CoboLabs是亞太最大的加密貨幣托管平臺,最受機構歡迎的金融資管服務商Cobo的加密貨幣研究實驗室。
我們專注于創新項目,前沿加密數字技術領域,全球市場合規動向,市場基本面及波動因子;旨在幫助市場參與者和加密貨幣愛好者,降低進入市場的認知門檻。
核心內容原創者包括:
神魚(毛世行)?Cobo聯合創始人兼CEO,F2Pool?聯合創始人
蔣長浩?Cobo聯合創始人,前Facebook高級科學家
LilyZhuo?CoboCOO,前知名400億美元基金總法律合規顧問
AlexZuo?(左常柏),Cobo資管VP,前?TokenInsight聯合創始人,業內最大FOF牽頭人
我們也希望對加密數字貨幣領域有研究精神和科學方法論的終身迭代學習者可以加入我們的行列,向行業輸出思考洞察與研究觀點!
此篇是CoboLabs的第?1?篇文章。
神魚:Filecoin lotus節點的一些返回值不是很符合常規邏輯:神魚及Cobo官方今日給出Filecoin“雙花攻擊”細節:Filecoin lotus節點提供了多個API用于鏈上交易的獲取,例如ChainGetBlockMessages可以獲取指定區塊內的所有交易內容,StateGetReceipt可以獲取指定交易ID對應的執行結果,此次被攻擊的交易所就是采用這兩個API來進行鏈上轉賬行為的解析,并基于此為用戶入賬。不過他們沒有注意到,StateGetReceipt接口有個比較不符合常規邏輯思維的設計,就是在獲取指定交易ID的執行結果時,如果這筆交易已經被RBF(replace by fee),則會返回最終RBF成功的那筆交易的執行結果,并且在返回值里沒有任何的提示表明這筆是RBF后的交易的執行結果。
假設攻擊者首先發送了TX1,對應的交易ID為TXID1,隨后攻擊者對TX1進行了RBF,生成TX2,對應的交易ID為TXID2,最終TX2上鏈成功。此時通過StateGetReceipt對TXID1和TXID2分別查詢,都能得到執行正確的結果!
Cobo Custody技術團隊在對接Filecoin的過程中已經發現了上述問題,因此沒有采用ChainGetBlotckMessages和StateGetReceipt來獲取鏈上的轉賬行為,而是采用ChainGetParentMessages和ChainGetParentReceipts來獲取已經成功上鏈的交易,從而從根本上避免了被雙花充值的風險,因此未受此次雙花充值攻擊的影響。
此外,在使用ChainGetParentMessages和ChainGetParentReceipt的過程中,Cobo Custody技術團隊發現lotus節點的一些返回值也不是很符合常規邏輯思維,例如對于空塊的處理是有一些問題的。Cobo Custody技術團隊對此作了妥善的安全處理,在此也提示其他中心化托管機構需要仔細檢查相關的對接代碼,避免其他的雙花充值攻擊行為。[2021/3/19 19:00:06]
神魚-時間管理大師的經年領悟
神魚:以AC為代表的糙快猛的DeFi開發方式,其弊端開始顯現:2月13日消息,神魚通過微博表示,以AC為代表的糙快猛的DeFi開發方式,缺乏回歸測試,弊端開始顯現。值得一提的是,Yearn生態多個項目發生過黑客攻擊。其中包括Pickle、SushiSwap、Yearn和Cream。[2021/2/13 19:41:58]
在8月的最后一周,已經鮮少現身的神魚,為溝通DeFi基金的市場需求,現身于Cobo內部業務溝通會。
神魚回答了來自于從業者的犀利問答,下文,CoboLabs精簡了關于DeFi、NFT等當下創新機會的風險和自我思考總結。
結尾,神魚還分享了自我私生活,可供大家品味觀賞!
關于Cobo的靈魂三問
Cobo的DeFi風控體系如何?類似上次PolyNetwork的被盜事件,DeFi類資金如何保證安全?Cobo基金資產是不是神魚自己操作,怎樣做好風險把控?
