LOCK:加密极客研讨与Web3过冬指南分享

作者:YBB Capital Researcher Ac-Core

此次研讨会我们非常荣幸邀约到众多重量级嘉宾——致力于解决当下行业刚需问题的资深技术专家和创始人,与我们进行了一次面对面的交流。嘉宾们就如何确保资金安全,防止黑客攻击;开发者从哪可获得云化的API服务;如何寻找满足自身需求获得高效且可靠的RPC服务;以及基于MPC、ZKP和TEE的可扩展跨链互操作协议是什么等系列问题进行了分享。

前言

七月五日,细雨绵绵的天气里藏匿着不温不火的加密行情,随着雨过天晴,YBB ChainXplore :Geek Symposium 01活动圆满落幕。此次研讨会我们非常荣幸邀约到众多重量级嘉宾——致力于解决当下行业刚需问题的资深技术专家和创始人,与我们进行了一次面对面的交流。

活动现场,嘉宾们就如何确保资金安全,防止黑客攻击;开发者从哪可获得云化的API服务;如何寻找满足自身需求获得高效且可靠的RPC服务;以及基于MPC、ZKP和TEE的可扩展跨链互操作协议是什么等系列问题进行了分享。下面,让我们来一同感受来自不同研究方向的极客们究竟碰撞出了哪些火花。

2022年是一个沉寂许久的熊市,2023年伴随着疫情的结束,我们本以为市场环境能有所好转,但美元加息不止,且最近SEC对待加密交易呈现出了更严厉的监管态度,本是充满期望的一年,又变得没有了确定性。作为行业老人,我们都在行业内历练了几个牛熊,那么大家对于行业未来的发展是怎么看待的呢?以及我们每个人站在自己的领域,该如何扛过这个“寒冬”呢?活动之初主持人YBB Capital联创John,请与会嘉宾,分享下自己是如何过冬的。以下是嘉宾们的核心观点。

YBB Capital联创Hugh: 在从20年底开始到22年结束的上一轮牛市周期内,我们可以看到市场资金和技术发展两者是呈正相关性的,资本的介入带动了新叙事的发展,比如上轮灰度等大资金的入场带来了牛市更向上的增长空间,后来随着宏观政策的收紧,市场被抽离了部分流动性,往期每轮牛熊的变化像齿轮一样是有一定的周期性在里面的。关于Crypto更多的还是需要关注技术的发展和突破,从而带动大资金的入场。从上次的黑山EDCON现场会议来看,大家更多地是关注ZK技术的突破和AI与区块链间的相互结合,关于AI的话题大家整体都是投降派,觉得AI会统治世界,保持悲观的态度,但整体感觉下来还是非常有趣的,各种不同的思想相互碰撞。总的来说我们也在寻找新一轮的叙事,从而带动新一轮牛市的发展。

Kernel Ventures投资经理Joshua: 今年四月香港发布了合规政策之后,因为考虑到流动性这个因素,更多需要向合规性靠拢,流动性也是交易所品类管理层面非常看好的因素,总的来说项目本身的流动性和热度还是比较重要的。从VC一级投资的角度来说,虽然我们现在的出手频率不高,但是也在寻找能合作的项目,包括为项目方提供产品建议、产品层面资产的流动性以及关键资源对接,能为项目提供一些价值支持,也是目前我们能为行业做的一些力所能及的事。

俄罗斯议会成立加密货币监管工作组:11月26日消息,俄罗斯国家杜马议会现在正在组建一个工作组,将努力解决有关加密货币监管的悬而未决的问题。议会金融市场委员会主席Anatoly Aksakov透露,该工作组将在不久举行首次会议。他认为,加密货币的发行、流通、税收和运营存在“灰色地带”。所有这些都需要讨论、分析、立法和规范监管,成立工作组的决定是正确的。他还表示自己会参与改小组的工作,希望能够找到解决方案。(Bitcoin news)[2021/11/26 22:19:44]

Chainbase Data工程师Liquid:对于个人来讲,该如何扛过这个熊市呢,我的建议是不要上杠杆,项目方在融资时,首先要思考如何穿越牛熊,并为熊市做好准备。要提高在成本控制和获客方面的运营能力,尽量保证项目能在熊市里坚持足够长的时间。关于大的市场行情,回顾前几个牛熊周期,不难发现都是由主流币带动的,但目前比特币和以太坊的体量已经不小了,下一轮牛市肯定要具备几个合规方面的因素,比如贝莱德的ETH申请和美元的加息预期明确有一个转折时间点,之后资金才会转向币圈。

