加密极客研讨与Web3过冬指南分享
作者:YBB Capital Researcher Ac-Core
字数: 本文超 7000 阅读时长: 18 minute
前言
七月五日,细雨绵绵的天气里藏匿着不温不火的加密行情,随着雨过天晴,YBB ChainXplore :Geek Symposium 01活动圆满落幕。此次研讨会我们非常荣幸邀约到众多重量级嘉宾——致力于解决当下行业刚需问题的资深技术专家和创始人,与我们进行了一次面对面的交流。
活动现场,嘉宾们就如何确保资金安全,防止黑客攻击;开发者从哪可获得云化的API服务;如何寻找满足自身需求获得高效且可靠的RPC服务;以及基于MPC、ZKP和TEE的可扩展跨链互操作协议是什么等系列问题进行了分享。下面,让我们来一同感受来自不同研究方向的极客们究竟碰撞出了哪些火花。
看待加密寒冬的不同视角
2022年是一个沉寂许久的熊市,2023年伴随着疫情的结束,我们本以为市场环境能有所好转,但美元加息不止,且最近SEC对待加密交易呈现出了更严厉的监管态度,本是充满期望的一年,又变得没有了确定性。作为行业老人,我们都在行业内历练了几个牛熊,那么大家对于行业未来的发展是怎么看待的呢?以及我们每个人站在自己的领域,该如何扛过这个“寒冬”呢?活动之初主持人YBB Capital联创John,请与会嘉宾,分享下自己是如何过冬的。以下是嘉宾们的核心观点。
YBB Capital联创Hugh: 在从20年底开始到22年结束的上一轮牛市周期内,我们可以看到市场资金和技术发展两者是呈正相关性的,资本的介入带动了新叙事的发展,比如上轮灰度等大资金的入场带来了牛市更向上的增长空间,后来随着宏观政策的收紧,市场被抽离了部分流动性,往期每轮牛熊的变化像齿轮一样是有一定的周期性在里面的。关于Crypto更多的还是需要关注技术的发展和突破,从而带动大资金的入场。从上次的黑山EDCON现场会议来看,大家更多地是关注ZK技术的突破和AI与区块链间的相互结合,关于AI的话题大家整体都是投降派,觉得AI会统治世界,保持悲观的态度,但整体感觉下来还是非常有趣的,各种不同的思想相互碰撞。总的来说我们也在寻找新一轮的叙事,从而带动新一轮牛市的发展。
Kernel Ventures投资经理Joshua: 今年四月香港发布了合规政策之后,因为考虑到流动性这个因素,更多需要向合规性靠拢,流动性也是交易所品类管理层面非常看好的因素,总的来说项目本身的流动性和热度还是比较重要的。从VC一级投资的角度来说,虽然我们现在的出手频率不高,但是也在寻找能合作的项目,包括为项目方提供产品建议、产品层面资产的流动性以及关键资源对接,能为项目提供一些价值支持,也是目前我们能为行业做的一些力所能及的事。
Chainbase Data工程师Liquid:对于个人来讲,该如何扛过这个熊市呢,我的建议是不要上杠杆,项目方在融资时,首先要思考如何穿越牛熊,并为熊市做好准备。要提高在成本控制和获客方面的运营能力,尽量保证项目能在熊市里坚持足够长的时间。关于大的市场行情,回顾前几个牛熊周期,不难发现都是由主流币带动的,但目前比特币和以太坊的体量已经不小了,下一轮牛市肯定要具备几个合规方面的因素,比如贝莱德的ETH申请和美元的加息预期明确有一个转折时间点,之后资金才会转向币圈。
Rooch Network联创Haichao Zhu:目前一级市场还是处于冷静期,可以感受到的是当前市场偏向于浮躁,也出现了一个怪象。一个项目可能并没有它突出的创新点,但只要加上ZK、Layer2、EVM、GameFi等属性,以及至少10W以上的用户体量,就很容易获得VC的青睐。但我们会坚持为行业做好基础设施建设,以我们擅长的方式去为行业做出贡献。
YBB Capital联创Hugh:我们现在也可以感受到目前市场存在着一个两极分化的情况,好的项目VC挤破头也很难投进去,接地气但技术壁垒较弱的项目估值再低VC也不敢投。目前大部分投资都是被市场情绪带着走的,但目前从A16z等大机构的投资结果表现来看,大多数项目是破发的。但我们还是需要比较乐观地来看待现在的市场,持续抱着激情去寻找新的技术突破点。