神魚:
獨家 | 神魚:堅信區塊鏈底層技術成為價值互聯網的下一代基礎設施:今日,針對金色財經聯合火幣共同發起話題:“你還會投資比特幣嗎?”F2Pool&Cobo wallet創始人神魚表示,還會投資比特幣,事實上我個人資產90%以上是以比特幣為主的數字貨幣,更重要的是,我們把人生中最寶貴的時間都投身于這個行業中,這其實是比金錢更寶貴的“投資”,時間是唯一的貨幣。從歷史上來看,比特幣的暴漲暴跌是很常見的,這次大跌疊加疫情、美股崩盤影響,減半去杠桿化,所以大家才更難受一些。作為比特幣的信仰者,我堅信區塊鏈底層技術可以不斷迭代發展和落地,成為價值互聯網的下一代基礎設施。[2020/3/19]
首先,Cobo沒有參與這個項目,是我個人資金投入,但是我們第一時間捕獲到了相關信息,并且協助溝通了相關渠道,例如幣安、Tether等處理這次的黑客事件,還是比較順利,從收集情報、團隊內部一起溝通,最終也獲取到了有效信息,比較幸運,也感謝很多安全團隊的協作。
本次黑客盜幣事件其實是對DeFi行業的反思,由于涉案金額巨大,我們事后也在思考在DeFi領域的投資方式,特別是挖礦,投入的是本金,面臨是的不確定的安全風險。
聲音 | 神魚:建議使用Linux系統解決DAG文件體積過大問題:F2Pool 魚池聯合創始人神魚微博發文稱,不少ETH礦工又遇到了今年四五月份遇到過的問題,1063顯卡在挖ETH時,DAG文件體積超出可用顯存,導致ETH挖礦異常。但不同的是,當時還可以通過升級挖礦軟件或者換用Windows7系統來降低顯存占用率,來拯救1063礦機。經過半年多時間,DAG文件體積已經從半年前的2.4G提升到2.79G,進一步壓縮了系統可用顯存的空間。根據Investoon數據顯示,ETH的DAG文件體積還在日益增加,也許一個月后,部分還僥幸殘存的1063礦機也將告別ETH挖礦。
神魚建議,有1063礦機的礦工可以使用Linux系統,這種本身不需要界面渲染不占用顯存的系統,比如目前做的比較優秀的minerOS等Linux挖礦系統。按照DAG文件體積的增加速度推算,DAG文件體積達到3GB,大概需要到明年4月份。但在這之前,ETH可能已經開始逐步轉向POS了。[2018/12/15]
對于如何來保證安全:
聲音 | 神魚:作為一個理性的人 我當然挖BTC:針對微博網友詢問“挖BCHABC還是BCHSV”,神魚回復稱:“我當然挖BTC了 (作為一個理性的人)”。[2018/11/19]
1.監控報警提醒
Cobo結合了自己一年多的實踐,在投入大資金前,也會一起討論項目的指標,尤其是被攻擊的風險,一旦發生可疑操作,例如時間鎖、多簽發生變化,風控監控會第一時間通知。
2.加密機加速本金撤離,保障資金安全
在區塊鏈安全上,Cobo使用多人協作,內部有系統來完成,通過多人多權限來保證資產安全,比如發現報警信號,可能會對本金產生損失,會觸發Cobo的在線加密機自動處理,加密機持有一把低權限的Key,監控系統發現了可疑,通過加密機把本金先撤出來,并且實現7*24小時工作,采用特殊方法以及嚴格的風控能夠比黑客跑的更快。
3.決策委員會
Cobo有決策委員會,會在項目做完經濟模型審計后,做內部安全審計并會對常見問題做出預判,我們也會在自營媒體以及私域「德妃耕田」,溝通和預警項目的信息,也會提醒讓項目方升級和完善相關模塊,通過實踐也幫助DeFi挖礦大戶抵御了一些攻擊,這樣不斷的實踐讓我們在DeFi領域更好的做一些風控,保證所參與項目的安全性。
報警問題:對于不訴諸于法律的原因
是因為事件發生后,第一時間和公鏈團隊溝通,以及能夠支持的渠道,特別是在安全團隊的溯源,看能不能找到黑客關聯人,能不能鎖定一些人,如果采用法律,速度和響應不會像我們自發組織的這么的快,而且DeFi對于傳統是非常復雜的,并且這類黑客肯定會第一時間使用洗錢工具,如果事后談判失敗,能有更好的方式,該走法律也會有法律方式。
極端行情下怎么應對市場
現在是牛市,已經漲了那么多,此時進場買DeFi基金,會不會風險比較大,如何應對類似519等極端行情?
神魚:
DeFi給我們提供了新的增值方式,提供了公允的市場利息,DeFi收益來源是通過鎖定本金價值,在DeFi協議里獲取代幣,絕大部分的收益,我們會對礦幣進行套期保值,并且會比較快的速度賣掉,在我們自動化工具里,每10?分鐘量級賣掉,如果是像519這種,盡量降低杠桿,或者能自動化處理,能夠防止這樣的事情發生,DeFi的風險除了合約之外的風險,整體收益還是比較OK的。
被神魚沖塌的礦,小散我怎么辦
沖哪個礦?當前的挖礦機制里面哪個設計更合理一些,以及如何防止被巨鯨沖塌,被神魚老板沖塌的礦實在是太多了!
