March 24, 2022 / Kyle Sun / 0 Comments
最近实在太不太平了,骗术无数,每天都能听到有人中招,每周还会出现一起几百E的大盗窃案。花了点时间研究,感谢 wcy 帮我解答,又长了很多见识,给大家分享下。
这里罗列了常见的那些交互,以最最常用的metamask为例,我们可以做个练习:
假如你听说一个项目很火在mint,点开mint网站,以下哪些交互是安全的? 假如一个项目给mfer所有者一个白名单,他要验证下你钱包里是否真的有mfer,那以下哪些交互是安全的? 先说答案:图 1、2、3 在大多数场景下都安全。场景1里 mint 的时候就是图 8,所以图 8 也安全。其他的都或多或少存在可能的风险。
一一道来:
图 1 是完全安全的,是一个只读操作,dApp 在这里只能拿到你的地址。
图 2、3、5、6 是一系列的,操作都是给一段 message 加签名,加签名的作用是像 dApp 证明你是你。2、3、5、6 也依次是这类签名的进化(具体见 EIP-712)。这里只用注意一个点,如果消息比较简短,那大概率无害;消息如果比较长,则需要三思 一下。
举个例子,Opensea 现在在做 listing 的时候,就用了图 6 的形式。如果在 Opensea 上看到,那么是 ok 的。然而,如果一个奇怪的网站,让你签名的时候有这么一长串,那么他可能实际是让你签一个 Opensea 的 list 操作,把你的 NFT 以极低的价格卖掉。
图 4 是无比危险 的,metamask 已经标明了大红色(但无力吐槽这个 UI )。显示的message 是 hash 后的结果,所以你无法知道签名的内容是什么。最坏的情况,他的内容是转走你所有的资产,这样你的钱包会完全空掉。
图 4、5、6 还在说明一个事实:就算你的交互看起来没有花 gas,但结果一样能把你的资产转走。所以,大家不要以是否花 gas 作为是否可能危险的依据。
图 7、8、9 要花 gas 了,那说明至少一点,它一定会往链上提交操作,可能危险 !所有这些操作,我们需要看清楚左上角的行为。MINT 行为也许是最安全的一样,在 mint 的时候,你顶多损失 mint 本身的价格+gas。图 7 里的 SAFE TRANSFER FROM(不要被 SAFE 这个词骗了)会把你的 NFT 直接转走!图 9 里的 SET APPROVAL FOR ALL 给了对方转走你所有 NFT/token 的权限!也就是说,图 7 无论如何都不能点,图 9 只有在交易所才可能。
其他在这些弹窗里还可以关注的点是:网站是不是对的;to 对应的 contract 是不是个验证过的contract;网络(ETH, Polygon, etc)是不是对的,等等。
如果对这些弹窗不那么熟的话,metamask 自己做了一个测试页面 ,大家可以去把玩一下(拿测试号)。
除了 metamask 交互本身的安全以外,其他的安全建议有:
私钥和助记词无论如何不能给出,也不要用剪切板 copy paste,更不能拍照截屏,或者存在网盘里。记住私钥或者助记词就是你的钱包全部; 冷热钱包分离,所有要去交易的都用热钱包,冷钱包只做转入转出操作,如果要卖一个冷钱包里的NFT,宁可花一点gas把他先转出来到热钱包里; 去 mint 时,或者试一些 dApp 时,最好用一个小号钱包; 最好搞个虚拟机,里面配好干净的系统(比如 selinux),再做snapshot。每次进入都用这个干净的系统做交易,以防止系统被木马攻击。 最后,祝大家 web3 冲浪开心,并且保护好自己和自己的钱包。
December 27, 2021 / Kyle Sun / 0 Comments
记周末发生的一件有趣的事情。
项目方 OpenDAO,利用 OpenSea (最大的NFT平台)链上的数据,在圣诞夜前夕,给所有参与 OpenSea 的用户空投 $SOS 币。结果是,$SOS 被大中小KOL们吹捧,热度很高,一夜之间币价暴涨10倍。
数据情况:
总共给 80w 用户发放了 50 Trillion 的$SOS; 截至 12/27 早晨,已经有 26w 用户 claim 了(OpenSea的月活不过 29w),总 claim 的币数 70%; $SOS 币价最高达到 $10 / Million币(现已回落到 $6),市值一度超过 $300M。 这是一个很好的 Growth Hack 案例:
OpenSea 一直没有发 token,大家期待已久。然而前一段时间招了 CFO,要 IPO,引起圈里人士不满。所以作为 OpenSea 社区的第一个 token,自带一定的热度; 圣诞节的氛围,收到大礼时的惊喜会带来传播效应; 空投的分配以 OpenSea 的交易数据为基础,买卖 NFT 越多的人收到的空投越多,这批人本身都是天然的布道者; 热度会提升币价,从而让这份大礼的价值变高,会让更多的人参与进来并自发的传播,形成一个正向循环; 其他几个小点:年底交易所更需要冲业绩,所以也更愿意上一些非常有热度的 token,从而对 $SOS 的热度又有帮助; $SOS 的名字起的也好,Save OpenSea,又有好的 emoji 🆘。 这件事情更进一步的在说明,在 web3 里,有 token 的对于没 token 的是一种降维打击。尤其是大量的用户数据在链上的时候,产品的护城河就变小了。产品的壁垒要么在 off-chain(当然这个不够 web3),要么得建立起更大的社区力量,别忘了 web3 的核心是人。而 token 就是一种拉通人心和建立社区的手段。
$SOS 未来怎么发展,就看项目方打算怎么搞了。看起来一开始像是一个投机圈钱的小项目(据说是个国人项目),smart contract 还给自己埋了点后门(不知道有意无意),也不像当年 SushiSwap 直接一来一整套。但现在热度那么高,也许是可以好好搞的。无论如何,这都是一个 web3 里 Growth Hack 的经典案例了。
December 19, 2021 / Kyle Sun / 0 Comments
这篇咱们来梳理一下 Web3 的现状,顺便解释一些名词,争取给大家一个全局的 picture。
数据
先摆一些数据,摘自 Benedict Evans 的年终总结 。
此外,美国的 crypto 交易所 Coinbase 有 73MM的注册用户,其中不到 10 MM 在一个月里有交易;最大的链游 Axie Infinity 有 200 万的日活,最大的钱包 Metamask 也就是千万级的 MAU。总体来看,Web3 还是非常小众(废话!)。
Web3 的 Lego Blocks
我看到网上有人宣传说 Composable 也是 Web3 的好处,然而所有技术上的东西难道不都是一个个乐高块一样的么,Open source 都多少年了。Anyways,我画了个图,把 Web3 里的那些组成部分和他们的关系呈现出来。
我们从最底层往上一个一个说起。
(more…)
December 19, 2021 / Kyle Sun / 0 Comments
网上一提到 Web3,就会有三个声音:(1) 这是 bs 是 FOMO 是 scam 是庞氏骗局;(2) What is web3? nbcs;(3) Web3 是妥妥的未来,WAGMI!