Chainbase开发关系主管Zhengxue Dai:我的视角可能和大家有点不同,我认为寒冬还没到来,现在面临着全球性的衰退和国内人口结构性的减少,所以现在很多人减少了对于一级市场的投资,因为市场缺乏消费动力,一级市场的钱也不够了。另外也可以看到目前开发人数还是在不断增加的,开玩笑讲可能等哪天我自己想离开这个行业,可能行业的寒冬才算是真正地快过去了。我们会关注整个链上开发者的数量和合约部署的数量,从现有数量来看和去年相比是大大减少了,现在大多数公链都想囤一批开发者。尽管目前Layer2有非常大的TVL,但绝大多数都是薅羊毛用户,并未对生态做出贡献,所以我想抛砖引玉地问一下大家,你们觉得目前的开发者都在哪里。
BlockSec联创YaJin Zhou:Web3的开发者在哪?我们也一直在思考这个问题,因为我们的服务对象主要是项目方。这其实是一个鸡和蛋的问题,开发者做出的项目本质上还是给用户用的,有用户才有需求,有需求才有项目,有项目才有开发者。在目前没有特别好的Web3应用场景落地之前,大量用户涌入Web3是不现实的。所以问题又回到了怎么让更多的用户进来,需要思考Web3到底解决了用户的哪些需求,如今在熊市的背景下怎样的应用才能把用户给带进来。对于这个问题我自己还是比较乐观的,借助现在的行情把一些不好的项目给淘汰出局,比如在中心化交易所不断暴雷的情况下,更多资金流入了去中心化交易所,这个过程让我们都处于一个积累的发展阶段,经历过沉淀后才能有更好的产品出来。
图源:live shooting
黑暗丛林与光明骑士
据慢雾 Hacked.slowmist 的最新统计数据,从 2012 年 1 月 截止 2023 年 7 月 14 日,区块链领域因黑客攻击而导致的损失总金额已超过 300 亿美元,总黑客攻击事件为 1108 次!
无论我们以何种身份身处Web3,我们都难以逃离黑暗丛林法则的约束。相比于Web2,去中心化的Web3网络从一定程度来讲是丧失了部分安全性的,与以太坊Layer2提供可扩展性的逻辑相似,Web3也需要光明骑士来扩展网络的安全性。
数据来源:慢雾官网
用户和项目方的安全卫士
当前行业有个最大的痛点 — 安全性,在当前资产被盗的众多类型中,用户钱包、项目方、跨链桥是最容易受到黑客攻击的三种类型,为减少被攻击事件的发生,YBB Capital邀约到合约安全审计项目——BlockSec 和去中心化签名跨链桥方案——Bool Network 在活动现场与嘉宾们共同分享他们在安全领域的解决方案。
图源:BlockSec官方
BlockSec是一家区块链安全服务团队,作为面向区块链开发者的安全解决方案,BlockSec能够提供从合约部署前(e.g. 代码审计)到合约部署后(e.g. 监控阻断)的项目全生命周期安全服务。BlockSec 的安全监控和攻击阻断技术已获得社区的广泛认可,并与诸多主流项目方达成了合作,包括不久前与 Compound 合作为 Compound V3 合约开发攻击监控系统。BlockSec 一直致力于为社区提供安全基础设施,先后推出了一系列安全产品和工具,包括为项目方所研发的区块链开发测试及监控阻断套件Phalcon、Web3 用户的安全工具箱 MetaDock和跨链资金流追踪平台 MetaSleuth 。
除代码审计外的提升安全性补充
面向项目方的开发测试及监控阻断套件:Phalcon (Phalcon.xyz)
Phalcon是一款由BlockSec开发的面向Crypto项目方的安全开发、测试及监控阻断套件。BlockSec 认为仅靠代码审计无法解决 Web3 安全问题,一方面,高质量的审计服务是稀缺的,满足不了如此多项目方的需求,另一方面,随着攻击方式的不断演进,项目上线后可能会面临新的风险。于是,在经过一系列实战演练和产品化探索后,Phalcon诞生了,旨在为Web3带来全新的安全范式。
Phalcon包含三大核心模块:
1)Phalcon Explorer:是一款强大的区块链交易浏览器,提供交易解析、模拟执行、Debug等功能;
2)Phalcon Fork:是一款可在私有环境下部署与主网状态一致的安全测试平台,内嵌安全工具套件,帮助项目方进行安全初筛,同时支持团队协作和项目公测;
3)Phalcon Block:是一款主动威胁防御系统,提供监控、告警、阻断(暂停或抢跑)黑客攻击的独家能力,据悉,BlockSec已成功拦截攻击并挽回资金超过1400万美元,是业界在主动防御领域唯一有成功实战案例的安全公司。
图源:Phalcon官网
Web3用户的安全工具箱 MetaDock(blocksec.com/metadock)
