiToken持有者。這種做法明顯是不公平的，委員會的做法將產生不利于投票的寒蟬效應，從而阻礙良好治理并在這種情況下難以形成合規文化。而從委員會在這此執法行動中的定義方法即可表明：DAO社區中的人不應該投票，即使治理投票鼓勵遵守法律。我相信這個案例將會對未來DAO在法律上的定義產生十分重要的影響。

原文鏈接

LayerZero的多鏈野心：

技術簡析與生態項目一覽@YueHan

文章首先講述了LayerZero的運作機制：LayerZero通過在鏈上部署一系列的智能合約實現去中心化信息跨鏈服務。Endpoint上運行著超輕節點，“超輕”兩個字體現在該節點只提供指定區塊的Blockheader。傳輸過程中，通過Oracle與Relayer保證信息發送的有效性與安全性。Endpoint是一個部署在鏈上的合約，負責提供消息的發送與接收。

Base：已針對Builder Quest期間出現的區塊批量寫入問題完成兩項優化:6月8日消息，Coinbase L2網絡Base在推特上表示，在Builder Quest期間，超過100萬個錢包在Base測試網上部署智能合約，為了應對這種交易激增情況，Base將區塊的Gas限制增加一倍來降低快速增長的Base費用。當我們進行此更改時，較大的L2區塊在批量打包至Goerli L1時會產生問題。所以，我們對參數進行了微調，希望達到平衡。盡管有這些變化，系統還是難以達到平衡并將不安全區塊寫入L1。

為了解決這一問題，Base已完成兩項優化：1.改進壓縮實現以更好地利用L1交易調用數據；2.每個L1區塊提交多個批次處理交易，而不是一次提交一個。[2023/6/8 21:23:58]

Relayer和Oracle功能職責是一致的，都是發揮預言機的功能，不過傳輸的內容有所不同，兩者相互獨立運行，再由接收鏈的Endpoint對Relayer和Oracle發送來的信息進行驗證與匹配，提高LayerZero的安全冗余性。具體的細節，可以參考《深入淺出：如何理解LayerZero技術原理》一文。?

文章的第二部分描述了LayerZero的代表生態項目，包括致力于構建完全可組合的原生資產跨鏈橋協議LayerZero；主打零滑點，MEV保護的跨鏈DEX，通過使用LayerZero實現跨鏈消息傳遞的Hashflow，以及部署在Arbitrum上基于LayerZero/Stargate的多鏈借貸項目Radiant等。?

對于未來的展望，作者提到：未來的區塊鏈世界會是怎么樣的？LayerZero會給區塊鏈有哪些改變，產生什么樣的影響？不知道，不過可以確定的是，未來區塊鏈的發展一定是朝向互聯互通的方向進行，即便捷用戶又方便開發者。

思考

隨著多鏈生態的發展，資產的跨鏈成為一個剛需，不過目前并沒有一個完美的解決方案。某種程度上，CEX仍然是跨鏈的最佳選擇，跨鏈橋存在非原生包裹和安全性的缺陷。LayerZero在預言機的幫助下，將部署成本轉向按使用付費的可變成本，有望實現新的突破。

NFT安全公司Web3 Builders完成700萬美元種子輪融資，OpenSea Ventures等參投:10月18日消息，智能合約和 NFT 安全公司 Web3 Builders 宣布完成 700 萬美元種子輪融資，Road Capital、OpenSea 的風險投資子公司、Sparkle Ventures、Picus Capital、ACME、TTV、G20、Global Founders Capital、Haven Ventures 和 Greylock 等參投。本輪融資將用于開發產品，增加新的人工智能和機器學習方法，并擴大團隊。（coindesk）[2022/10/18 17:31:16]

原文鏈接

Unicode視覺欺騙攻擊深度解析??