在现在如此 polarized 并且注重 attention 的互联网世界里,无论是第一类 skepticism 还是第三类 pro-web3,对一个新事物都不算是坏事,无人关注才是最可怕的。在目前热度如此之高的情况下,不管是支持还是反对,只要大家能够理性的讨论,对整个生态的发展都是好的。
先说我自己:在过去两周的努(wā)力(tù)学(zi)习(dòng)下,我已经成为了 web3 的支持者。
现在主流的 skepticism 一般会提出下面三个问题:
1. 这里都是 scam,不过是币圈的人换个方式来割韭菜,Web3 是 crypto 的新的圈钱套路而已。
任何一个风口,尤其这个币圈一日人间一年可以轻易 100x 的地方,自然少不了投机者。这里有投机、有泡沫、有 scam 是一定的。而 token based economy,因为 token 的可交易属性和其整体经济性,也会更加的吸引来投机者。这就引出了两个不同的问题:a) 有很多就是奔着圈钱目的的人来进场割韭菜;b) 就算是一个靠谱的项目也可能被投机者盯上从而影响其经济性。
这两个问题的确存在,但这两个问题并不是 web3 独有的,而是几乎所有新技术的 trend 产生时会发生的自然现象。还记得Gartner Hype Cycle 曲线吧?我们也可以想一下当年 dot-com bubble。我不知道 Web3 是否会有一次 dot-com bubble 的时刻,但我们应该从第一性原理出发,去剖析 web3 的本质,并且看看这个生态有没有真正的 builder(答案是有的而且很多)。这是第一层。
Web3 项目本身好坏各异,幂率分布(二八原则)导致坏项目远比好项目多,早期投机者又会让这个分布更加放大。之前 VC 投一个 startup 的成功率有多低,现在 web3 的成功率还会更低。所以我们看到坏项目的概率要大的多。群众们更要擦亮眼睛,投资要谨慎,但不要因噎废食。这是第二层。
第三层,再换一个角度,web3 圈钱方式的层出不穷,从某个意义上也在说明这个生态的逐渐成熟和基础技术的逐渐完善:如果没有 Ethereum 的 ERC20 和 DeFi 的 DEX 相关技术,投机者能够通过 ICO 赚钱么?如果没有 ERC721、IPFS/Arweave 和 OpenSea,还能有现在的 NFT 狂欢?
(more…)
December 19, 2021 / Kyle Sun / 0 Comments
ContitutionDAO 虽然没能成功 bid 到 constitution,但对我来说无疑是一个成功的 growth 项目,因为它成功的在我身上形成了转化。于是我从洞外走进了洞里,才发现这里的世界居然如此的精彩,Web3 真的是个 rabbit hole,看不完的新东西,在这里分享一些。可能是个系列文,也可能不是 😛
什么是 Web 3.0?
Web3 是基于区块链的去中心化的互联网技术的合集,有新的技术、新的范式、新的组织形式以及对应的价值观世界观。一个简单的说法是:Web 1.0 is read-only, Web 2.0 is read-write, Web 3.0 is read-write-own。它的创新点在于如下三个特性:Self-Sovereign Identity,Public Record of Ownership,Interoperability。
Self-Sovereign Identity:每个用户都用自己的 wallet 作为网上的通行证(Identity),wallet 是一串私钥,而用户的数据和数字资产都跟着这个 Identity。 Public Record of Ownership:这个由区块链来保证,任意平台都可以通过区块链来验证用户的数字财产。 Interoperability:因为每个用户的数据跟着自己而非平台所有,而他的数字资产又是 public 且可以被验证的,那他可以把自己的数字资产带到任何一个地方。 这些特性决定了 web3.0 和 web2.0的巨大不同:web 2.0 还是一个个的 data silo,各个平台之间是数据隔离的,我在平台里的资产无法被我带出平台,比如我在王者荣耀里买了一个限量的皮肤,就只能在游戏里被展示,顶多我截个图发个朋友圈,但无法带到游戏外的世界来,也无法进行交易。这个和现实世界是不同的,在现实世界里,我买了个爱马仕,我可以选择在何时何地背上,或是赠送和交易。Web3 则是解决了上述的问题,因为我的资产是跟着我的(ownership),并且其他人也能看得到(public),就可以进行解释和交易(interoperability)。从这个角度看,Web3 更加的“以人为本”,去掉了中间商也就是Web2 里的平台方。
(more…)
