橙皮书故事和真实无关|预言家周报#179
故事是强大的,但是并不真实。从一开始,讲故事的人就不以真实为目标,而是以故事的效果最大化为目标。 说来惭愧,虽然做了这么多年的媒体,直到这两年我才慢慢明白这个简单的道理。明白这个道理之后,过去诸多看不懂的人和事开始明朗起来。 人们闯进一个新世界时,最经常被问的通常是,什么是 X ?尤其在这个 X 还在发展早期,没有实体供大家直观感受的时候。这个 X 曾经是西学,民主,共产主义,互联网,大数据,云,区块链和 Web 3 。 我一直觉得,过早定义或者总结一个还在快速变化的东西是什么,意义和收效都不大。尤其对很多新人来说,有这个时间,不如多用多感受,浸入它。看一万篇讲元宇宙的文章,不如亲自玩一个小时 Oculus 。看一万篇讲 Web 3 的文章,不然开一个钱包使用一个 Dapp 。 尤其要小心,碰上这一万篇文章的作者自己都没用过这些产品,你被带到坑里都不知道(别笑,这种现象是常态,国内大众接触的信息渠道已经严重污染,媒体和书都是如此)。 新事物之外,我们在讨论一些存在已久甚至习以为常的旧事物时,也得小心,一不小心就会落入过往故事的迷雾里,离事物的本来面目越聊越远。 举个例子,什么是 ...
橙皮书非主流就非主流|预言家周报#238
这段时间发生了好几件事,让我接受了自己的非主流。 我一直知道自己是非主流,同时我也一直希望自己能成为主流,虽然这么说,其实也没做什么努力。就是这么个拧巴的状态,讨厌主流但又渴望获得主流的认可,既清高,又想荣华富贵。 但直到最近,我才能坦然的承认这一点。It's ok to be non-mainsteam. 是怎么走到这一步的呢?也许是这几件事情: 参加完一场无趣的活动之后,两个好朋友逼问我,鲱鱼罐头到底是什么?和其他的孵化器有什么区别?头脑里飘过很多词,最终蹦出来的是,“非主流。鲱鱼罐头是非主流想法和人的汇聚地” 和 gg 聊 shoshin 的时候,他说非主流人群更有创造力,不太受主流文化地心引力的影响,可以自由飘来飘去。我笑了,说难怪我一直喜欢非主流的人。 读《人的宗教》,我才知道如今的主流宗教,有一个算一个,在早期都是极端非主流,最开始的几十年甚至只有几十个信徒,说是非主流都太温和了。 我渐渐发现,碰到非主流的我就来劲,碰到主流的我就无聊。这就是真实的我,没法改变。既然如此,那就接受吧。 Crypto 也是如此。Crypto 过去是,现在是,未来十年也大概率是非...
橙皮书未知与狂热|预言家周报#245
人是一种通过讲故事来大规模协作的动物。这句话最近一直在我脑海里回响,以前我只是理解它,现在我从心里感受到了它。 上周四我按耐不住的约阿剑录播客,疯狂的市场搞的我想不顾一切的 fomo 买进去,我得做点什么转移这种狂热。周五上午聊完,下午我就剪完发出来了,听众和我一样狂热,看来踏空的总是绝大多数,这期播客不管从数据还是私下的反馈,都是好评如潮。比特币狼烟再起:铭文,BRC20 和数字世界的权力 E21听《橙皮书》上小宇宙。 橙皮书和朋友们的聊天https://www.xiaoyuzhoufm.com当一系列新东西在市场上横着走涨上天,大部分人是搞不清它们是什么的。也许有极少数人能搞清楚,但是他们也不能确切的知道接下来这些新东西会如何发展。人群里意见总会分裂,一派认为是异端的,另一派认为是终极答案。 那我们怎么办呢?坐着不动,看更多身边人发财?还是不管不顾的冲进去,暴富或者暴死? 选择很多。。。 也许远古时代这样的故事就一再上演。有人声称找到了新的神灵和力量,要带着信徒去往一片遥远的应许之地,那里鸟语花香,蜜奶流淌。 你走不走?不走,继续过着现在的苦日子,看他们去往天堂?还是不管不顾...