Rooch Network联创Haichao Zhu:目前一级市场还是处于冷静期,可以感受到的是当前市场偏向于浮躁,也出现了一个怪象。一个项目可能并没有它突出的创新点,但只要加上ZK、Layer2、EVM、GameFi等属性,以及至少10W以上的用户体量,就很容易获得VC的青睐。但我们会坚持为行业做好基础设施建设,以我们擅长的方式去为行业做出贡献。

YBB Capital联创Hugh:我们现在也可以感受到目前市场存在着一个两极分化的情况,好的项目VC挤破头也很难投进去,接地气但技术壁垒较弱的项目估值再低VC也不敢投。目前大部分投资都是被市场情绪带着走的,但目前从A16z等大机构的投资结果表现来看,大多数项目是破发的。但我们还是需要比较乐观地来看待现在的市场,持续抱着激情去寻找新的技术突破点。

Chainbase开发关系主管Zhengxue Dai:我的视角可能和大家有点不同,我认为寒冬还没到来,现在面临着全球性的衰退和国内人口结构性的减少,所以现在很多人减少了对于一级市场的投资,因为市场缺乏消费动力,一级市场的钱也不够了。另外也可以看到目前开发人数还是在不断增加的,开玩笑讲可能等哪天我自己想离开这个行业,可能行业的寒冬才算是真正地快过去了。我们会关注整个链上开发者的数量和合约部署的数量,从现有数量来看和去年相比是大大减少了,现在大多数公链都想囤一批开发者。尽管目前Layer2有非常大的TVL,但绝大多数都是薅羊毛用户,并未对生态做出贡献,所以我想抛砖引玉地问一下大家,你们觉得目前的开发者都在哪里。

英伟达财报:加密货币“挖矿”用的芯片产品CMP当季销售额仅为2.66亿美元:8月18日周三美股盘后,美国芯片巨头英伟达发布了截至8月1日的公司2022财年第二季度财报,财报显示,英伟达在截至8月1日的2022财年二季度营收65.1亿美元,至少连续三个季度创新高,也是史上首次突破60亿美元大关,去年四季度曾为史上营收首次触及50亿美元。但令市场感到意外的是,加密货币“挖矿”用的芯片产品CMP当季销售额仅为2.66亿美元,比公司在5月预测的4亿美元低了三成多,上一季度的销售额为1.55亿美元,明显受到了财报期内比特币和以太坊等加密货币价格大跌的负面影响。

此外,英伟达CFO Colette Kress还表示,对收购英国Arm公司的交易有信心,英伟达预计加密挖矿芯片对销售额的贡献微乎其微。[2021/8/19 22:23:11]

BlockSec联创YaJin Zhou:Web3的开发者在哪?我们也一直在思考这个问题,因为我们的服务对象主要是项目方。这其实是一个鸡和蛋的问题,开发者做出的项目本质上还是给用户用的,有用户才有需求,有需求才有项目,有项目才有开发者。在目前没有特别好的Web3应用场景落地之前,大量用户涌入Web3是不现实的。所以问题又回到了怎么让更多的用户进来,需要思考Web3到底解决了用户的哪些需求,如今在熊市的背景下怎样的应用才能把用户给带进来。对于这个问题我自己还是比较乐观的,借助现在的行情把一些不好的项目给淘汰出局,比如在中心化交易所不断暴雷的情况下,更多资金流入了去中心化交易所,这个过程让我们都处于一个积累的发展阶段,经历过沉淀后才能有更好的产品出来。

图源:live shooting黑暗丛林与光明骑士据慢雾 Hacked.slowmist 的最新统计数据,从 2012 年 1 月 截止 2023 年 7 月 14 日,区块链领域因黑客攻击而导致的损失总金额已超过 300 亿美元,总黑客攻击事件为 1108 次!

无论我们以何种身份身处Web3,我们都难以逃离黑暗丛林法则的约束。相比于Web2,去中心化的Web3网络从一定程度来讲是丧失了部分安全性的,与以太坊Layer2提供可扩展性的逻辑相似,Web3也需要光明骑士来扩展网络的安全性。

数据来源:慢雾官网用户和项目方的安全卫士当前行业有个最大的痛点 — 安全性,在当前资产被盗的众多类型中,用户钱包、项目方、跨链桥是最容易受到黑客攻击的三种类型,为减少被攻击事件的发生,YBB Capital邀约到合约安全审计项目——BlockSec 和去中心化签名跨链桥方案——Bool Network 在活动现场与嘉宾们共同分享他们在安全领域的解决方案。

