Mikko Ohtamaa

Mikko Ohtamaa

17,959个推特粉丝

关注

Follow us at @tradingprotocol

动态

私募信贷过度赎回的解释。如果私募信贷发行人的账面价值过高，且按面值赎回，那么先以过高价格出售，之后再以修正后的价格回购，就显得合情合理。起初，这些基金的投资者们感到恐慌，因为他们意识到近三分之一的贷款都流向了软件公司，而这些公司可能会受到人工智能的冲击。现在，他们又因为包括基金经理在内的所有人似乎都感到恐慌而感到不安。基金通常允许每个季度赎回最多5%的股份。投资者通过按账面价值将股份卖回给基金来套现。但这些账面价值看起来过高。大型基金的赎回请求已经超过了5%，迫使基金经理要么强制执行赎回限额（这是他们的权利，也可能是他们最好的选择），要么竭力安抚这些投资者，允许更多股份出售。这种恶性循环将持续下去，直到基金经理能够说服投资者，他们持有的贷款确实值他们所说的价值。一些基金经理会因为投资者已经下定决心而举步维艰；而另一些基金经理则会因为估值确实存在问题而举步维艰。你应该对私人信贷有多担忧？ economist.com/leaders/2026/04/...… 摘自《经济学人》

这就是为什么你需要搭配 uBlock Origin 或类似的拦截器来运行 @firefox 的原因。 github.com/gorhill/ublock （Chrome 浏览器不支援此功能，因为其所有者 Google 也透过出售用户资料牟利。）

LinkedIn 向以色列和摩萨德低头。他们会专门搜索你浏览器插件上下文中的“反犹太复国主义”线索，加密数据并将其发送给一家以色列公司。 LinkedIn 的扫描会揭示特定用户的宗教信仰、政治观点、残疾情况和求职活动。LinkedIn 会扫描识别穆斯林用户的插件、揭示政治倾向的插件、为神经多样性用户开发的插件，以及 509 种求职工具，这些工具会暴露哪些用户正在该平台上秘密寻找工作，而他们的现任雇主可以看到他们的个人资料。 browsergate.eu

如何避免被篡改的 npm 包。今天，npm 上最流行的包之一 Axios 遭到了攻击。Axios 是一个 HTTP 请求客户端。如果您是从 npm 包仓库安装的 Axios，那么您现在就麻烦了。您的组织也会受到影响。但这种情况是可以避免的。使用 pnpm，它是 npm 的一个可直接替代的包。它有一个 minimumReleaseAge 设置，可以避免使用新发布的版本。被篡改的版本很可能在一周内被发现。 pnpm.io/supply-chain-security…

固态材料再次成为热门。

伦敦工程师 Matt Cortland开发了一款人工智慧语音助手，在圣派翠克节周末期间拨打了3000多家酒吧的电话，询问一品脱吉尼斯黑啤酒的价格。爱尔兰政府先前一直追踪吉尼斯黑啤酒的价格，直到2011年。科特兰推出了他的「吉尼斯黑啤酒价格指数」（Guinndex），耗资200欧元，显示全国吉尼斯黑啤酒的价格为5.95欧元。他使用ElevenLabs公司开发了「瑞秋」（Rachel）这款人工智慧语音助手，「语音识别至关重要」（其口音为北爱尔兰口音，灵感来自电视剧）。

究竟有多少稳定币提供者能够真正抵御私钥外泄？如果大家应该从 Resolv 事件中学到什么，那就是你必须做好私钥外泄的心理准备。 🧵

🚨这不是开玩笑：欧盟议会中的保守派（欧洲人民党）竟然想在本周四再次就#ChatControl 1.0 进行投票——尽管议会已经投了反对票！😡 务必确保你的国会议员立场坚定。立即联系他们！ 👉 fightchatcontrol.eu/#contact-t... 停止 Gmail、微软、LinkedInETC的自愿扫描！🚨 tuta.com/blog/voluntary-scanni...…

