Buidler DAO：監管與安全賽道必讀文章

作者： Buidler DAO

深度精選是我們推薦的本週市場熱議主題下必讀文章，取材自 Buidler DAO 認知蝗蟲計劃每日推送；在這裡，Web 3 Native 的資深讀者會從繁雜的信息源中抽取優質文章的核心內容與個人的深度思考。

本期，看項目與監管之間的博弈，尋找灰度地帶的劃線；安全是不變的焦點，關注技術實現路徑，幫助自己建立鏈上操作的底層認知！

文章速覽：

01/ 監管層詳解首例 DAO 制裁：為 Token 持有人辯護 @菠菜菠菜！

02/ LayerZero的多鏈野心：技術簡析與生態項目一覽 @Yue Han

03/ Unicode 視覺欺騙攻擊深度解析 @Chasey

04/ 福布斯曝光Helium內幕：虛假宣傳、造血困難、高管攫財 @菠菜菠菜！

05/ 全面解讀Cosmos2.0：從鏈間安全捕獲ATOM價值 @Yue Han

06/ Web3黑暗森林自救指南，5000字說透錢包和安全 @Aviv

07/ zkpass：去中心化KYC，行業的潛在顛覆者 @memeswap

08/ 區塊鏈交易隱私如何保證？零知識證明 (zk-proof) 技術實戰解析 @Tommy

監管層詳解首例 DAO 制裁：

為 Token 持有人辯護@菠菜菠菜！

9月22日，美國商品期貨交易委員會（CFTC）在週四的新聞稿中發布命令，於美國加州北區地方法院對 bZeroX, LLC（後來 bZeroX 將 bZx 協議「現為 Ooki 協議」的控制權轉移給 bZx DAO「現為 Ooki DAO」) 及其創始人 Tom Bean 和 Kyle Kistner 提起聯邦民事執法訴訟，指控其非法提供槓桿和數字資產中的保證金零售商品交易；從事只有註冊期貨佣金商（FCM）才能進行的活動；未能按照 FCM 的要求採用客戶識別計劃作為銀行保密法合規計劃的一部分。

CFTC 表示，Ooki DAO 參與的這些活動與基於區塊鏈的去中心化軟件協議相關，該協議的功能類似於交易平台。CFTC 還認為 Ooki DAO 利用其結構逃避監管，從未以任何身份在委員會註冊過，並將 Ooki DAO 認定為「由 Ooki Token 持有人組成的非法人協會」，並要求其支付 25 萬美元的民事罰款，和按照指控停止進一步違反《商品交易法》（CEA）和 CFTC 法規的行為。 思考 這是監管層首例對 DAO 這個新型組織的指控以及制裁，委員會將 Ooki DAO 非法人協會定義為了 Ooki Token 的持有者，這些持有者對有關運營業務的治理提案進行了投票，而這項定義則源於 Bean 和 Kistner 就屬於 Ooki Token 持有者。這種做法明顯是不公平的，委員會的做法將產生不利於投票的寒蟬效應，從而阻礙良好治理並在這種情況下難以形成合規文化。而從委員會在這此執法行動中的定義方法即可表明：DAO 社區中的人不應該投票，即使治理投票鼓勵遵守法律。我相信這個案例將會對未來DAO在法律上的定義產生十分重要的影響。

原文鏈接

LayerZero的多鏈野心：

技術簡析與生態項目一覽 @Yue Han

文章首先講述了 LayerZero 的運作機制：LayerZero 通過在鏈上部署一系列的智能合約（Endpoint）實現去中心化信息跨鏈服務。Endpoint 上運行著超輕節點，"超輕"兩個字體現在該節點只提供指定區塊的 Block header。傳輸過程中，通過 Oracle 與 Relayer 保證信息發送的有效性與安全性。Endpoint 是一個部署在鏈上的合約，負責提供消息的發送與接收。

Relayer 和 Oracle 功能職責是一致的，都是發揮預言機的功能，不過傳輸的內容有所不同，兩者相互獨立運行，再由接收鏈的 Endpoint 對 Relayer 和 Oracle 發送來的信息進行驗證與匹配，提高 LayerZero 的安全冗餘性。具體的細節，可以參考《深入淺出：如何理解 Layer Zero 技術原理》一文。

文章的第二部分描述了 LayerZero 的代表生態項目，包括致力於構建完全可組合的原生資產跨鏈橋協議Layer Zero；主打零滑點，MEV 保護的跨鏈 DEX，通過使用 LayerZero 實現跨鏈消息傳遞的Hashflow，以及部署在 Arbitrum 上基於 LayerZero/Stargate 的多鏈借貸項目Radiant等。