神魚:
目前常規礦收益略無風險,當前收益率處于回暖狀態,老礦和新公鏈整體市場的TVL也在提高,當前好礦也很多。
挖礦核心問題,首先是安全,其次是經濟模型是否合理,是否有本金磨損以及大資金進入是否會沖塌這個礦,我們投委會調研做出研報,投委會成員進行檢測和試跑,看看經濟模型是否長久,找到賽道的模型和價格預期,以及資金體量能到什么程度的時候會出現正反饋和負反饋;
特別是對于大戶的進入,會不會讓這個礦收益率降低,我們需要計算多少錢投入可以獲得最優質收益,當然也需要根據市場動態調整,賽道、模型、估值區間等計算大概可以承載的范圍,像拐點來臨的話要止盈止損,這是個高度動態的過程,決斷根據參數來變化,找到資金分配收益最優解的解決方法。
DeFi?賽道方向您怎么看
下一步DeFi發展的方向?
神魚:
DeFi在過去1年的發展中,已經有了非常重要的底層基礎設施像算法穩定幣、底層借貸、豐富的衍生品,其實頭部效應已經顯現,目前性能問題是要解決的主要問題,目前DeFi鎖倉在1000?多億美金,但是公鏈只能支撐幾百萬用戶,伴隨著行業的發展、數量級的突破,目前的性能支撐不了這些用戶,可能的方向是采用多層公鏈,半年到1年之間,二層網絡會形成頭部效應,也會聚集大量的核心應用;由于DeFi協議分散在各個公鏈上,同時跨鏈協議是一個繞不開的話題,二層網絡解決后,流動性解決方案,跨鏈協議是個方向;
另外,DeFi的外延,例如NFT、GameFi很多和DeFi相結合的協議,這塊短期內會有爆發的機會,大概3-6個月,游戲和元宇宙和DeFi結合,會有成長的機會。
最后,最近美國監管機構對DeFi的討論,也是DeFi行業的機會,例如鏈上數據的分析,監管政策所帶來的剛需,更注重隱私的協議以及保證匿名性的技術迭代和發展。?
目前最熱的NFT
你們目前對NFT有哪些涉獵,投資NFT底層邏輯是什么?
神魚:
基本邏輯目前比較簡單,行業處于非常早期階段,大家對于元宇宙,核心觸發點是區塊鏈原生的重新制定藝術和審美的標準,本次的圖片熱潮奠定加密朋克,它不單單是頭像,更代表了社會認同和社交價值。
對于投資者來說。可以把70%資產放在大幣種,20%在新型領域,5-10%放在看起來有未來但比較早期的資產,兼顧保守和激進的方向,如果哪塊有爆發期,整體收益都會不錯。?
同時,NFT是消費品,不是投機,目前入場的人是帶有非常多閑置資金,當前市場非常小,頭像類的市值很低,稍微有一點資金進來后,泡沫波動都是流動性溢出帶來的,而不是長期有這么好的流動性,所以大家根據自己的情況參與。
福袋:神魚的私生活
問問魚總是怎么調節工作和休息,行情太火爆都沒時間好好睡覺了
神魚:
NFT大部分是都是海外項目,都是凌晨,1-2?小時一次,看很多朋友都已經分布式睡眠,睡一下看一眼,大家比較適應,但是牛市確實很辛苦,對于傳統挖礦,都是大學生看礦場,現在都是挖?DeFi,核心資產還是需要自己去看,經濟模型和安全報告,硬件錢包,DeFi和NFT項目還是要參與一下,過去一年比過去4年都多,每周差不多100?個小時.
除了賺錢,大佬還有什么愛好?
神魚:
養魚,養海魚,珊瑚養不活了。
2021年8月27日,zkTubeFoundation與ONEUNICapital聯合十多家投資機構共同創立種子孵化基金,規模達千萬美元.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是項目周刊,帶您一覽本周主流項目以及明星項目的進展.
1900/1/1 0:00:00數字身份(digitalidentity),或自主身份(self-sovereignidentity)是一種利用非對稱性加密技術為網絡交易提供認證,并確保交易的完整性和不可拒付性的技術.
1900/1/1 0:00:00頭條 ▌印度計劃將加密貨幣作為商品進行監管9月4日消息,《經濟時報》周五援引三位知情人士的話說,“政府計劃在新法案草案中定義加密貨幣,該法案還提議根據其用例對虛擬貨幣進行劃分.
1900/1/1 0:00:00解析SocialFi賽道生態全貌。區塊鏈+社交是一個有趣的賽道,總是吸引著開發者們不斷嘗試。作為行業的熱點賽道之一,社交代幣生態在不斷發展壯大.
1900/1/1 0:00:00頭條 ▌世界銀行重申不能向薩爾瓦多提供比特幣援助世界銀行重申,鑒于環境和透明度方面的缺陷,它不能向薩爾瓦多提供比特幣援助.
1900/1/1 0:00:00