@Chasey

Unicode15.0版增加了新規范=Unicode安全機制，意在減少字符視覺欺騙帶來的同形異意攻擊。什么是同形異意攻擊？就如數字“1”和字母“I”“l”或是"rn"和“m”在足夠小時會難以分辨一樣，同形異意攻擊指的是：通過注入難以分辨/不可見/重新排序/刪除的字符串，來混淆用戶的視聽，或是影響模型的性能。在本文中，作者主要研究了字形渲染、混合腳本、PunyCode、雙向文本、組合字符幾方面造成的視覺欺騙。

字形渲染：字形指的是“a/ɑ”,“強／強”，“戶／戶／戸”這種某一語義所對應的圖形符號，樣式不固定。在阿拉伯語等語言中，字形會根據環境中的其他文字而發生改變；此外，還有U+1F512這種編碼，其外形和Chrome/Firefox瀏覽器地址欄中的小鎖圖標類似，容易引起誤導。不當的渲染會帶來安全問題。

混合腳本：比如希臘小寫字母Omicron和拉丁文o外觀難以分辨，蘋果產品中編碼latinsmallletterdum(U+A771)渲染的字形和latinsmallletterd(U+0064)難以分辨等。利用此特征可以偽造域名。

雙向文本：阿拉伯語等倒敘輸入的文字與正序輸入的文字混在一起時，可能會導致文本序列的混亂。可以利用倒敘顯示+空白符偽造域名。

Incredibuild完成3500萬美元B輪融資，Hiro Capital領投:6月27日消息，分布式軟件和游戲開發加速平臺Incredibuild 完成3500萬美元B輪融資，Hiro Capital領投，Insight Partners參投，估值已接近8億美元。

這筆最新融資將推動Incredibuild在人工智能、元宇宙等眾多行業的創新和增長。Incredibuild 模式與點對點網絡相似，其想法是在任何給定時間，組織網絡中都有空閑CPU，然后有效地劃分繁重的代碼并將其分發到這些CPU實時運行處理。另據Incredibuild公司首席執行官Tami Mazel Shachar透露，去中心化金融“絕對是該公司在不久將來的一個選擇和一個需要專注的領域。”（PR Newswire）[2022/6/28 1:34:47]

組合字符：如googlè.com和google.com.；io.com和???.com等。瀏覽器如果不做PunyCode編碼，則很容易造成誤導。

思考

Unicode的作用是把計算機語言轉換成人類可讀的字符，視覺欺騙與亂碼/特殊字符造成的系統崩潰一直存在。對于系統的攻擊多為惡作劇，只要刪掉無法識別的內容即可；瞄準了用戶的域名安全問題則屬于惡意釣魚，防不勝防。

原文鏈接

福布斯曝光Helium內幕：

虛假宣傳、造血困難、高管斂財@菠菜菠菜！

Helium?被吹捧為Web3技術的最佳現實用例。但在該項目難以創造收入之際，《福布斯》的一項調查發現，在項目啟動之初，Helium高管和他們的朋友就悄悄囤積了大部分財富。?

市值12億美元的Web3公司Helium得到了a16z?和TigerGlobal的融資，該公司表示正在建設“用戶網絡”，這是一個為停車計時器和狗項圈等物品提供無線互聯網連接的全球網絡。用戶要做的就是花500美元買一臺看起來像Wi-Fi路由器的機器，把它插到墻上，然后獲得Helium的加密貨幣作為回報。一位Helium的投資者聲稱，所有者可以在幾周內收回購買的資金。?

Ocean Builder購買游輪命名為“中本聰” 并將容納加密公司:海洋建筑公司Ocean Builder購買了一艘舊澳大利亞游輪，并將其重新命名為“Satoshi（中本聰）”，并計劃在巴拿馬海岸附近接納加密公司和企業家。Ocean Builder首席運營官Chad Elwartowski表示，這艘船將構成一個創新中心并提供一個獨特的空間，加密企業家可以在其中建立網絡。（Cointelegraph）[2020/10/14]

如果對Helium系統的需求上升，推高其Helium網絡代幣的價值，該公司暗示，網絡的收益將由所有人分享。但經《福布斯》揭露后卻被狠狠“打臉”了。

思考

個人其實是十分看好Helium的，作為目前全世界最龐大的物聯網網絡，每月數以萬計的新節點加入不斷擴大規模足以證明其物聯網+區塊鏈的模式對行業的顛覆性，對于福布斯的曝光，其實這種項目方內部吃項目早期紅利的案例在Web3中數不勝數，算不上新鮮事，設備造假的問題也在最新的遷移至Solana的提案中提到會引入位置預言機，目前Helium除了正在大力發展新的5G業務外，未來Helium也將引入更多的網絡如Wifi、VPN等，個人覺得，項目方畫大餅，斂財都不是什么大事情，最難能可貴的還得是“項目方在做事”，萬一畫的餅實現了呢？