對於未來的展望，作者提到：未來的區塊鏈世界會是怎麼樣的？LayerZero 會給區塊鏈有哪些改變，產生什麼樣的影響？不知道，不過可以確定的是，未來區塊鏈的發展一定是朝向互聯互通的方向進行，即便捷用戶又方便開發者。 思考 隨著多鏈生態的發展，資產的跨鏈成為一個剛需，不過目前並沒有一個完美的解決方案。某種程度上，CEX仍然是跨鏈的最佳選擇，跨鏈橋存在非原生包裹和安全性的缺陷。Layer Zero在預言機的幫助下，將部署成本轉向按使用付費的可變成本，有望實現新的突破。

原文鏈接

Unicode 視覺欺騙攻擊深度解析

@Chasey

Unicode 15.0 版增加了新規範 = Unicode 安全機制（UTS#39），意在減少字符視覺欺騙帶來的同形異意攻擊。什麼是同形異意攻擊？就如數字"1"和字母"I""l"或是"rn"和"m"在足夠小時會難以分辨一樣，同形異意攻擊指的是：通過注入難以分辨/不可見/重新排序/刪除的字符串，來混淆用戶的視聽，或是影響模型的性能。在本文中，作者主要研究了字形渲染、混合腳本、PunyCode、雙向文本、組合字符幾方面造成的視覺欺騙。

1. 字形渲染：字形指的是 "a / ɑ", "強／強"，"戶／戶／戸"這種某一語義所對應的圖形符號，樣式不固定。在阿拉伯語等語言中，字形會根據環境中的其他文字而發生改變；此外，還有 U+1F512 這種編碼，其外形和 Chrome/Firefox瀏覽器地址欄中的小鎖圖標類似，容易引起誤導。不當的渲染會帶來安全問題。

2. 混合腳本：比如希臘小寫字母 Omicron 和拉丁文 o 外觀難以分辨，蘋果產品中編碼 latin small letter dum (U+A771) 渲染的字形和 latin small letter d (U+0064) 難以分辨等。利用此特徵可以偽造域名。

3. 雙向文本：阿拉伯語等倒敘輸入的文字與正序輸入的文字混在一起時，可能會導致文本序列的混亂。可以利用倒敘顯示+空白符偽造域名。

4. 組合字符：如 googlè.com 和 google.com.；io.com 和 סוֹ.com 等。瀏覽器如果不做 PunyCode 編碼，則很容易造成誤導。

思考 Unicode 的作用是把計算機語言轉換成人類可讀的字符，視覺欺騙與亂碼/特殊字符造成的系統崩潰一直存在。對於系統的攻擊多為惡作劇，只要刪掉無法識別的內容即可；瞄準了用戶的域名安全問題則屬於惡意釣魚，防不勝防。

原文鏈接

福布斯曝光Helium內幕：

虛假宣傳、造血困難、高管攫財 @菠菜菠菜！

Helium 被吹捧為 Web3 技術的最佳現實用例。但在該項目難以創造收入之際，《福布斯》的一項調查發現，在項目啟動之初，Helium 高管和他們的朋友就悄悄囤積了大部分財富。

市值 12 億美元的 Web3 公司 Helium 得到了 a16z 和 Tiger Global 的融資，該公司表示正在建設"用戶網絡"（People's Network），這是一個為停車計時器和狗項圈等物品提供無線互聯網連接的全球網絡。用戶要做的就是花 500 美元買一台看起來像 Wi-Fi 路由器的機器，把它插到牆上，然後獲得 Helium 的加密貨幣作為回報（一種循環的被動收入流）。一位 Helium 的投資者聲稱，所有者可以在幾周內收回購買的資金。

如果對 Helium 系統的需求上升，推高其 Helium 網絡代幣（HNT）的價值，該公司暗示，網絡的收益將由所有人分享。但經《福布斯》揭露後卻被狠狠"打臉"了。 思考 個人其實是十分看好 Helium 的，作為目前全世界最龐大的物聯網網絡，每月數以萬計的新節點加入不斷擴大規模足以證明其物聯網 + 區塊鏈的模式對行業的顛覆性，對於福布斯的曝光，其實這種項目方內部吃項目早期紅利的案例在 Web3 中數不勝數，算不上新鮮事，設備造假的問題也在最新的遷移至 Solana 的提案中提到會引入位置預言機，目前 Helium 除了正在大力發展新的 5G 業務外，未來 Helium 也將引入更多的網絡如Wifi、VPN等，個人覺得，項目方畫大餅，攫財都不是什么大事情，最難能可貴的還得是"項目方在做事"，萬一畫的餅實現了呢？