MetaDock是一款完全免费、开源、无广的浏览器插件,为Etherscan等区块链浏览器提供扩展功能,通过创新的产品设计,无缝集成了10多种实用产品的功能快捷方式,成为每一位安全研究人员、数据分析师和Crypto用户的高效率工具。该产品可帮助用户通过内嵌的GPT功能快速了解交易内涵,一键查看地址资金流向,了解NFT收藏品的风险,为合约地址提供更清晰的标签和评分等。目前已获得谷歌浏览器和火狐浏览器的五星级好评和精选推荐。
图源:MetaDock官网
跨链资金流追踪平台:MetaSleuth(metasleuth.io)
MetaSleuth是一款跨链加密资产的可视化分析平台,输入需查询的钱包地址即可以可视化的方式查询到与该地址相关的链上资产转移动态,也是目前“链上侦探”们使用非常频繁的一个工具,可全方位监测链上资金走向,目前已集成十条链。
图源:MetaSleuth官方
全新方案应对黑客攻击的另一重灾区 — 跨链
Bool Network是一个基于多方计算(MPC)、零知识证明(ZKP)和可信执行环境(TEE)的无需许可、完全无需信任且高度可扩展的去中心化签名网络。该网络可以服务于全链互操作协议。它提出了一种去中心化的签名方案,以方便跨异构网络的任意消息传输和数字资产转移。
技术架构
图源:Bool Network官方
跨链中最核心的部分是中继人,但是目前安全且去中心化的中继人是没有实现,所以当下网络中黑客攻击事件大多以跨链桥攻击为主。因为大多数跨链中继人是以中心化模式控制的,究其根本是源于私钥的不正确管理和泄露。比如我们熟知的传统解决方案多签或 MPC,可惜它们仍是由部分中心化实体控制,不能从根本上解决安全问题。而Bool Network采用了维护去中心化签名网络的方案,保证私钥管理不受任何第三方控制,从而解决此类问题。
为此Bool Network诞生了“动态隐藏委员会”的重要概念,每个委员会实际上管理着特定区块链上的私钥,以完成任何形式的跨链交易和信息传递。并提出其独创的环可验证随机函数 (Ring VRF) 选举算法,来保证委员会成员身份的隐私性。值得注意的是,所有委员会的程序均运行在TEE中,以保证相关组件的保密性和完整性。
图源:Bool Network官方
-
MPC:允许数据持有者们在互不信任的情况下实现数据的协同计算及结果输出。与多签不同的是,MPC( 多方计算 )有更高的隐私性、更强的安全性、更好的灵活性和广泛适用性。
-
ZKP:它提供了一种独特安全的验证方法,基于环可验证随机函数(Ring VRF)将 VRF 的真实公钥隐藏于一个环结构中,使其证明者可以通过非交互式ZKP技术在不泄露私密信息的前提下向验证者展示某一个公钥对应私钥的所有权。
-
TEE:是移动设备 CPU 中一块保障计算私密性和安全性的区域。在Bool Network网络中是作为一个隔离环境的存在,TEE 不仅可以存储敏感数据,还提供了可验证性。,验证者可以验证运行在TEE中的核心代码和业务逻辑一定是没有被修改的,以保障安全性。
图源:Bool Network官方
在“委员会”的初始化阶段,我们假设从 1 万个 TEE 节点中随机选择 21 个节点。首先由“委员会”控制的私钥通过 DKG 算法被分成 21 份,然后将私钥碎片通过可信硬件加密存储,这样即使是恶意节点,也无力获取到真实的私钥碎片,从根源扼杀了作恶念头。在这个过程中, Ring VRF 协议被用来隐藏这些委员会成员的真实身份,防止内部串通的同时也增加了外部攻击的成本。因为外部黑客需要从总共一万个节点中找出 21 个被选中的隐藏委员会成员。
图源:Bool Network官方
最后,通过安全多方计算技术,基于私钥碎片实现对数据签名需求,安全多方计算有明显特性,即使部分节点异常离线,也能完成签名。此外,Bool还定义了一个固定的时间段,称为 “纪元”。对于一组被选中的节点,它们只能在一个纪元内相互控制一个委员会。在一个纪元之后,它们对一个委员会的管理将被移交给新的节点组。而这个过程仍是通过 Ring VRF 算法来促进,以提高委员会管理的私钥的安全性。
Bool Network 是私钥管理的安全底层基础设施
Bool Network 是行业的基础设施,是为维护跨链通信安全而提出的一种服务,例如管理建立在 Bool Network 之上的 DeFi 桥接应用中终端的私钥。此外,Bool Network 是可扩展的,以提供链外委员会的共识,例如以更分散的模式运作的预言机服务。