Resolv 骇客事件及其未吸取的教训这次的损失完全是 Resolv 本身造成的，而且本来可以避免。 Resolv 5000 万美元 + 3000 万美元的增发是“未经授权的”，这意味著其私钥被泄露，就像朝鲜式的黑客攻击。这种「泡菜溢价」本来可以轻松避免。这不是市场失灵、价格下跌或抵押品贬值造成的。这完全是无能造成的，是典型的搬石头砸自己的脚。自 2013 年比特币引入多重签名以来，13 年来我们一直知道如何避免私钥被未经授权使用： - 首先不要使用私钥，而是使用多重签名钱包 - 使用额外签名保护的硬体安全模组 (HSM) 但 Resolv 为什么要这么做呢？这其实并不复杂。导致未经授权的原因「SERVICE_ROLE 是 Resolv USR 协议合约中的一个特权角色（两阶段请求/完成铸币/兑换流程的一部分）。Resolv 没有提供任何详细的官方文件来解释其用途、安全模型、分配流程或风险。无论是公开的精简版文件、用户文件 (|_2024111120230_HubADS4411111202304111120230)」。（Grok 引述）经过 18 次审计为什么 Resolv 在多次审计后仍然没有发现这个问题？因为除了像 @sherlockdefi 这样的少数例外，审计人员并不关心专案是否被骇客攻击。他们对已部署的系统不承担任何责任。他们没有切身利益。他们只关心现金报酬，以及「代码看起来没问题」。即便如此，所有这些审计人员仍然未能指出这个显而易见的问题。我们有一个可以无限量铸造我们稳定币的服务角色，但没有任何文件记录。拜托！ “系统里有这么个无所不能的私钥”，但只要你付给我们一点费用，你的软体就没问题，我们不在乎之后会发生什么。只要别持有不当就行，好吗？ Coinbase 投资，Steakhouse 赞誉布莱恩的认可也无济于事。就在六天前，Steakhouse 在他们的《Steakhouse Financial Insights》中写道： “在运营方面，Resolv 通过第三方托管、多预言机冗余和程序化安全措施展现了机构级的严谨性。Resolv 迄今为止运行良好，并且在不利条件下展现了自我纠正能力。” kitchen.steakhouse.financial/p... 这种说法太笼统了，简直可以当成 ISO 9001 品质审核报告，因为它根本没提到实际的系统、流程及其特性。 “我和他们一起吃了顿午饭，喝了一杯法国红酒后，我就确信这套系统没问题了。” 第三方托管？这难道意味著他们用了 Fireblocks 来保护私钥吗？一个由前摩萨德特工编写的私钥钱包仍然是一个私钥钱包，而且风险更大，因为密钥很可能直接被你的闭源软体即服务提供商窃取，你根本无法知道他们的软体内部究竟有多糟糕。如何避免未来重蹈覆辙？其实并不难。尤其是在拥有 1000 万美元种子资金，并且最高投资额达到 5 亿美元的情况下，完全可以做得更好。 1. 降低私钥权限 2. 使用利害关系人审计员 3. 保持透明并遵循去中心化金融 (DeFi) 的发展方向身为 DeFi 用户，您如何避免这些事件？这是一个棘手的问题。问题在于底层智慧合约是用 Solidity 编写的，这是一种拼凑而成的自研语言。 Solidity 智能合约的安全特性很难评估。虽然有更好的语言，但我们似乎只能继续使用传统的 Solidity。尽管 Solidity 的缺陷众所周知，但很少人真正努力改善它的安全性，例如忽略事件本身，或花钱请人从语言层面找出这些漏洞。人工智慧将大有帮助。由于我们无法追究安全审计员的责任（他们的信誉似乎与骇客攻击无关），因此未来的出路似乎是取消安全审计员。在不久的将来，任何人都可以将人工智慧代理指向一个复杂的已部署智慧合约系统，它会给出「赞成」或「反对」的报告。关于这一点，我已经在这里做了一个小型试点项目 github.com/tradingstrategy-ai/...…，Claude Code 成功地从我们合作伙伴的系统中，在一个已部署的智能合约上找到了一个不应该存在的特权私钥。附注：对于硬体安全模组 (HSM)：您没有任何其他商业化的不透明方案来保护您的关键私钥。如果您正在建立需要链下高度可信任私钥的安全关键型智慧合约系统，您可以使用 Google Cloud。这是我们为 Google Cloud 提供的免费开源以太坊签名模组：web3-ethereum-defi.tradingstra...… - 只需记住相应地设定组织策略即可。感谢 @zacodil 和 @omeragoldberg 的研究。

Loading..