原文鏈接

全面解讀Cosmos2.0：

從鏈間安全捕獲ATOM價值 @Yue Han

Cosmos公布了2.0版本的白皮書，一些核心觀點摘錄如下：

1. Cosmos V1 的白皮書側重於通過 IBC 構建出 Cosmos Hub 和通信模型，這一點現在已經實現了。

2. 今天的 ATOM 是 Cosmos 生態系統中的 MEME，它可以做到更多。Cosmos Hub 成為了 Cosmos 生態成功的犧牲品。Interchain Scheduler 和 Interchain Allocator 將成為 Cosmos 生態的重要組成部分。

3. Interchain Scheduler （鏈間調度器）是Cosmos 中的一個跨鏈區塊空間市場，它從跨鏈 MEV 中產生收入。Interchain Allocator （鏈間分配器），旨在簡化整個 Cosmos 網絡的經濟協調，加速 Cosmos 項目的用戶和流動性獲取，同時確保 ATOM 作為網絡儲備貨幣的地位。總結起來就是：Scheduler 將 IBC 的經濟活動貨幣化，收入最終流向 Allocator，Allocator 支持 Cosmos 生態中的新項目，擴大了 Scheduler 的潛在市場容量。

4. Interchain Security 鏈間安全，是備受期待的升級之一。如果新推出的應用程序由市值低於該鏈上的 TVL 的通證質押者來保護，則會有被攻擊的風險。Interchain Security 允許這些應用鏈從 Cosmos Hub 租用安全性，只需要付出一定比例的交易費用，這些應用鏈將能夠得到 Cosmos Hub 的驗證者提供的安全保障。

5. 目前 ATOM 代幣經濟學被人詬病的地方在於高且不穩定的通脹率和缺少價值捕獲方式。白皮書 2.0 通過 Interchain Security，取代了用於激勵驗證者和質押者的代幣通脹，反而是用由此產生的安全費用來獎勵驗證者和質押者。用戶可以通過質押憑證，獲得流動性，從而參與更多的鏈上活動，比如參與更多 DeFi 活動。

6. Cosmos 生態或許不再是一個"鬆散的聯盟"狀態，而是走向了一個經濟共同體。

思考 作為偶聯萬物的跨鏈生態，ATOM和 DOT 兩大巨頭中，我認為 ATOM 在技術和生態方面都比 DOT 暫時領先。新的白皮書中，新增擴展層和功能層板塊，Allocator 將新的 Cosmos 鏈資本化並激勵它們進行交易，而 Scheduler 則為高價值 IBC 交易創造市場並使用收入來支持網絡增長。2.0版本白皮書中還提到了新的代幣模型，生態中可能有新的空頭機會，也是值得關注的。

原文鏈接

Web3黑暗森林自救指南

5000字說透錢包和安全 @Aviv

一、我們要掌握一個原則，計算機世界裡，幾乎沒有安全的地方，甚至你的每一步操作都有洩露隱私的風險。

二、焦慮和傲慢這兩種情緒是我們在區塊鏈世界最大的敵人。

三、安全使用web3錢包

1. 冷錢包、熱錢包、交易所冷錢包最為安全。

   對於大多數人來說，只要做好密碼保護和雙重驗證，交易所實際上會比熱錢包更安全。

2. USDT的潛在風險

3. 錢包的各類交互操作

   一般認為簽名不涉及授權，不會有操作風險，但是遇到非明文寫下的簽名，還是有安全隱患的。除簽名外，最常用的一個功能是授權。黑客們最喜歡用的一招就是讓你在焦慮、興奮、沮喪等情緒下，將你騙到一個假冒網站，讓你無意中將授權交給他。

4. NFT

5. 網站前端安全

6. 剪貼板安全

7. 關於使用錢包的一些安全建議

   a）不要複製，也不要使用網絡傳輸私鑰、助記詞。萬不得已時，蘋果用戶可使用隔空投送，其他用戶可使用telegram（相對安全）

   b）大額資產使用獨立的錢包

   c）新項目開始前，如果感到危險，可新建立一個錢包去參與

   d）對不明來源的空投保持警惕，騙子常常在nft上刻下釣魚網站的網址，將你誘騙到危險的地方

   e）對每一次錢包的操作都保持警惕

四、設備安全

行走web3，保持設備與保證錢包安全同樣重要。

五、社會工程學攻擊

1. 密碼

2. 郵件釣魚

3. 不要輕信任何客服

4. 個人信息

思考 在 web3 中，資產的安全尤為重要，近期不斷發生的黑客攻擊事件給我們敲響了警鐘。在與區塊鏈打交道的時候，安全問題離我們每一個人都很近。雖然黑客的攻擊防不勝防，但是我們自己提高警惕，不要洩漏個人隱私和資產，就有辦法保護好錢包和資產。

