快訊 – 桑幣區識 Zombit

01/09 星期一

21:53
美國司法部已查封 SBF 與 FTX 破產團隊爭奪的 5500 萬股 Robinhood 股票

根據 CoinDesk 報導，最新釋出的法庭文件顯示，美國司法部已查封了 SBF 及其 FTX 共同創辦人 Gary Wang 透過控股公司 Emergent Fidelity Technologies 持有的 5500 萬股 Robinhood 股票。據上週五的收盤價計算，5500 萬股 Robinhood 股票價值約 4.56 億美元。該股票此前一直存放在英國經紀公司 ED&F Man 的一個帳戶中。 SBF、FTX 重組團隊與 BlockFi 都在爭奪這筆股票的合法索賠權。此前，SBF 的律師代表曾強調，重組團隊對於扣押的 Robinhood 股票並沒有合法索賠權，並要求法院將 SBF 涉及的所有事務皆定義為詐騙 (挪用資金) 是不合理的。此外，文件中還提到，SBF 正面臨潛在刑事責任，需要資金來支付刑事訴訟費用，若失去經濟支持將造成無法彌補的後果。
- FTX
- SBF
18:19
研究機構 L2BEAT 用一個實驗「破解」了 LayerZero

當前沒有項目限制自身對預言機和中繼器的修改權限，使得當駭客獲得了權限後可以隨意進行攻擊。撰文：Krzysztof Urbański，L2BEAT 團隊成員編譯：Babywhale，Foresight News L2BEAT 從成立以來就投入了大量精力來分析和理解與 Layer 2 協議相關的風險。我們始終以用戶和生態系統的最大利益為出發點，盡最大的努力成為一個公正、獨立的監督者，不會讓我們對項目或相關團隊的個人偏好影響事實。這就是為什麼即使我們尊重項目團隊投入項目的時間和努力，但也會對某些協議存在的潛在風險「拉響警報」或指出我們的擔憂。儘早進行與安全相關的討論可以讓整個生態系統更好地為潛在風險做好準備，並對任何可疑行為更早地做出反應。今天我們想就跨鏈應用的共享安全模型展開討論。目前有兩種安全模型：共享安全與獨立應用安全。共享安全性就例如所有的 Rollup。獨立應用安全性主要由「omnichain」項目使用，這類項目的主要使用的是 LayerZero。共享安全與獨立安全共享安全性是指在給定基礎架構上運行的特定代幣或應用，而不是自由選擇安全模型，他們必須遵守基礎設施強加的任何安全要求。例如，Optimistic Rollups 通常會施加一個 7 天的最終窗口期——在此類 Rollups 上運行的應用不能簡單地忽略或縮短這個期限。這雖然看起來像是一個障礙，但它是有原因的。這個期限為用戶提供了安全保證，無論應用的內部安全策略是什麼，都必須遵守這套安全政策，應用可能只會加強 Rollups 的安全性，而不會削弱它。獨立安全是指每個應用都負責定義其安全性，不受基礎設施以任何方式進行的限制。這乍看之下似乎是個好主意，畢竟應用的開發人員最清楚應用可能需要哪些安全措施。但與此同時，它將評估與每個應用安全策略風險相關的責任轉移給了終端用戶。此外，如果應用開發者可以自由選擇他們的安全策略，他們也可以隨時更改。因此，對每個應用評估一次風險是不夠的，每次應用的政策發生變化時都應該對其進行評估。存在的問題我們認為每個應用都可以自由定義其安全策略的獨立安全模型會帶來嚴重的安全問題。首先，它增加了終端用戶的風險，因為他們必須驗證他們打算使用的每個應用的風險。獨立安全還增加了使用這種模型的應用的風險，例如增加了有關安全策略更改的額外風險——如果攻擊者要更改應用的安全模型，還不如簡單地禁用它，從而耗盡資金或以任何其他方式進行攻擊。應用之上沒有額外的安全層來防止被攻擊。此外，由於安全策略能夠隨時且即時更改，因此幾乎不可能實時監控應用並告知用戶風險。我們發現它類似於智能合約的可升級性，我們已經在 L2BEAT 上發出了警告。我們告知用戶在其智能合約中具有可升級性機制的 Rollup 和跨鏈橋，以及在每種情況下管理可升級性的確切機制。