加密投资基金遭遇黑客攻击 26.6万名用户数据被泄露:一家加密投资基金Trident Crypto Fund遭遇重大数据泄露,这是加密货币领域遭遇的最新一起隐私泄露事件。网络安全公司DeviceLock的首席技术官Ashot Oganesyan表示,在该基金注册的约26.6万人的个人数据在该事件发生后被发布在多个文件共享网站上。Oganesyan说,被盗的数据库包括电子邮件地址、手机号码、加密密码和IP地址,在2月20日发布在网上,同时还公布了网站的漏洞描述,这使得这次攻击成为可能。他补充说,3月3日,不知名的黑客解密并公布了12万个加密的数据集。该俄罗斯媒体联系了数据库中的一位用户,他证实自己与Trident Crypto Fund有关联,不过他只注册了该公司主办的一个研讨会,没有投资。该基金没有在网站上列出其团队成员,也没有在LinkedIn上露面。目前还不清楚该基金的注册地或具体位置。(Coindesk)[2020/3/5]

图源:BlockSec官方BlockSec是一家区块链安全服务团队,作为面向区块链开发者的安全解决方案,BlockSec能够提供从合约部署前(e.g. 代码审计)到合约部署后(e.g. 监控阻断)的项目全生命周期安全服务。BlockSec 的安全监控和攻击阻断技术已获得社区的广泛认可,并与诸多主流项目方达成了合作,包括不久前与 Compound 合作为 Compound V3 合约开发攻击监控系统。BlockSec 一直致力于为社区提供安全基础设施,先后推出了一系列安全产品和工具,包括为项目方所研发的区块链开发测试及监控阻断套件Phalcon、Web3 用户的安全工具箱 MetaDock和跨链资金流追踪平台 MetaSleuth 。

面向项目方的开发测试及监控阻断套件:Phalcon (Phalcon.xyz)

Phalcon是一款由BlockSec开发的面向Crypto项目方的安全开发、测试及监控阻断套件。BlockSec 认为仅靠代码审计无法解决 Web3 安全问题,一方面,高质量的审计服务是稀缺的,满足不了如此多项目方的需求,另一方面,随着攻击方式的不断演进,项目上线后可能会面临新的风险。于是,在经过一系列实战演练和产品化探索后,Phalcon诞生了,旨在为Web3带来全新的安全范式。

Phalcon包含三大核心模块:

1)Phalcon Explorer:是一款强大的区块链交易浏览器,提供交易解析、模拟执行、Debug等功能;

声音 | Messari首席执行官:加密货币间交易免税将为美国国税局带来更多收入:金色财经报道,Messari首席执行官兼创始人Ryan Selkis表示,如果代币化网络获得安全港会很有趣,但该行业尚未获得安全港。此外,加密货币需要最低限度的豁免,税收政策是一场灾难。根据Selkis的说法,理想情况下,美国现在应该采纳法国和德国的加密货币税收政策。然而,Selkis承认这不大可能发生。此外,他表示,加密货币之间的交易免税将“解决大量令人头痛的问题,而且可能为国税局带来更多收入,因为合规程度更高。随后,Selkis断言他认为这不会发生。[2020/1/15]

2)Phalcon Fork:是一款可在私有环境下部署与主网状态一致的安全测试平台,内嵌安全工具套件,帮助项目方进行安全初筛,同时支持团队协作和项目公测;

3)Phalcon Block:是一款主动威胁防御系统,提供监控、告警、阻断(暂停或抢跑)黑客攻击的独家能力,据悉,BlockSec已成功拦截攻击并挽回资金超过1400万美元,是业界在主动防御领域唯一有成功实战案例的安全公司。

图源:Phalcon官网Web3用户的安全工具箱 MetaDock(blocksec.com/metadock)

MetaDock是一款完全免费、开源、无广的浏览器插件,为Etherscan等区块链浏览器提供扩展功能,通过创新的产品设计,无缝集成了10多种实用产品的功能快捷方式,成为每一位安全研究人员、数据分析师和Crypto用户的高效率工具。该产品可帮助用户通过内嵌的GPT功能快速了解交易内涵,一键查看地址资金流向,了解NFT收藏品的风险,为合约地址提供更清晰的标签和评分等。目前已获得谷歌浏览器和火狐浏览器的五星级好评和精选推荐。

图源:MetaDock官网跨链资金流追踪平台:MetaSleuth(metasleuth.io)