原文鏈接

zkpass：去中心化KYC

行業的潛在顛覆者 @memeswap

zkPass作為一個基於MPC（多方計算）和ZKP（零知識證明）的去中心化的KYC解決方案，允許用戶通過他們在 Web2 的身份發行方發放的憑證向第三方（其他項方/驗證方）匿名證明他們的身份。在將Web2身份憑證轉換為匿名憑證的整個過程中，不需要集中式伺服器（傳統的KYC平台）或可信硬件（TEE等）。zkPass協議是傳統KYC服務提供商的完美替代品，可以為企業和用戶提供更高水平的KYC解決方案，完全是去中心化的方式。 思考 zkPass的設計思路非常巧妙，一方面通過 MPC 用於防止欺詐（用戶偽造數據），另一方面又 ZKP 用於保護用戶隱私。

在過往的 KYC 驗證中，用戶是先將身份數據傳送至 KYC 代理平台，再由 KYC 代理平台向發證方驗證（發證方是權威機構，比如銀行），這在 KYC 的過程中，用戶的數據會在 KYC 代理平台處進行儲存，而用戶隱私是否會洩露，就全然看 KYC 平台的自身操守和相關的數據安全措施。在實際的使用中，以 Galxe Passport 為例，疑似發現代理平台通過算法虛假 KYC 的情況（有用戶簡單把自己的頭像 ps 在別人的 ID 上進行認證也能通過）。

於是引出目前 KYC 的兩點潛在問題：

1、用戶隱私

2、虛假KYC

而 zkPass 通過 MPC 的技術，讓用戶 KYC 數據繞開了 KYC代理平台直接與發證機構通訊認證，並在過程中防止用戶虛構回傳數據進行欺詐，並經由ZK技術幫助用戶在身份脫敏的情況下也能驗證相關資質。

在沒有傳統身份發布者的任何程序化支持的情況下，zkPass 可以最大限度地減少對身份發布者可用性的依賴，並使匿名憑證仍然與身份授權的使用兼容。

zkPass無論是在 Web3 的去中心化語境中還是在 web2 的用戶隱私語境中，都是非常優秀的選擇，我覺得並不應該僅僅把它視為單純的 web3 項目，它是有很大的潛力被 Web2 組織所採用的。zkPass會是既有的 KYC 行業的有力挑戰者。

原文鏈接

區塊鏈交易隱私如何保證？

零知識證明 (zk-proof) 技術實戰解析 @Tommy

如何在同態加密及零知識證明框架集成。通過代碼結和應用場景描述了 zksnark 如何集成到現有聯盟鏈體系保護金融領域交易隱私。

零知識證明是指一方（證明者）向另一方（驗證者）證明一個陳述是正確的，而無需透露除該陳述正確以外的任何信息，適用於解決任何NP問題。而區塊鏈恰好可以抽象成多方驗證交易是否有效（NP問題）的平臺，因此，兩者是天然相適應的。

將零知識證明應用到區塊鏈中需要考慮的技術挑戰分為兩大類：

• 一類是適用於隱私保護的區塊鏈架構設計方案，包括隱秘交易所花資產存在性證明、匿名資產雙花問題、匿名資產花費與轉移、隱秘交易不可區分等技術挑戰；

• 另一類是零知識證明技術本身帶來的挑戰，包括參數初始化階段、算法性能以及安全問題等技術挑戰。

思考 交易隱私保護這塊的技術應該是比較多的，零知識證明技術並不一定是一個最好的選擇，在安全領域中還有很多諸如同態，秘密分享，不經意傳輸，或者基於TEE硬件的一些隱私保護能力，可以去做一些隱私保護。

在區塊鏈上的數據會公開給所有用戶；但如何保障用戶在交易時防止過多透露信息，隱藏交易的 pattern 以及用戶交易企圖，zk-proof還在早期的探索階段，後續期待在數據的公開性和用戶隱私之間在技術的不斷發展下有更好的平衡

原文鏈接