這已經相當複雜了，加之使用獨立的安全模型更會使得數目成倍增加，幾乎不可能有效跟蹤。這就是為什麼我們認為獨立的安全模型本身就是一種安全風險，並且我們假設默認情況下將使用這種模型的每個應用都應被視為有風險，除非證明並非如此。證明安全漏洞存在我們決定在主網上測試我們的假設。選擇 LayerZero 框架進行實驗是因為它是最流行的以獨立安全為核心的解決方案之一。我們部署了一個安全的 omnichain 代幣，之後更新安全配置，允許惡意提取代幣。代幣的代碼基於 LayerZero 提供的示例，與實際部署的許多其他 omnichain 代幣和應用程序非常相似或相同。但在我們深入細節之前，讓我們簡要了解一下 LayerZero 安全模型是什麼樣的。正如 LayerZero 在白皮書上指出的，其「無需信任的鏈間通信」依賴於兩個獨立的參與者（預言機和中繼器）共同行動以確保協議的安全。 LayerZero 在其網站上表示，其核心概念是「運行 ULN (UltraLightNode) 、可配置鏈上終端的用戶應用」。 LayerZero 的鏈上組件依賴於兩個外部鏈下組件在鏈之間中繼消息——預言機和中繼器。每當任何消息 M 從 A 鏈發送到 B 鏈時，都會發生以下兩個操作：首先，預言機等到在 A 鏈上發送消息 M 的交易完成，然後在 B 鏈上寫入相關信息，例如 A 鏈包含消息 M 的區塊頭的哈希值（不同的鏈 / 預言機之間的確切格式可能有所不同）。然後中繼器向 B 鏈發送一個「證明」（例如 Merkle Proof），證明存儲的區塊頭包含消息 M。 LayerZero 假設中繼器和預言機是獨立、誠實的參與者。但 LayerZero 也在白皮書中表示，如果不滿足該假設，例如中繼器和預言機串通，導致「預言機提供的區塊頭和中繼器提供的交易證明均無效，但仍然匹配」。 LayerZero 聲稱「LayerZero 的設計消除了合謀的可能性」。但事實上，這種說法是不正確的（我們在下面展示的實驗中證明了這一點），因為每個用戶應用程序都可以定義自己的中繼器和預言機。 LayerZero 不通過設計保證這些組件是獨立的並且無法串通，而是由用戶應用提供這些保證。如果應用選擇破壞它們，LayerZero 沒有任何機制可以阻止。此外，默認情況下，所有用戶應用都可以隨時更改中繼器和預言機，從而完全重新定義安全假設。因此，僅檢查一次給定應用的安全性是不夠的，因為它可能在檢查後隨時更改，正如我們將在實驗中展示的那樣。實驗設計在我們的實驗中，我們決定創建一個簡單的 omnichain 代幣 CarpetMoon，同時在以太坊和 Optimism 上運行，並使用 LayerZero 在兩個鏈之間進行通信。我們的代幣最初使用 LayerZero 提供的默認安全模型，使其與大（可能不是全部）當前部署的 LayerZero 應用完全相同。因此，它通常與使用 LayerZero 的任何其他代幣一樣安全。首先，我們在以太坊和 Optimism 上部署我們的代幣合約： https://ethtx.info/mainnet/0xf4d1cdabb6927c363bb30e7e65febad8b9c0f6f76f1984cd74c7f364e3ab7ca9/ https://optimistic.etherscan.io/tx/0xf41389d71fa3942de5225efb067072728c6c6de56c241574187781db7c73d221 然後我們設置了路由，以便 LayerZero 知道兩條鏈上哪個合約對應哪個合約。 https://ethtx.info/mainnet/0x19d78abb03179969d6404a7bd503148b4ac14d711f503752495339c96a7776e9/ https://optimistic.etherscan.io/tx/0x037b1bad33faa5607bb5835460a1d5caaf3a147dc3a09762ac7703befcdb3c3c 代幣已部署完成，它看起來與使用 LayerZero 的所有其他 omnichain 代幣完全一樣，使用默認配置，沒有任何可疑之處。