安全

很显然，币安就采用了第二种地址归集方案。站在交易所的业务逻辑下，无论选哪种方案，都存在大量的业务资金损耗，各家的管理资产策略可能会不同。

BGPHijacking，也称为 BGP 路由劫持，这是一种前端攻击手段。在 BGPHijacking 攻击中，攻击者通过发送虚假的 BGP 路由更新信息，使其他路由器将流量引向错误的方向，从而实现流量的窃听、篡改或中断。简单地说，网站能够发送垃圾邮件批准交易，从而允许恶意合约转移用户的所有资金。

在 DeFi 的所有陷阱中，最让人刺痛的往往是 Rug Pulls。这些内部漏洞也被称为退出骗局，发生在项目内部人员利用用户信任窃取他们的资产时。它们通常通过潜入智能合约的恶意代码发生，允许开发人员耗尽这些合约或用户钱包。

可能不太为人所知的是，黑客如何利用 LinkedIn 等招聘平台进行社交工程（注：社交工程指一种非纯计算机技术类的入侵。它多依赖于人类之间的互动和交流，且通常涉及并使用到欺骗其他人来破坏正常的安全过程，以达到攻击者的目的，其中可能包括获取到攻击者想要得到的特定信息）和网络钓鱼攻击。

CFTC 将这些执法行动归为一类，尽管每项执法行动都有不同的事实。CFTC 指控 Deridex 和 Opyn 运营未注册的商品期货交易所，因为它们通过永续期货 ( 在 Deridex 上 ) 和 oSQTH( 在 Opyn 上 ) 提供掉期交易，oSQTH 是一种追踪 ETH 平方 (Squeeth) 相对于 USDC 价格的代币。CFTC 还指控 Deridex 和 Opyn 未能实施反洗钱控制措施。

Banana Gun 是一款基于 Telegram 的 Trading Bot ( 交易机器人），官方介绍能够为用户及时狙击即将推出的代币，或安全地购买已经上线的代币。

去中心化交易所 DEX 是一种基于区块链的数字资产交易平台，它不将用户资金和个人数据存储在服务器上，不依赖于第三方中介机构，而是直接通过智能合约和点对点网络，实现数字资产的交易和转移。在 DEX 上，用户可以直接使用自己的钱包进行交易，不需要将资金的控制权交给任何中介或托管人。这样，就可以避免中心化交易所的一些风险，如黑客攻击、平台跑路、资产冻结等。同时，DEX 也可以保护用户的隐私，因为它们不需要实施 KYC 和 AML 等监管要求。

需要注意的是，这些「秘密」不仅限于加密 /Web3 场景；今天任何互联网用户都应该采纳这些或根据他们的需求量身定制的安全实践。尽管我们推荐尽可能采用最严格的安全措施，但实际情况是，对大多数人来说，购买硬件钱包、WebAuthn 密钥和配备 TEE 的设备并不是易事（至少目前还不是）。更何况，失去敏感信息有时甚至比泄露它们更危险，因为有些信息一旦丢失就无法恢复。

在本期播客中，Chainalysis 邀请到了美国康涅狄格州的一线警探 Matthew Hogan，谈论了加密货币诈骗的演变过程、执法部门在调查这些案件时面临的挑战，以及该州最近关于加密货币 ATM 机（Crypto Kiosks）的数字资产立法等相关内容。

加密 KOL「猪猪 Bang」表示，Connext 空投合约是安全的，自己最开始的分析误导了读者。他表示，虽然 Connext 空投合约规定了空投发送者和领取者可以是不同的地址，但却需要原始地址进行签名授权才能调用。

从 97 年亚洲金融风暴到 07 年次贷危机，华尔街评级机构都扮演了举足轻重的角色，甚至成为了这些恶性事件的重要推手。而在 Web3 这个表面讲究「去信任化」实际依靠「社会共识」的圈子里，「风险评级」是始终绕不开的重要一环。无论是合约代码审计还是链上异动分析，它们的价值丝毫不逊于零知识证明与共识算法，甚至有过之无不及。

首要的挑战是资产安全。由于 DAO 结构的复杂性，漏洞可能从技术方面和内在设计方面产生。除了安全性，资产管理的可扩展性也至关重要。与各种生态系统应用程序的无缝集成决定了资产管理范 paradigms 可以执行的程度，直接影响到实现 DAO 组织功能的程度。