橙皮书故事和真实无关|预言家周报#179
故事是强大的,但是并不真实。从一开始,讲故事的人就不以真实为目标,而是以故事的效果最大化为目标。 说来惭愧,虽然做了这么多年的媒体,直到这两年我才慢慢明白这个简单的道理。明白这个道理之后,过去诸多看不懂的人和事开始明朗起来。 人们闯进一个新世界时,最经常被问的通常是,什么是 X ?尤其在这个 X 还在发展早期,没有实体供大家直观感受的时候。这个 X 曾经是西学,民主,共产主义,互联网,大数据,云,区块链和 Web 3 。 我一直觉得,过早定义或者总结一个还在快速变化的东西是什么,意义和收效都不大。尤其对很多新人来说,有这个时间,不如多用多感受,浸入它。看一万篇讲元宇宙的文章,不如亲自玩一个小时 Oculus 。看一万篇讲 Web 3 的文章,不然开一个钱包使用一个 Dapp 。 尤其要小心,碰上这一万篇文章的作者自己都没用过这些产品,你被带到坑里都不知道(别笑,这种现象是常态,国内大众接触的信息渠道已经严重污染,媒体和书都是如此)。 新事物之外,我们在讨论一些存在已久甚至习以为常的旧事物时,也得小心,一不小心就会落入过往故事的迷雾里,离事物的本来面目越聊越远。 举个例子,什么是 ...
橙皮书非主流就非主流|预言家周报#238
这段时间发生了好几件事,让我接受了自己的非主流。 我一直知道自己是非主流,同时我也一直希望自己能成为主流,虽然这么说,其实也没做什么努力。就是这么个拧巴的状态,讨厌主流但又渴望获得主流的认可,既清高,又想荣华富贵。 但直到最近,我才能坦然的承认这一点。It's ok to be non-mainsteam. 是怎么走到这一步的呢?也许是这几件事情: 参加完一场无趣的活动之后,两个好朋友逼问我,鲱鱼罐头到底是什么?和其他的孵化器有什么区别?头脑里飘过很多词,最终蹦出来的是,“非主流。鲱鱼罐头是非主流想法和人的汇聚地” 和 gg 聊 shoshin 的时候,他说非主流人群更有创造力,不太受主流文化地心引力的影响,可以自由飘来飘去。我笑了,说难怪我一直喜欢非主流的人。 读《人的宗教》,我才知道如今的主流宗教,有一个算一个,在早期都是极端非主流,最开始的几十年甚至只有几十个信徒,说是非主流都太温和了。 我渐渐发现,碰到非主流的我就来劲,碰到主流的我就无聊。这就是真实的我,没法改变。既然如此,那就接受吧。 Crypto 也是如此。Crypto 过去是,现在是,未来十年也大概率是非...
橙皮书未知与狂热|预言家周报#245
人是一种通过讲故事来大规模协作的动物。这句话最近一直在我脑海里回响,以前我只是理解它,现在我从心里感受到了它。 上周四我按耐不住的约阿剑录播客,疯狂的市场搞的我想不顾一切的 fomo 买进去,我得做点什么转移这种狂热。周五上午聊完,下午我就剪完发出来了,听众和我一样狂热,看来踏空的总是绝大多数,这期播客不管从数据还是私下的反馈,都是好评如潮。比特币狼烟再起:铭文,BRC20 和数字世界的权力 E21听《橙皮书》上小宇宙。 橙皮书和朋友们的聊天https://www.xiaoyuzhoufm.com当一系列新东西在市场上横着走涨上天,大部分人是搞不清它们是什么的。也许有极少数人能搞清楚,但是他们也不能确切的知道接下来这些新东西会如何发展。人群里意见总会分裂,一派认为是异端的,另一派认为是终极答案。 那我们怎么办呢?坐着不动,看更多身边人发财?还是不管不顾的冲进去,暴富或者暴死? 选择很多。。。 也许远古时代这样的故事就一再上演。有人声称找到了新的神灵和力量,要带着信徒去往一片遥远的应许之地,那里鸟语花香,蜜奶流淌。 你走不走?不走,继续过着现在的苦日子,看他们去往天堂?还是不管不顾...