我們向我們的「測試用戶」Alice 提供了 10 億枚以太坊上的 CarpetMoon 代幣。 https://ethtx.info/mainnet/0x7e2faa8426dacae92830efbf356ca2da760833eca28e652ff9261fc03042b313/ 現在 Alice 使用 LayerZero 將這些代幣跨鏈至 Optimism。我們將代幣鎖定在以太坊上的託管合約中：https://ethtx.info/mainnet/0xe4dc3757b86bfda8e7baddc088fb1a599e083ed77034c29e5dd8bd11f1e17771/ 包含著交易的消息正在通過 LayerZero 傳遞給 Optimism： https://layerzeroscan.com/101/address/0xc6005ccc1de4b300d538903b74848bff881d5dc5/message/111/address/0x201fe0d843b546f2e24d4c8444318d1c71b7d10d/nonce/1 跨鏈的代幣正在 Optimism 上鑄造，Alice 現在在 Optimism 上擁有 10 億枚 MoonCarpet 代幣： https://optimistic.etherscan.io/tx/0x5388ced88cf562acafff82d6798f791b0b38b90ee106df9bf91c0d86306ec302 一切都按預期進行，Alice 將代幣跨鏈，並看到以太坊上的託管合約中有 10 億枚 MoonCarpet 代幣，她在 Optimism 的帳戶上有 10 億枚 MoonCarpet 代幣。但為了確保一切正常，她將一半的代幣轉回以太坊。我們從 Optimism 上銷毀 5 億代幣的交易開始： https://optimistic.etherscan.io/tx/0x118a57106488ad0bae1f3b920b1fd98b187752ad966f3a901fc53cff47f2097f 有關該交易的信息被傳遞到以太坊： https://layerzeroscan.com/111/address/0x201fe0d843b546f2e24d4c8444318d1c71b7d10d/message/101/address/0xc6005ccc1de4b300d538903b74848bff881d5dc5/nonce/1 正如預期的那樣，5 億枚 MoonCarpet 代幣從託管合約返回到 Alice 的地址： https://etherscan.io/tx/0x27702e07a65a9c6a7d1917222799ddb13bb3d05159d33bbeff2ca1ed414f6a18 到目前為止，一切正常，也與假設的完全一致。 Alice 已經檢查過她可以將代幣從以太坊跨鏈到 Optimism 並再次跨鏈回來，她沒有理由擔心她的 MoonCarpet 代幣。但是假設本身存在問題——例如，我們的代幣背後的團隊遇到問題，壞人 Bob 獲得了對我們應用的 LayerZero 配置的訪問權限。如此，Bob 可以將預言機和中繼器從默認的組件更改為由他控制的組件。需要注意的是，這是為每個使用 LayerZero 的應用提供的機制，根植於 LayerZero 的架構中，它不是任何類型的後門，而是一種標準機制。所以 Bob 將預言機更改為他控制下的 EOA： https://ethtx.info/mainnet/0x4dc84726da6ca7d750eef3d33710b5f63bf73cbe03746f88dd8375c3f4672f2f/ 中繼器也同樣被更改： https://ethtx.info/mainnet/0xc1d7ba5032af2817e95ee943018393622bf54eb87e6ff414136f5f7c48c6d19a/ 現在奇怪的事情發生了。