图源:Bool Network官方
总结一下,Bool Network 与其他跨链协议不同的地方在于,它通过 Ring VRF 来实现动态隐私委员会管理私钥,具有完全的可组合性,以实现异构区块链之间的任意信息传递。值得一提的是 Bool Network 的学术研究已被 IEEE Transactions on Information Forensics and Security (TIFS) 期刊接受。团队计划将在未来支持更多的区块链网络。
现在产品已经适用于Bitcoin、EVM、Solana、Sui、Filecoin等网络。团队还计划为钱包和资产管理平台提供安全解决方案。在 2023 年第四季度,预计将有超过 1000个节点在 Bool Network 中运行,支持的节点越多,网络的安全性和分散性就越强。
加速提升开发者效率的RPC服务
从技术上讲,区块链的节点是台高性能的计算机或是服务器,它是连接到对方的去中心化网络中的计算机,负责存储和更新区块链数据。通俗点说,区块链协议就像以太坊的EVM、Bitcoin的比特币协议,当你用电脑运行EVM时,你就是一个节点,但节点又分多种。
RPC( Remote Procedure Calls )是指远程过程调用 (RPC) 的一种协议。RPC服务即在服务器上运行区块链节点客户端,通过DNS域名解析提供http或者websocket接口。
图源:BlockPI 官网
技术架构:
BlockPI Network是一个区块链基础设施类项目,其技术架构主要由五部分组成,分别为BlockPI Hub、HyperNode、Gateway、FisherMan、Validator。五者关系相辅相成,共同构成了BlockPI Network的完整网络。
1)BlockPI Hub
BlockPI Hub是一个集用户管理系统、节点评级、认证器系统以及账户系统的多套功能于一体的集合。除此之外用户注册信息、账户信息和KYC信息都保存在这里。不仅如此它也一直在测试网络中的节点,这些是BlockPI负载均衡器的一个参考数据来源。整个网络的收入和支出,以及向系统中的角色发放奖励都是在Hub中完成,在整个系统中占比较重。
2)Gateway
Gateway负责收集和分类用户的请求,并由BlockPI负载平衡器将其路由到适当的HyperNode之中。在Gateway中的负载均衡器会实时评估后端HyperNode节点的健康状态,分配工作量,以使得整个网络处于一个最佳服务状态。
3)HyperNode
HyperNode是处理RPC请求的终端节点,并通过Gateway向用户发送响应。HyperNode通常与目标区块链的完整节点(RPC请求目标)一起运行。官方在测试网阶段开放了第三方运营商加入HyperNode并运行节点,对去中心化架构进行了验证。现已支持了二十四个区块链网络。
4)Validator
Validator是独立存在的区块链节点,充当“警察”一角,以此来监测整个网络。通过可验证随机算法,Validator从HyperNode和Gateway验证工作量数据并把结果写入区块。通过共识协议该数据也会被其它的Validator验证和记录,起到互相记录和验证的作用。
5)FisherMan
FisherMan是另一个负责网络安全的角色,与Validtor同样是位特殊的角色。它伪装成Gateway和User发送RPC请求到HyperNodes和Gateways并且对比结果,上报有问题的对比结果。
图源:BlockPI 官方
寒冬与展望
区块链行业自诞生以来一直以它独特的魅力不断吸引着每一位新成员的加入,至今我们无论以怎样的身份参与其中,最终都会以抱有信仰的状态在不断地砥砺前行。虽然行业目前仍处于早期发展阶段,有很多不完善的技术空缺,但我们坚信如果互联网未来再次改变世界,那区块链技术必将一马当先崭露头角。
无论目前我们身处的是寒冬还是盛夏,行业的发展离不开每一位开发者的建设和创新,YBB Capital始终坚持以技术发展为核心的价值投资逻辑,不断为优秀项目提供融资帮助。我们相信区块链的发展还需凭借自身技术的不断突破来创造更大且更完善的市场环境,最后也非常荣幸能与各位优秀的开发者和建设者们共同为区块链事业 “添砖加瓦” ,依靠技术创新解决市场需求难题。无论我们是开发者还是投资者,都是走在时代前沿的开拓者。最后由衷感谢到场的各位嘉宾。
图源:YBB Capital