littleflyingpiggy中心化交易所之欧易、币安之法币交易、币币交易篇
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询在完成创建账户、应用下载、KYC认证之后,今天我们就可以学习跟中心化交易所相关的最重要内容:如何获取加密资产? 如果还没有创建交易所账户的小伙伴,可以移步创建交易所账户的教程 学习,学习完毕之后再来学习本教程 在这个环节中,我们会重点学习欧易和币安交易所的法币交易(包括法币入金、法币出金)和币币交易的操作 法币交易 法币就是法定货币,即国家发行的货币,比如人民币,美元等;法币交易就是通过法定货币来购买或出售数字货币资产,对于新手来说,如果我们想要拥有数字货币,必须要先用法币来进行购买,目前大部分交易所都不支持人民币直接存到交易所里去购买数字货币资产,所以就需要用户和用户点对点进行交易,通过向持币的卖家打款,平台做中间担保人的方式来完成相应的交易,类似于淘宝官方作为买方和卖方的中间方的过程,有个“确认收货”才放款的机制,这里就是卖方点确认收到法币,官方才会放币给买方。 因为这种购买行为是发生在用户之间,而不是跟交易所进行的,所以这种交易又被叫做C2C交易或者场外交易。法币交易...
littleflyingpiggyTaker/Maker/挂单/吃单,傻傻分不清楚?一篇文章搞懂币币交易的手续费
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询当我们在交易所进行币币交易的时候,会需要支付一定的交易手续费,有的小伙伴对于手续费的问题会感到很迷惑,今天我们就来一起学习一下关于币币交易手续费的各种问题。 交易手续费用什么币种来支付? 交易手续费是以我们想要获得的那个币种来支付的 举例:用户在BTC/USDT币对交易中,使用USDT买入得到BTC,则扣除BTC作为手续费,卖出BTC得到USDT,则扣除USDT作为手续费。 交易手续费的影响因素有哪些? 交易手续费跟用户的身份等级和进行的操作有关 用户可以在自己的交易所主页查看自己的用户等级,然后可以去交易所的费率标准页面查看不同等级对应的费率。通常来说:等级越高的手续费越优惠,等级一般跟持仓和交易量有关系。 下图为okex的LV1级别的用户手续费,可以看到:挂单(Maker)成交手续费是0.08%,吃单(Taker)成交手续费是0.1%挂单(Maker)和吃单(Taker)有什么区别? 在交易的时候会有两种身份挂单(Maker)和吃单(Taker) **挂单(Maker)...
littleflyingpiggy去中心化钱包的概念、分类、结合metamask钱包使用理解去中心化钱包的概念
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦加密货币钱包在web3的世界里,不仅可以充当我们链上资产存储工具,更重要的是可以记录个人链上活动的情况,相当于个人链上身份的证明,所以加密货币钱包在我们探索web3的世界里扮演着一个非常重要的角色,我们几乎所有的链上活动都跟钱包有着千丝万缕的联系,所以在web3的世界里,学会使用加密货币钱包是一个必不可少的技能。 今天我们就简单介绍一下加密货币钱包的相关概念,并会以Metamask钱包为例给大家详细解释一下钱包使用的基本操作。 概念解释 一加密钱包的概念 简单来说,钱包就是一个查看和操作数字货币资产的操作程序;说的再复杂点,钱包就是管理私钥,公钥(地址)的工具,至于什么是私钥,什么是公钥,我们后面再详细介绍。 我们可以用银行来跟钱包做一个类比,从管理资产的角度来说,钱包和银行的功能是类似的,都可以帮我们管理资产,对资产进行操作;但是钱包和银行最本质的区别在于,资产的真正控制权不同,钱包的真正控制权在掌握钱包私钥/助记词的用户手里,用户不发出操作指令,钱包服务商是没办法对资...
always be curious
littleflyingpiggy中心化交易所之欧易、币安之法币交易、币币交易篇
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询在完成创建账户、应用下载、KYC认证之后,今天我们就可以学习跟中心化交易所相关的最重要内容:如何获取加密资产? 如果还没有创建交易所账户的小伙伴,可以移步创建交易所账户的教程 学习,学习完毕之后再来学习本教程 在这个环节中,我们会重点学习欧易和币安交易所的法币交易(包括法币入金、法币出金)和币币交易的操作 法币交易 法币就是法定货币,即国家发行的货币,比如人民币,美元等;法币交易就是通过法定货币来购买或出售数字货币资产,对于新手来说,如果我们想要拥有数字货币,必须要先用法币来进行购买,目前大部分交易所都不支持人民币直接存到交易所里去购买数字货币资产,所以就需要用户和用户点对点进行交易,通过向持币的卖家打款,平台做中间担保人的方式来完成相应的交易,类似于淘宝官方作为买方和卖方的中间方的过程,有个“确认收货”才放款的机制,这里就是卖方点确认收到法币,官方才会放币给买方。 因为这种购买行为是发生在用户之间,而不是跟交易所进行的,所以这种交易又被叫做C2C交易或者场外交易。法币交易...