由於預言機和中繼器現在在 Bob 的完全控制之下，他能夠盜取 Alice 的代幣。即使在 Optimism 上沒有採取任何行動（MoonCarpet 代幣仍在 Alice 的錢包中），Bob 也能夠說服以太坊上的 MoonCarpet 智能合約（使用 LayerZero 機制）他在其他鏈上銷毀了代幣並且他能夠提取在以太坊上的 MoonCarpet 代幣。首先，他使用由他控制的預言機更新以太坊的區塊哈希： https://ethtx.info/0xde2edee2cc7f070120e96c9df90d86696970befcfc221e18c6ac4168bb5b1d92/ 現在他可以從託管合約中提取剩餘的代幣： https://ethtx.info/0xda695f374b375d5372efeca37aae4c5a17f114d5a76db1e86edebb0924bcdcc7/ 實驗結果 Alice 甚至不知道為什麼以及什麼時候發生了錯誤。突然之間，她在 Optimism 上的 MoonCarpet 代幣不再得到以太坊上代幣的支持。智能合約不可升級，並且按預期運行。唯一可疑的活動是預言機和中繼器的變化，但這是 LayerZero 內置的常規機制，因此 Alice 甚至不知道這種變化是否有意為之。即使 Alice 知道了這個變化，也已經太晚了——攻擊者可以在她做出反應之前耗盡資金。 LayerZero 也無能為力——這些都是他們機制的有效執行，他們無法進行控制。理論上，應用本身可以阻止自己更改預言機和中繼器，但據我們所知，已經部署的應用都沒有這樣做。我們做了這個實驗來測試是否有人注意到它，但正如我們所料，沒有人注意到。有效地監控所有使用 LayerZero 構建的應用來檢查它們的安全策略是否發生改變，並在發生這種情況時警告用戶是幾乎不可能的。即使有人能夠及時發現預言機和中繼器已經發生變化並帶來了安全風險，但為時已晚。由於新的預言機和中繼器現在可以自由選擇傳遞的消息或簡單地禁用鏈間通信，用戶通常對此無能為力。我們的實驗清楚地表明，即使 Alice 注意到應用配置的變化，她也不能用她的跨鏈代幣做太多事情——新的預言機和中繼器已不再在原始的通信鏈條上接受消息，所以不會將消息返回以太坊。結論正如我們所看到的，即使我們的代幣是使用 LayerZero 構建並按預期使用其機制，我們還是能夠從代幣的託管中竊取資金。當然，這是應用（在我們的例子中是 CarpetMoon 代幣）的錯誤，而不是 LayerZero 本身的錯誤，但這證明 LayerZero 本身不提供任何安全保證。當 LayerZero 描述他們關於預言機和中繼器的安全模型時，他們假設應用所有者（或擁有私鑰的人）不會做任何不合理的事情。但在對抗性的環境中，這種假設是不正確的。此外，它要求用戶將應用開發者作為可信賴的第三方來信任。因此在實踐中，人們不能對使用 LayerZero 構建的應用的安全性做出任何假設——每個應用都應該被認為是有風險的，直到證明不是這樣。實際上，整個故事是從我們計劃在 L2BEAT 網站上包含所有 omnichain 代幣的 PR 開始的——我們很難弄清楚如何評估它們的風險。在分析風險時，我們提出了實驗的想法。如果在 L2BEAT 上線，後果是我們必須在使用 LayerZero 構建的每個應用之上放置警報，警告可能存在的安全風險。但我們想就安全模型展開更廣泛的討論，因為我們認為獨立的安全是一種應該避免的模式，尤其是在我們的領域。我們相信，隨著 LayerZero 等獨立安全模型越來越流行，將會有越來越多的項目濫用它們，造成大量破壞並增加整個行業的不確定性。原文連結本文經授權轉載自Foresight News