Subscribe to 橙皮书
Subscribe to 橙皮书
Share Dialog
Share Dialog
>100 subscribers
>100 subscribers
作者:Retric https://0x626974.mataroa.blog/
在我成长的很多时期,常常都会伴有一种沮丧感。有时候是不得志的挫败,有时候是百无聊赖的迷惘。通常这种沮丧,最后都会消解于去寻找一些同伴。同伴的力量对我来说是很难得的,它能化解你的孤独。
1907 年的鲁迅是我无数同伴中的一个。尽管我们从未见过面,但是我能特别同情那一个 26 岁在日本漂着的青年,特别理解他当时内心的沮丧。
1907 年的鲁迅已经从仙台医专学校退学了,正在东京漂着。就在前一年,他刚回中国结了婚,是旧式包办婚姻,娶了他并不喜欢的第一任妻子。然后随即同弟弟周作人一起回到东京,满怀壮志地要办一本文艺杂志,叫做《新生》。
《新生》的初衷是希望通过翻译国外弱小民族的文学,唤醒中国人的思想意识,让他们去追求独立和自由。鲁迅后来回忆,“有一种茫漠的希望:以为文艺是可以转移性情,改造社会的。因为这意见,便自然而然地想到介绍外国新文学这一件事。”
回想他那时候的一个生存状态,首先是通过清末官方的一个体制得到出国留学的机会,然而又不屑于与仍然留着辫子的“富士山同学”为伍,于是一个人跑到偏远的仙台医专,希望学习医术,拯救许多像自己父亲那样被耽误的病人,然而终于又遭遇幻灯片事件、遭遇被举报的匿名信事件,于是再次决定弃医从文,转而去寻求文艺活动的新方向。可以说在追求理想的道路上,他是一波三折才弄清要做些什么的。
当时也正是一个非常关键的时刻。中国本土开始涌现、乃至分叉出许多新的思想。1907 年中国现代文学处于即将诞生前的最后一刻,还差临门一脚,新的世界就会打开。鲁迅在外已经接受了新的知识结构,个人第一阶段的文艺活动刚要开始,这个阶段他有许多想说的话,想借着国外优秀文学作品之口,通过《新生》为中国人提供第一次精神的启蒙。
可惜《新生》杂志很快就遭遇了失败。而且是无法言说的失败。因为这本杂志连面世的机会都没有。原本说好一起写稿的伙伴中道退出,印书的资金也迟迟没有着落,尽管已经准备了许多材料,甚至连杂志里的插画用哪一张都选好了,这本杂志最后还是默默流产了。鲁迅说自己感到了一种“未尝经验的无聊”,失败的滋味在此后一直萦绕在他的心上。
后来《新生》中许多要说的话,都被鲁迅当作约稿拿去写给了《河南》等国内青年杂志。他写得最为生猛,文章数量最多,格局也最广,常以“立人”思想,试图重建国人的现代意识。他几乎要凭一人的笔力,撑起《河南》的六分之一。这些《新生》中被压抑的巨大的倾诉欲,终于等来机会倾泻在了别人的阵地上。
另一部分《新生》未能实现的内容,也就是翻译外国文学作品的那一部分,则化作了他与弟弟周作人一起编写的《域外小说集》。这本书是拿了当时去东京看病的一个同乡的投资,作为小说集印刷的启动资金,总共 150 块大洋,分批印了一些,最后仍然以失败结尾。第一批只卖了 21 册,第二批卖了 20 册,然后就无人再买。还有一部分书被寄回上海,希望打开国内的销路,同样无人问津,中间似乎又遭遇了大火,最终不了了之。
如果以第一次创业来看待鲁迅这阶段的文艺活动,他显然是一个非常稚嫩的创业者。《域外小说集》使用了非常艰涩难懂的文言进行翻译,事实上并没有一批合适的读者可以获取,可以说并没有抓住市场。但在内心深处,他分明又在那一批国外文学中看见了新的未来。这直觉并没有错,只不过这个所见,后来换了一种方式在他身上发挥出了效力。