MetaSleuth是一款跨链加密资产的可视化分析平台,输入需查询的钱包地址即可以可视化的方式查询到与该地址相关的链上资产转移动态,也是目前“链上侦探”们使用非常频繁的一个工具,可全方位监测链上资金走向,目前已集成十条链。

声音 | B2C2首席执行官:由于监管风险低,决定逃避监管并放松KYC的加密货币企业已“极其成功”:据theblockcrypto报道,场外交易公司B2C2的首席执行官Max Boonen表示,由于监管风险低,决定逃避监管并放松KYC的加密货币企业已“极其成功”,其中以EOS和Bitfinex为例。虽然Block.one支付2400万美元罚款与SEC和解,但它从ICO筹集了41亿美元。2016年,Bitfinex因提供非法场外融资零售商品交易,被判向美国商品期货交易委员会(CFTC)罚款75000美元。 根据历史,我认为监管风险并不高。2020年总统选举可能会增加经营非法加密货币业务的成本。Boonen表示,随着新加坡和中国等其他国家正在推动对区块链更加友好的政策,美国可能会感到压力,要求在国内保留其加密货币业务。[2019/12/1]

图源:MetaSleuth官方全新方案应对黑客攻击的另一重灾区 — 跨链Bool Network是一个基于多方计算(MPC)、零知识证明(ZKP)和可信执行环境(TEE)的无需许可、完全无需信任且高度可扩展的去中心化签名网络。该网络可以服务于全链互操作协议。它提出了一种去中心化的签名方案,以方便跨异构网络的任意消息传输和数字资产转移。

技术架构

图源:Bool Network官方跨链中最核心的部分是中继人,但是目前安全且去中心化的中继人是没有实现,所以当下网络中黑客攻击事件大多以跨链桥攻击为主。因为大多数跨链中继人是以中心化模式控制的,究其根本是源于私钥的不正确管理和泄露。比如我们熟知的传统解决方案多签或 MPC,可惜它们仍是由部分中心化实体控制,不能从根本上解决安全问题。而Bool Network采用了维护去中心化签名网络的方案,保证私钥管理不受任何第三方控制,从而解决此类问题。

为此Bool Network诞生了“动态隐藏委员会”的重要概念,每个委员会实际上管理着特定区块链上的私钥,以完成任何形式的跨链交易和信息传递。并提出其独创的环可验证随机函数 (Ring VRF) 选举算法,来保证委员会成员身份的隐私性。值得注意的是,所有委员会的程序均运行在TEE中,以保证相关组件的保密性和完整性。

图源:Bool Network官方MPC:允许数据持有者们在互不信任的情况下实现数据的协同计算及结果输出。与多签不同的是,MPC( 多方计算 )有更高的隐私性、更强的安全性、更好的灵活性和广泛适用性。

ZKP:它提供了一种独特安全的验证方法,基于环可验证随机函数(Ring VRF)将 VRF 的真实公钥隐藏于一个环结构中,使其证明者可以通过非交互式ZKP技术在不泄露私密信息的前提下向验证者展示某一个公钥对应私钥的所有权。

TEE:是移动设备 CPU 中一块保障计算私密性和安全性的区域。在Bool Network网络中是作为一个隔离环境的存在,TEE 不仅可以存储敏感数据,还提供了可验证性。,验证者可以验证运行在TEE中的核心代码和业务逻辑一定是没有被修改的,以保障安全性。

图源:Bool Network官方在“委员会”的初始化阶段,我们假设从 1 万个 TEE 节点中随机选择 21 个节点。首先由“委员会”控制的私钥通过 DKG 算法被分成 21 份,然后将私钥碎片通过可信硬件加密存储,这样即使是恶意节点,也无力获取到真实的私钥碎片,从根源扼杀了作恶念头。在这个过程中, Ring VRF 协议被用来隐藏这些委员会成员的真实身份,防止内部串通的同时也增加了外部攻击的成本。因为外部黑客需要从总共一万个节点中找出 21 个被选中的隐藏委员会成员。

图源:Bool Network官方最后,通过安全多方计算技术,基于私钥碎片实现对数据签名需求,安全多方计算有明显特性,即使部分节点异常离线,也能完成签名。此外,Bool还定义了一个固定的时间段,称为 “纪元”。对于一组被选中的节点,它们只能在一个纪元内相互控制一个委员会。在一个纪元之后,它们对一个委员会的管理将被移交给新的节点组。而这个过程仍是通过 Ring VRF 算法来促进,以提高委员会管理的私钥的安全性。

