上一讲我和大家分析了区块链行业里“智能合约”这个领域。这一节课我和大家继续分享“区块链行业成熟的领域”中的第三个细分类:“隐私货币”。一.什么是匿名币?数字货币领域里的“隐私币”也被称为“匿名币”。关于隐私币,目前还没有一个公认的定义。一般说来所谓的隐私货币主要是指一种数字货币它能对交易双方的交易信息进行隐匿。这些交易信息包括发送方地址,收款方地址,交易金额等。数字货币的鼻祖比特币横空出世,它以创造性的方法解决了货币发行和交易中的中介问题,但是对于匿名性而言,它的解决方法不完善。在比特币交易中,每个交易者它们所有的交易信息比如收款方地址,发送方地址,交易金额全部是在区块链浏览器上公开可查的。而唯一不可查的就是这些交易地址到底属于真实社会中的谁?但一旦某个地址的所有者其真实身份泄露,那么他在网上的所有交易历史就全部大白于天下了。所以这种匿名性在业内有个专业术语“伪匿名”,它的意思是:不是真正的匿名而是部分匿名。二.为什么说“匿名币”是刚需?隐私性一直都是人类相当一部分人的需求。因为无论是非,人类社会中总有一部分活动是交易双方绝对不希望外界知道的。事实上早在比特币发展初期,比特币应用的最大场景其实是暗网,是灰色地带用来交换物品和服务使用的媒介。就算没有比特币,现实生活中都存在大量应用场景是匿名交易,典型的就是现金交易。现金交易的双方不会留下交易信息,不会留下可查的证据。因此带有隐私特性的数字货币必然是虚拟世界生态中的一个刚需,历史上是,现在是,未来还会是。但是隐私币的刚需到底有多大,我无法作出精确的估计。这就好比我们很难精确估计现实生活中有多少交易是通过实名转账,有多少交易是现金交易一样。我们唯一可以确定的是这一定是一个刚需领域。三.“匿名币”领域中的主流币目前支持隐私技术,声称自己是隐私货币的数字货币非常多,并且新项目层出不穷。这个领域与其它领域的竞争相比,有个特点是其中的后发者都特别强调自己所使用的技术相当先进,自己使用的技术能做到比现有隐私货币取得更好的隐私性和匿名性。但事实上是这样吗?后来者真的还有机会吗?我认为决定这个赛道最终胜出者的因素主要有以下两点:是否出现了颠覆性的隐私技术,并且这个技术是彻底重构的一个新算法。2)生态的运营,也就是实际使用的人数有多少。先看第一点,是否出现了颠覆性的隐私技术,并且这个技术是彻底重构一个新算法。这个颠覆性的算法必须是与现有的架构关联不大,并且在隐私性能上超过现有的技术。只有构建在这种技术上的后来者才有可能超过现有的寡头。如果出现的新算法与现有的架构关联很大,即便也能取得优于现有的隐私性能,那么这种技术一定会很快被现有的巨头迅速采用,则后来者的优势便荡然无存。只有当这种技术是个全新的架构,让现有巨头无法基于它们现有的基础上进行改进,才能使后来者有机会弯道超车。再看第二点,生态的运营。这需要时间积累。现有的巨头在这方面有着先天的优势,后来者即便有机会进入市场,但是否能吸用户大规模使用,则很值得怀疑。这是很难弯道超车的。有一点值得注意的是,“隐私货币”和之前文章中聊过的“货币型”加密货币有一个相同的地方,那就是它们的应用场景主要是支付和转账。在这个应用场景中先入场者会占据先机,即便它的隐私性并不优秀,但会被市场默认为普通的数字货币使用,因此也会确立自己的地位。此外这个领域还有个特殊的地方在于,由于它的隐私特性,交易信息是很难查询的,所以实际上到底有多少人在使用隐私货币我们很难进行评估。我认为唯一可以用来评估的就是市值,用的人越多,市值一般而言会越大。因此,根据上述两个因素和市值这个标准,后来者必须要有颠覆性技术才可能有一定机会弯道超车,但即便如此,想在用户使用上超过现有的巨头,机会也不大,所以我认为这个赛道目前头部的币只有三个:门罗,达世和大零币。还有一些币比如Verge,Komodo和Grin有一定潜力,但成为头部的可能性不大。四.主流币和竞争者的风险我一个个和大家分析下这几个币自身都面临哪些问题。1)门罗币门罗币是非常注重隐私的货币,可以说它是现在行业中最私密的货币之一。它使用的技术叫“环签名”的技术,这个技术会把交易复制到多个用户,让他们看起来都是交易者。这样的话,追踪这笔交易的来源就会变得极其困难。门罗币的隐私性相当好,因此它最大的优势是广泛被暗网所采用,当然也因此,门罗是不少国家政府的眼中钉,日本政府就明令禁止交易所交易门罗币。门罗还有个问题与黑客相关。它经常是黑客希望获取的隐私币。经常有新闻媒体报道黑客在电子系统中植入病软件并利用病控制系统挖矿门罗币。这样的新闻使门罗背上了很大的道德负担,名声受到了极大的负面影响。但这也从另一个方面说明它的隐私性突出。2)达世币达世币以前叫做Darkcoin和Xcoin。它的问世较早,在2014年一诞生就吸引了许多数字货币爱好者,并且是最早出名的几个匿名货币之一。它的市值几乎总在各个时期的排名中名列前20,所以它一直比较受欢迎,在爱好者心目中地位也一直比较牢固。它使用一种叫做“货币混合”(coinmixing)的技术来隐藏货币的来源。但是从技术的角度看,达世币的主要缺陷在于它对“主节点”(masternodes)的依赖。这些主节点是达世币网路的关键点,它们会成为黑客恶意攻击的目标。3)大零币大零币使用了被称为是“零知识证明”的zk-SNARK技术。当用户交易时,发送的货币会进入一个虚拟黑洞,然后系统生成新的交易。这就让追踪者无法查到原始的交易信息。从技术上讲,大零币使用的zk-SNARK技术所需的运算资源十分高,因此使用的时候需要大量资源,这给用户带来了诸多不便。