- 跨鏈
- 預言機協議
17:50
法庭文件顯示 FTX 僅 9 個月時間在飯店、娛樂和航班的開銷就高達近 4000 萬美元

外媒 Insider 援引破產法院文件指出，總部位於巴哈馬的 FTX Digital Markets 短短 9 個月內在飯店、娛樂和航班方面花費近 4,000 萬美元。律師指出，FTX Digital Markets 沒有產生任何客戶收入，但卻恣意揮霍。文件顯示，從 2022 年 1 月到 9 月，該公司在豪華飯店和住宿上就花費了 1,540 萬美元。其中最大的一筆開銷是住在一家擁有自己的遊艇碼頭和高爾夫球場的海濱度假飯店 Albany Hotel，金額約 580 萬美元。據報導，該度假村的住宿費用在旺季時可高達每晚 6 萬美元。FTX 創辦人 Sam Bankman-Fried（SBF）在上個月被捕前一直住在 Albany 的一套價值 3,000 萬美元的頂層豪華公寓裡。報導還指出，與 FTX 關係密切的量化交易公司 Alameda Research 還欠由美國鄉村搖滾歌手 Jimmy Buffett 創立的 Margaritaville 海灘度假村約 5.5 萬美元，該度假村員工表示，FTX 員工在數個月的時間裡住了大約 20 間套房。根據數據聚合商 Growjo 的資料，FTX 在申請破產之前擁有大約 1,310 名員工，這意味著每位員工在這 9 個月內平均花費近 12,000 美元在酒店上。另外，FTX 在餐飲和娛樂開銷方面共 690 萬美元，其中有近一半是用於餐飲服務，最大的一筆是花費在巴哈馬君悅飯店的餐飲服務上，金額為 140 萬美元。目前仍有部分不明確的開銷，據報導，SBF 經常為自己和員工在拿騷的一家餐酒館中花費約 2,500 美元的餐費。 FTX 還有 390 萬美元的航班費用和 50 多萬美元的郵資與快遞費，曾有該交易所的前員工向金融時報爆料，FTX 會透過私人飛機從邁阿密空運 Amazon 的包裹，因為 Amazon 沒有送貨到巴哈馬的服務。資料來源
- FTX
15:52
Gala Games 宣佈將與巨石強森合作拍電影，GALA 代幣過去 24 小時漲超 60%

Gala Games 在推特上發文表示，旗下專案 Gala Film（去中心化電影平台）正在與巨石強森（Dwayne Johnson）和（馬克·華伯格）Mark Wahlberg 合作製作兩部電影。根據團隊在社群中發佈的內容中聲稱，這兩部電影將與區塊鏈/Web3 相結合，例如：電影票上或 Netflix 上顯示 QRcode，讓用戶兌換可出售的數位物品。 https://twitter.com/gogalagames/status/1612299581731086337 此外，團隊也在釋出的內容中強調，Gala Film 和另一項專案 Gala Music 都將基於 Gala 區塊鏈，並以 GALA 代幣作為交易所需的燃料費。過去 24 小時，GALA 代幣價格上漲超 60%。
- GALA
15:10
LDO、SWISE 等代幣週漲幅近 80%！流動性質押賽道集體上漲

今天加密貨幣市場許多代幣出現不小漲幅，其中，以太坊流動性質押協議的大幅增長引起市場關注。該板塊龍頭 Lido 的 LDO 代幣一天內上漲近 30%，其它質押協議也出現不同幅度的增長。Nansen 的報告指出，流動性質押協議的增長主因可能與即將在今年 3 月啟動的上海升級有關。以太坊流動性質押協議相關代幣大幅上漲加密貨幣市場從年初開啟了一波上漲趨勢，截稿前比特幣從 1 月 1 日至今上漲了 4.5%，以太幣（ETH）上漲近 10%。其中，以太坊流動性質押平台相關的代幣集體上漲，最大的流動性質押協議 Lido 的 LDO 代幣價格翻倍，從年初近 0.9 美元上漲至 1.95 美元左右。 