littleflyingpiggyTaker/Maker/挂单/吃单,傻傻分不清楚?一篇文章搞懂币币交易的手续费
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询当我们在交易所进行币币交易的时候,会需要支付一定的交易手续费,有的小伙伴对于手续费的问题会感到很迷惑,今天我们就来一起学习一下关于币币交易手续费的各种问题。 交易手续费用什么币种来支付? 交易手续费是以我们想要获得的那个币种来支付的 举例:用户在BTC/USDT币对交易中,使用USDT买入得到BTC,则扣除BTC作为手续费,卖出BTC得到USDT,则扣除USDT作为手续费。 交易手续费的影响因素有哪些? 交易手续费跟用户的身份等级和进行的操作有关 用户可以在自己的交易所主页查看自己的用户等级,然后可以去交易所的费率标准页面查看不同等级对应的费率。通常来说:等级越高的手续费越优惠,等级一般跟持仓和交易量有关系。 下图为okex的LV1级别的用户手续费,可以看到:挂单(Maker)成交手续费是0.08%,吃单(Taker)成交手续费是0.1%挂单(Maker)和吃单(Taker)有什么区别? 在交易的时候会有两种身份挂单(Maker)和吃单(Taker) **挂单(Maker)...
littleflyingpiggy去中心化钱包的概念、分类、结合metamask钱包使用理解去中心化钱包的概念
如果觉得我的内容对你有帮助,欢迎关注我的推特账号 如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦加密货币钱包在web3的世界里,不仅可以充当我们链上资产存储工具,更重要的是可以记录个人链上活动的情况,相当于个人链上身份的证明,所以加密货币钱包在我们探索web3的世界里扮演着一个非常重要的角色,我们几乎所有的链上活动都跟钱包有着千丝万缕的联系,所以在web3的世界里,学会使用加密货币钱包是一个必不可少的技能。 今天我们就简单介绍一下加密货币钱包的相关概念,并会以Metamask钱包为例给大家详细解释一下钱包使用的基本操作。 概念解释 一加密钱包的概念 简单来说,钱包就是一个查看和操作数字货币资产的操作程序;说的再复杂点,钱包就是管理私钥,公钥(地址)的工具,至于什么是私钥,什么是公钥,我们后面再详细介绍。 我们可以用银行来跟钱包做一个类比,从管理资产的角度来说,钱包和银行的功能是类似的,都可以帮我们管理资产,对资产进行操作;但是钱包和银行最本质的区别在于,资产的真正控制权不同,钱包的真正控制权在掌握钱包私钥/助记词的用户手里,用户不发出操作指令,钱包服务商是没办法对资...
always be curious
Subscribe to littleflyingpiggy
Subscribe to littleflyingpiggy
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯
如果需要更具体、系统、有针对性的教程指导,如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦
昨天(2022.10.2)tp钱包旗下dex应用Transit Swap被盗的反转事件应该算的上近期web3世界里的重大安全事故了,在为追回资金的用户感到开心的同时,我们也应该一起反思一下,作为用户,该从中吸取何种教训?
缘何被盗?