原文鏈接

全面解讀Cosmos2.0：

從鏈間安全捕獲ATOM價值?@YueHan

Cosmos公布了2.0版本的白皮書，一些核心觀點摘錄如下：

CosmosV1的白皮書側重于通過IBC構建出CosmosHub和通信模型，這一點現在已經實現了。

今天的ATOM是Cosmos生態系統中的MEME，它可以做到更多。CosmosHub成為了Cosmos生態成功的犧牲品。InterchainScheduler和InterchainAllocator將成為Cosmos生態的重要組成部分.

InterchainScheduler是Cosmos中的一個跨鏈區塊空間市場，它從跨鏈MEV中產生收入。InterchainAllocator，旨在簡化整個Cosmos網絡的經濟協調，加速Cosmos項目的用戶和流動性獲取，同時確保ATOM作為網絡儲備貨幣的地位。總結起來就是：Scheduler將IBC的經濟活動貨幣化，收入最終流向Allocator，Allocator支持Cosmos生態中的新項目，擴大了Scheduler的潛在市場容量。

InterchainSecurity鏈間安全，是備受期待的升級之一。如果新推出的應用程序由市值低于該鏈上的TVL的通證質押者來保護，則會有被攻擊的風險。InterchainSecurity允許這些應用鏈從CosmosHub租用安全性，只需要付出一定比例的交易費用，這些應用鏈將能夠得到CosmosHub的驗證者提供的安全保障。

目前ATOM代幣經濟學被人詬病的地方在于高且不穩定的通脹率和缺少價值捕獲方式。白皮書2.0通過InterchainSecurity，取代了用于激勵驗證者和質押者的代幣通脹，反而是用由此產生的安全費用來獎勵驗證者和質押者。用戶可以通過質押憑證，獲得流動性，從而參與更多的鏈上活動，比如參與更多DeFi活動。

Cosmos生態或許不再是一個“松散的聯盟”狀態，而是走向了一個經濟共同體。

思考

做為偶聯萬物的跨鏈生態，ATOM和DOT兩大巨頭中，我認為ATOM在技術和生態方面都比DOT暫時領先。新的白皮書中，新增擴展層和功能層板塊，Allocator將新的Cosmos鏈資本化并激勵它們進行交易，而Scheduler則為高價值IBC交易創造市場并使用收入來支持網絡增長。2.0版本白皮書中還提到了新的代幣模型，生態中可能有新的空頭機會，也是值得關注的。

原文鏈接

Web3黑暗森林自救指南

5000字說透錢包和安全@Aviv

一、我們要掌握一個原則，計算機世界里，幾乎沒有安全的地方，甚至你的每一步操作都有泄露隱私的風險。?

二、焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。?

三、安全使用web3錢包

冷錢包、熱錢包、交易所冷錢包最為安全。

對于大多數人來說，只要做好密碼保護和雙重驗證，交易所實際上會比熱錢包更安全。

USDT的潛在風險

錢包的各類交互操作

一般認為簽名不涉及授權，不會有操作風險，但是遇到非明文寫下的簽名，還是有安全隱患的。除簽名外，最常用的一個功能是授權。黑客們最喜歡用的一招就是讓你在焦慮、興奮、沮喪等情緒下，將你騙到一個假冒網站，讓你無意中將授權交給他。

NFT

網站前端安全

剪貼板安全

關于使用錢包的一些安全建議

a）不要復制，也不要使用網絡傳輸私鑰、助記詞。萬不得已時，蘋果用戶可使用隔空投送，其他用戶可使用telegram

b）大額資產使用獨立的錢包

c）新項目開始前，如果感到危險，可新建立一個錢包去參與

d）對不明來源的空投保持警惕，騙子常常在nft上刻下釣魚網站的網址，將你誘騙到危險的地方

e）對每一次錢包的操作都保持警惕

四、設備安全?