这三个币所面临的风险在我看来不算特别致命,与技术有关的风险应该都能够找到折衷的解决方案,与营销,政府政策相关的风险短期看很难改善,长期看也不会致命。因此这三个寡头的地位是比较牢固的。4)Verge,Komodo和Grin等我这里所罗列的币只有三个,其实现在上市交易的隐私货币远远多于我所罗列的,并且我罗列的这些币也并不代表它们就是除了寡头之外特别有潜力的币,而只是说这几个币是社区比较热门,爱好者也比较喜欢的币。这几个币共同的特征就在于它们在本质上都没有表现出特别优于现有寡头,或者直截了当地说,它们在性能上都没有表现出特别优于门罗和大零币的地方。即便像Grin这样的新星一问世便受到社区热捧,给了社区新的希望,但实际效果如何也还有待市场的检验。支持隐私功能的数字货币出现的时间不算长也不算短。比如达世币和门罗币都经历了两轮牛市,在市场的反复打磨中存活了下来,生命力还是很强的。参考比特币,莱特币那一代同期出现而后慢慢消失的诸多数字货币,我认为现有的一大批支持隐私功能的数字货币中绝大部分也会像曾经“数字货币”中的那些明星一样逐渐被市场淘汰,由排名十几名,几十名渐渐变成排名几百名,一千名之后。当然这并不表明现有的其它隐私币或后起之秀短期内不会暴涨,不能盈利,这只是表明长线看最终只会有头部的币种能活下来。隐私货币领域内长线看好的有门罗,达世和大零币。它们的投资价值按优先级排列如下:门罗币>达世币>大零币
慢雾:过去一周加密领域因安全事件累计损失3060万美元:7月24日消息,据慢雾统计,上周加密领域因遭遇攻击累计损失3060万美元,攻击者利用了不同的攻击向量。这些事件包括Alphapo热钱包被盗(损失2300万美元)、Conic Finance遭闪电贷攻击(损失30万美元)以及重入攻击(损失320万美元)、GMETA发生RugPull(损失360万美元)、BNO遭闪电贷攻击(损失50万美元)等。[2023/7/24 15:55:56]
慢雾:Transit Swap事件中转移到Tornado Cash的资金超过600万美元:金色财经报道,慢雾 MistTrack 对 Transit Swap 事件资金转移进行跟进分析,以下将分析结论同步社区:
Hacker#1 攻击黑客(盗取最大资金黑客),获利金额:约 2410 万美元
1: 0x75F2...FFD46
2: 0xfa71...90fb
已归还超 1890 万美元的被盗资金;12,500 BNB 存款到 Tornado Cash;约 1400 万 MOONEY 代币和 67,709 DAI 代币转入 ShibaSwap: BONE Token 合约地址。
Hacker#2 套利机器人-1,获利金额:1,166,882.07 BUSD
0xcfb0...7ac7(BSC)
保留在获利地址中,未进一步转移。
Hacker#3 攻击模仿者-1,获利金额:356,690.71 USDT
0x87be...3c4c(BSC)
Hacker#4 套利机器人-2,获利金额:246,757.31 USDT
0x0000...4922(BSC)
已全部追回。
Hacker#5 套利机器人-3,获利金额:584,801.17 USDC
0xcc3d...ae7d(BSC)
USDC 全部转移至新地址 0x8960...8525,后无进一步转移。
Hacker#6 攻击模仿者-2,获利金额:2,348,967.9 USDT
0x6e60...c5ea(BSC)
Hacker#7 套利机器人-4,获利金额:5,974.52 UNI、1,667.36 MANA
0x6C6B...364e(ETH)
通过 Uniswap 兑换为 30.17 ETH,其中 0.71 支付给 Flashbots,剩余 ETH 未进一步转移。[2022/10/6 18:41:10]
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
慢雾:DOD合约中的BUSD代币被非预期取出,主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报,2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下:
1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币,即转入的 DOD 代币数量越多获得的 BUSD 也越多。
2. 但由于 DOD 代币价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。
3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。
4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD 代币转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD 代币。
5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。
本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]
声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。