LDO 代幣價格走勢（資料來源：TradingView）該賽道第二大的 Rocket Pool 的 RPL 代幣從年初至今上漲約 30%，SSV Network 的 SSV 代幣則上漲約 43%，StakeWise 的 SWISE 代幣也出現翻倍漲福，從約 0.071 美元上漲至目前的 0.16 美元左右。區塊鏈分析公司 Nansen 的報告指出，該板塊大幅上漲的主因是由於預計在今年 3 月啟動的以太坊上海升級，本次升級預計將啟用信標鏈上質押以太幣（ETH）的提款功能，使投資者能夠提取目前鎖定在各種質押協議中的資產，同時顯著降低質押 ETH 所涉及的風險。根據 Dune 數據，目前信標鏈上質押的 ETH 數量高達約 1,594 萬顆，網路驗證者數量超過 49.8 萬個。信標鏈 ETH 質押數量變化（資料來源：Dune）儘管有眾多競爭者出現，Lido 仍是流動性質押賽道的領導者。數據顯示，Lido 上的 ETH 質押數量約 464 萬顆，市場份額將近 30%，其次是中心化交易所 Coinbase，其市場份額約 13%。而 Rocket Pool 的市場份額則約 2.16%。 ETH 質押數量變化與各平台占比（資料來源：Dune）此外，根據 DeFiLlama 的數據，Lido 目前的 TVL（總鎖倉價值）達到了近 64 億美元，超越借貸平台 MakerDAO 成為市場上 TVL 最高的 DeFi 協議。延伸閱讀：《上海升級之後，流動性質押競爭格局將會如何變化？》計劃在 2 月為上海升級發布公共測試網在上週舉辦的以太坊核心開發者會議中，開發人員預計上海升級將專注於 ETH 質押提款功能。根據與會的 Galaxy Digital 研究助理 Christine Kim 的說法，為了確保能夠達成 3 月的時程進度，開發人員的目標是在 2 月底前為上海升級發布一個公共測試網。在電話會議上，開發人員同意不考慮添加以太坊虛擬機對象格式（EVM Object Format，EOF），這是一個對區塊鏈的 EVM 編程環境擬議的改進，原因是擔心其可能會延遲上海升級的進展。資料來源
- DeFi
- 以太坊
14:36
FTX 暴雷餘波！SEC 制定新法規，使投資人更容易起訴風險投資公司

據美國政治新聞網站 Politico 的報導，美國證券交易委員會（SEC）正在對風險投資行業制定新法規，使投資人更容易就不良行為、疏忽或魯莽行為起訴風險投資公司、私募股權公司、對沖基金和某些房地產投資公司等任何已經受到SEC監管的私人投資基金。該法規目前已進入最後修改階段，預計最快能在本季度完成。美國風險投資協會政府事務副主席 Justin Field 表示：「這將讓風險投資家面臨所有類型的訴訟風險。」該法規是 FTX 事件發生的後續影響。FTX 在崩潰前有相當多知名的 VC 參與融資，這些機構沒有發現/無視該交易所在財務上的嚴重問題，甚至間接為其塑造了合法合規的形象，而 SEC 目前也已開始對此著手進行調查。路透社引用知情人士的消息報導稱，SEC 正在尋求有關 FTX 投資者盡職調查的詳細資訊。消息人士稱，SEC 現在正在詢問這些 VC 與機構制定了哪些盡職調查政策和程序（如果有），以及他們在選擇投資 FTX 時是否遵守了這些政策和程序。儘管 SEC 的調查並不代表 FTX 投資人存在不當行為，但消息人士稱，美國證券交易委員會的調查可能意味著投資 FTX 的風險投資公司和投資基金未來可能面臨監管審查。
- SEC
13:43
與峰值相比損失近 2,000 億美金，金氏世界紀錄認證馬斯克：有史以來虧最多的人！

根據《金氏世界紀錄》官網發布的新聞稿指出，富比世的估算結果顯示，自 2021 年 11 月以來，馬斯克總資產已經損失了大約 1,820 億美元，這在很大程度上是受到特斯拉股票表現不佳的影響。此外，其他消息來源也表明，馬斯克的實際損失可能接近 2,000 億美元。金氏世界紀錄新聞稿中寫道：「儘管無法確定確切的數字，但可以確定的是，馬斯克在這段時期的總損失遠遠超過軟銀創辦人孫正義在 2000 年創下的 586 億美元，正式打破了歷史上個人財富損失最大的世界紀錄。」
- 馬斯克