行走web3，保持設備與保證錢包安全同樣重要。

五、社會工程學攻擊?

密碼

郵件釣魚

不要輕信任何客服

個人信息

思考

在web3中，資產的安全尤為重要，近期不斷發生的黑客攻擊事件給我們敲響了警鐘。在與區塊鏈打交道的時候，安全問題離我們每一個人都很近。雖然黑客的攻擊防不勝防，但是我們自己提高警惕，不要泄漏個人隱私和資產，就有辦法保護好錢包和資產。

原文鏈接

zkpass：去中心化KYC

行業的潛在顛覆者@memeswap

zkPass作為一個基于MPC和ZKP的去中心化的KYC解決方案，允許用戶通過他們在Web2的身份發行方發放的憑證向第三方匿名證明他們的身份。在將Web2身份憑證轉換為匿名憑證的整個過程中，不需要集中式服務器或可信硬件。zkPass協議是傳統KYC服務提供商的完美替代品，可以為企業和用戶提供更高水平的KYC解決方案，完全是去中心化的方式。

思考

zkPass的設計思路非常巧妙，一方面通過MPC用于防止欺詐，另一方面又?ZKP用于保護用戶隱私。?

在過往的KYC驗證中，用戶是先將身份數據傳送至KYC代理平臺，再由KYC代理平臺向發證方驗證，這在KYC的過程中，用戶的數據會在KYC代理平臺處進行儲存，而用戶隱私是否會泄露，就全然看KYC平臺的自身操守和相關的數據安全措施。在實際的使用中，以GalxePassport為例，疑似發現代理平臺通過算法虛假KYC的情況。?

于是引出目前KYC的兩點潛在問題：?

1、用戶隱私?

2、虛假KYC?

而zkPass通過MPC的技術，讓用戶KYC數據繞開了KYC代理平臺直接與發證機構通訊認證，并在過程中防止用戶虛構回傳數據進行欺詐，并經由ZK技術幫助用戶在身份脫敏的情況下也能效驗相關資質。?

在沒有傳統身份發布者的任何程序化支持的情況下，zkPass可以最大限度地減少對身份發布者可用性的依賴，并使匿名憑證仍然與身份授權的使用兼容。

zkPass無論是在Web3的去中心化語境中還是在web2的用戶隱私語境中，都是非常優秀的選擇，我覺得并不應該僅僅把它視為單純的web3項目，它是有很大的潛力被Web2組織所采用的。zkPass會是既有的KYC行業的有力挑戰者。

原文鏈接

區塊鏈交易隱私如何保證？

零知識證明(zk-proof)技術實戰解析@Tommy

如何在同態加密及零知識證明框架集成。通過代碼結和應用場景描述了zksnark如何集成到現有聯盟鏈體系保護金融領域交易隱私。?

零知識證明是指一方向另一方證明一個陳述是正確的，而無需透露除該陳述正確以外的任何信息，適用于解決任何NP問題。而區塊鏈恰好可以抽象成多方驗證交易是否有效的平臺，因此，兩者是天然相適應的。

將零知識證明應用到區塊鏈中需要考慮的技術挑戰分為兩大類：

一類是適用于隱私保護的區塊鏈架構設計方案，包括隱秘交易所花資產存在性證明、匿名資產雙花問題、匿名資產花費與轉移、隱秘交易不可區分等技術挑戰；

另一類是零知識證明技術本身帶來的挑戰，包括參數初始化階段、算法性能以及安全問題等技術挑戰。

思考

交易隱私保護這塊的技術應該是比較多的，零知識證明技術并不一定是一個最好的選擇，在安全領域中還有很多諸如同態，秘密分享，不經意傳輸，或者基于TEE硬件的一些隱私保護能力，可以去做一些隱私保護。

在區塊鏈上的數據會公開給所有用戶；但如何保障用戶在交易時防止過多透露信息，隱藏交易的pattern以及用戶交易企圖，zk-proof還在早期的探索階段，后續期待在數據的公開性和用戶隱私之間在技術的不斷發展下有更好的平衡

原文鏈接

Tags：WEBMOScosmosCOSMCWEB幣evmos幣最新消息3X Long Cosmos TokenCOSM幣

BNB價格