所有的被盗都逃不脱两个原因:应用代码有漏洞,用户操作有瑕疵,亦或者二者兼有,而此次Transit Swap被盗正是二者问题的集合。简单来说,用户通过dex进行swap操作,需要先把调用token的权限授权给dex的管理合约,管理合约获得授权之后可以按照用户的要求进行兑换;在正常情况下,管理合约只能由用户主动发起后调用,但此次事件中,由于代码漏洞,导致管理合约可以被任意外部调用,所有授权给管理合约的用户资金都有风险,而用户给管理合约无限制的授权,又扩大了用户的损失。
来自慢雾安全团队@SlowMist_Team的原理分析:
举个栗子:假设钱包里有500个A币,打算用其中100个兑换成B币,需要先把调用100个A币的权限授予要使用的兑换合约,如果兑换合约出问题,损失的就是这100个A币;但是如果用户怕麻烦,直接给兑换合约无限调用A币的权限,那么合约一旦出问题,钱包里所有的A币都会遭殃。
如果应用没bug,自然不会有问题;如果用户很谨慎,权限用多少给多少,那么哪怕应用出问题,损失也有限。正因为被盗存在应用和用户双方的问题,所以我们需要从这两方面有针对性的吸取教训。
首先是应用层面
这次的问题为什么没有被发现?因为应用不开源,看不到代码,自然无法发现其中的漏洞。之前我已经说过了开源是web3的灵魂,让后人可以在前人肩膀上搭积木。代码不开源,有违区块链公开透明的精神,项目方在其中暗藏私货也无法被察觉。出品了热门的中文solidity教程的@0xAA_Science大佬提到过:合约不开源,等同于对黑客开源,对用户闭源,所以他建议用户尽量不要跟不开源项目交互,他在github上整理了一个未开源项目清单,供大家参考
另外@billtheinvestor 大佬整理了一个常用钱包代码开源及开发情况总结的线程,大家可以比较一下作为选择钱包服务商的参考
其次就是用户层面
(1)最大的教训当然是要提高个人资产安全意识。
网络上各种被盗事件下经常有人评论,为啥不用硬件钱包?说的好像硬件钱包是保险柜,资金放进去就万无一失了一样。其实我很想吐槽的是,安全意识不到位用啥工具也白瞎:啥来源的网页也敢打开,啥渠道的软件也敢下载,啥英文也不认识,看着set approval for all也敢确认,真正验证了那句话:无知者无畏。
所以对于大多数web3新人来说,比起买硬件钱包,先学习一些资产安全的内容来武装一下头脑,无疑是更有性价比的选择。顺便臭不要脸的自荐一下,我的 #人话讲透web3 系列中会有专门的资产安全的板块,会从安全意识、安全操作技巧、钱包管理和使用安全等方面进行详细的介绍,欢迎关注我@flying_piggy1哦~
(2)要意识到授权存在极大风险。
授权是什么?授权就意味着你许可别人调用你的某些资产,正经的项目方当然不会随便未经你同意而调用,但也要防备此次出现bug的情况;授权给诈骗网站,不用说,基本就等于跟资产永别了。所以不论是NFT还是token,大家在看到set approval for all的提示时,一定要反复确认,对于NFT要看授权对象是否与当下操作一致,如果你在mint时弹出了一个set approval for all,肯定有问题;对于token,不要给与应用无限度的授权,用多少给多少。
经常用授权检查工具检查地址,有不使用或者可疑的授权立马取消掉,如果发现误授权,立马转移资产更换新钱包
这是@BTW0205大佬整理的慢雾推荐的取消授权的工具,大家可以收藏备用
(3)学会使用一定的安全工具很有必要。
这里给大家提供两个工具,合理使用基本可以应付大多数场景了。
VirusTotal,这是一个免费的全球最大的在线病毒分析平台之一,无需下载,即开即用,不仅可以检测程序文件,还可以对网站链接、IP地址、文件hash值来进行检测。大家在打开陌生网站、安装任何应用前,都该养成用virustotal检测的习惯
wallet guard,这是一款免费的浏览器安全插件,目前适用chrome和brave浏览器,该插件会在你进行高危操作(比如误入钓鱼网站、安装恶意插件)时弹出提示,给资产增加一道安全防线。
不过,要提醒大家的是,任何安全工具都并非绝对安全,因为每多安装一个应用,就意味着多了一个可能出问题的点。所以大家不要认为使用了工具就可以高枕无忧,任何时候,自己才是保护资产的第一责任人。
如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯
如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯
如果需要更具体、系统、有针对性的教程指导,如果需要更具体、系统、有针对性的教程指导,欢迎大家私聊咨询哦
昨天(2022.10.2)tp钱包旗下dex应用Transit Swap被盗的反转事件应该算的上近期web3世界里的重大安全事故了,在为追回资金的用户感到开心的同时,我们也应该一起反思一下,作为用户,该从中吸取何种教训?
缘何被盗?