Bool Network 是行业的基础设施,是为维护跨链通信安全而提出的一种服务,例如管理建立在 Bool Network 之上的 DeFi 桥接应用中终端的私钥。此外,Bool Network 是可扩展的,以提供链外委员会的共识,例如以更分散的模式运作的预言机服务。

图源:Bool Network官方总结一下,Bool Network 与其他跨链协议不同的地方在于,它通过 Ring VRF 来实现动态隐私委员会管理私钥,具有完全的可组合性,以实现异构区块链之间的任意信息传递。值得一提的是 Bool Network 的学术研究已被 IEEE Transactions on Information Forensics and Security (TIFS) 期刊接受。团队计划将在未来支持更多的区块链网络。

现在产品已经适用于Bitcoin、EVM、Solana、Sui、Filecoin等网络。团队还计划为钱包和资产管理平台提供安全解决方案。在 2023 年第四季度,预计将有超过 1000个节点在 Bool Network 中运行,支持的节点越多,网络的安全性和分散性就越强。

从技术上讲,区块链的节点是台高性能的计算机或是服务器,它是连接到对方的去中心化网络中的计算机,负责存储和更新区块链数据。通俗点说,区块链协议就像以太坊的EVM、Bitcoin的比特币协议,当你用电脑运行EVM时,你就是一个节点,但节点又分多种。

RPC( Remote Procedure Calls )是指远程过程调用 (RPC) 的一种协议。RPC服务即在服务器上运行区块链节点客户端,通过DNS域名解析提供http或者websocket接口。

图源:BlockPI 官网技术架构:

BlockPI Network是一个区块链基础设施类项目,其技术架构主要由五部分组成,分别为BlockPI Hub、HyperNode、Gateway、FisherMan、Validator。五者关系相辅相成,共同构成了BlockPI Network的完整网络。

1)BlockPI Hub

BlockPI Hub是一个集用户管理系统、节点评级、认证器系统以及账户系统的多套功能于一体的集合。除此之外用户注册信息、账户信息和KYC信息都保存在这里。不仅如此它也一直在测试网络中的节点,这些是BlockPI负载均衡器的一个参考数据来源。整个网络的收入和支出,以及向系统中的角色发放奖励都是在Hub中完成,在整个系统中占比较重。

2)Gateway

Gateway负责收集和分类用户的请求,并由BlockPI负载平衡器将其路由到适当的HyperNode之中。在Gateway中的负载均衡器会实时评估后端HyperNode节点的健康状态,分配工作量,以使得整个网络处于一个最佳服务状态。

3)HyperNode

HyperNode是处理RPC请求的终端节点,并通过Gateway向用户发送响应。HyperNode通常与目标区块链的完整节点(RPC请求目标)一起运行。官方在测试网阶段开放了第三方运营商加入HyperNode并运行节点,对去中心化架构进行了验证。现已支持了二十四个区块链网络。

4)Validator

Validator是独立存在的区块链节点,充当“警察”一角,以此来监测整个网络。通过可验证随机算法,Validator从HyperNode和Gateway验证工作量数据并把结果写入区块。通过共识协议该数据也会被其它的Validator验证和记录,起到互相记录和验证的作用。

5)FisherMan

FisherMan是另一个负责网络安全的角色,与Validtor同样是位特殊的角色。它伪装成Gateway和User发送RPC请求到HyperNodes和Gateways并且对比结果,上报有问题的对比结果。

图源:BlockPI 官方寒冬与展望区块链行业自诞生以来一直以它独特的魅力不断吸引着每一位新成员的加入,至今我们无论以怎样的身份参与其中,最终都会以抱有信仰的状态在不断地砥砺前行。虽然行业目前仍处于早期发展阶段,有很多不完善的技术空缺,但我们坚信如果互联网未来再次改变世界,那区块链技术必将一马当先崭露头角。

无论目前我们身处的是寒冬还是盛夏,行业的发展离不开每一位开发者的建设和创新,YBB Capital始终坚持以技术发展为核心的价值投资逻辑,不断为优秀项目提供融资帮助。我们相信区块链的发展还需凭借自身技术的不断突破来创造更大且更完善的市场环境,最后也非常荣幸能与各位优秀的开发者和建设者们共同为区块链事业 “添砖加瓦” ,依靠技术创新解决市场需求难题。无论我们是开发者还是投资者,都是走在时代前沿的开拓者。最后由衷感谢到场的各位嘉宾。

图源:YBB Capital

YBB Capital

个人专栏

阅读更多

金色财经

金色荐读

Block unicorn

区块链骑士

金色财经 善欧巴

Foresight News

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:320ms