所有的被盗都逃不脱两个原因:应用代码有漏洞,用户操作有瑕疵,亦或者二者兼有,而此次Transit Swap被盗正是二者问题的集合。简单来说,用户通过dex进行swap操作,需要先把调用token的权限授权给dex的管理合约,管理合约获得授权之后可以按照用户的要求进行兑换;在正常情况下,管理合约只能由用户主动发起后调用,但此次事件中,由于代码漏洞,导致管理合约可以被任意外部调用,所有授权给管理合约的用户资金都有风险,而用户给管理合约无限制的授权,又扩大了用户的损失。
来自慢雾安全团队@SlowMist_Team的原理分析:
举个栗子:假设钱包里有500个A币,打算用其中100个兑换成B币,需要先把调用100个A币的权限授予要使用的兑换合约,如果兑换合约出问题,损失的就是这100个A币;但是如果用户怕麻烦,直接给兑换合约无限调用A币的权限,那么合约一旦出问题,钱包里所有的A币都会遭殃。
如果应用没bug,自然不会有问题;如果用户很谨慎,权限用多少给多少,那么哪怕应用出问题,损失也有限。正因为被盗存在应用和用户双方的问题,所以我们需要从这两方面有针对性的吸取教训。
首先是应用层面
这次的问题为什么没有被发现?因为应用不开源,看不到代码,自然无法发现其中的漏洞。之前我已经说过了开源是web3的灵魂,让后人可以在前人肩膀上搭积木。代码不开源,有违区块链公开透明的精神,项目方在其中暗藏私货也无法被察觉。出品了热门的中文solidity教程的@0xAA_Science大佬提到过:合约不开源,等同于对黑客开源,对用户闭源,所以他建议用户尽量不要跟不开源项目交互,他在github上整理了一个未开源项目清单,供大家参考
另外@billtheinvestor 大佬整理了一个常用钱包代码开源及开发情况总结的线程,大家可以比较一下作为选择钱包服务商的参考
其次就是用户层面
(1)最大的教训当然是要提高个人资产安全意识。
网络上各种被盗事件下经常有人评论,为啥不用硬件钱包?说的好像硬件钱包是保险柜,资金放进去就万无一失了一样。其实我很想吐槽的是,安全意识不到位用啥工具也白瞎:啥来源的网页也敢打开,啥渠道的软件也敢下载,啥英文也不认识,看着set approval for all也敢确认,真正验证了那句话:无知者无畏。
所以对于大多数web3新人来说,比起买硬件钱包,先学习一些资产安全的内容来武装一下头脑,无疑是更有性价比的选择。顺便臭不要脸的自荐一下,我的 #人话讲透web3 系列中会有专门的资产安全的板块,会从安全意识、安全操作技巧、钱包管理和使用安全等方面进行详细的介绍,欢迎关注我@flying_piggy1哦~
(2)要意识到授权存在极大风险。
授权是什么?授权就意味着你许可别人调用你的某些资产,正经的项目方当然不会随便未经你同意而调用,但也要防备此次出现bug的情况;授权给诈骗网站,不用说,基本就等于跟资产永别了。所以不论是NFT还是token,大家在看到set approval for all的提示时,一定要反复确认,对于NFT要看授权对象是否与当下操作一致,如果你在mint时弹出了一个set approval for all,肯定有问题;对于token,不要给与应用无限度的授权,用多少给多少。
经常用授权检查工具检查地址,有不使用或者可疑的授权立马取消掉,如果发现误授权,立马转移资产更换新钱包
这是@BTW0205大佬整理的慢雾推荐的取消授权的工具,大家可以收藏备用
(3)学会使用一定的安全工具很有必要。
这里给大家提供两个工具,合理使用基本可以应付大多数场景了。
VirusTotal,这是一个免费的全球最大的在线病毒分析平台之一,无需下载,即开即用,不仅可以检测程序文件,还可以对网站链接、IP地址、文件hash值来进行检测。大家在打开陌生网站、安装任何应用前,都该养成用virustotal检测的习惯
wallet guard,这是一款免费的浏览器安全插件,目前适用chrome和brave浏览器,该插件会在你进行高危操作(比如误入钓鱼网站、安装恶意插件)时弹出提示,给资产增加一道安全防线。
不过,要提醒大家的是,任何安全工具都并非绝对安全,因为每多安装一个应用,就意味着多了一个可能出问题的点。所以大家不要认为使用了工具就可以高枕无忧,任何时候,自己才是保护资产的第一责任人。
如果觉得我的内容对你有帮助,欢迎关注我的推特账号和小红书账号:飞猪聊web3,获取更多web3的安全知识、基本技能和实用资讯
No activity yet