讲了这么多,为什么我称 1907 年的青年鲁迅为同伴呢?因为我总觉得我也处在类似的处境里,只不过是在另一个技术的范畴里。
我有一个很不恰当的比喻,但在这里仍然想提出来讲一讲,这个比喻是这样:
在现今的中国,计算机和互联网所带来的这一波三十年的技术浪潮中,我们正处在类似于清朝末期这样一个时代。
清朝是封建制度在中国历史上最后一个朝代,也毫无疑问是这套制度达到登峰造极的巅峰期最成功的一个朝代。清代把这套制度玩得如此纯熟,以至于哪怕是被八国联军打破国门,清朝的财政收入依然能维持这个庞大的机器持续运转很多年,坚持了非常久的时间,最后才因为国内的革命爆发而寿终正寝。
中国的互联网处于类似的状态:高度发达、极其便利、用户基数见顶,竞争格局趋于稳定,只有大公司能产生源源不断的利润。我们有 AI 算法每天为 14 亿用户投喂无止境的信息饲料,控制他们从生活乃至精神的方方面面。这是互联网对人能产生影响的全盛时期。但是很少有人能看到巅峰期后,紧跟着将是一个摔落谷底、加速下坠的过程。
与之作对比,国外已经在悄然进行制度更替了。他们抛弃了这套过时的封建制度的互联网,转而去寻求代表未来的新的民主式的技术架构。这套新的技术架构,一如鲁迅当时在弱小民族文学和新的现代文学中所发现的那样,是一个更加看重个人价值、肯定个人尊严、鼓励追求个人独立与自由的运动。
这套新的技术架构,是 crypto、是 web3,是 blockchain。
我也像 1907 年那个在日本漂着的青年一样,分明看见了一个新的未来,只不过我的战场换成了赛博空间,但它们都是同一个社会。我希望传达新的思想,在数字世界里唤起人们对个人隐私和自由权利的追求,我甚至也和其他同伴一起办了翻译国外文章的“杂志”,只是最后的结局也如《新生》一般,在特定的时期,特定的环境中,你很难找到市场,很难找到那第一批读者。于是很快我也感受到了那一种“未尝经验的无聊”。
-- 2022 年 5 月 4 日
https://github.com/bluesky-social/adx/blob/main/architecture.md
@Kurt Pan:Twitter CEO Jack Dorsey在19年就宣布启动去中心化社交网络协议项目Bluesky,但是一直没有下文。直到今天,项目成员在Github上公布了他们第一个子项目ADX的架构介绍和demo代码。看后觉得,基于Self-authenticating data的应用应该会是Web3应用的未来。Web3可以没有token,没有P2P,甚至不一定要有区块链,但是必须要有公钥密码学+零知识证明。
@paco0x:rari-fuse 他们是 fork 的 compound,基本上和 compound 代码是一样的。
compound 有一个历史遗留问题是他们的代码有被重入攻击的风险,如果 compound 上 list 的 token 有转账后的 hook(例如 ERC-777),就可能被攻击者用来进行重入攻击。比较著名的利用这个攻击的案例有 CREAM 上线 AMP 导致被攻击,还有 xDAI 上的 bridge token 因为有 transfer hook 导致 xDAI 上 compound 的 fork 项目被攻击。
rari 很明显对这个漏洞并没有很深入的理解,他们在 fork 完 compound 代码之后请了多家审计公司给他们代码进行审计,其中一家审计公司(Omniscia Sec)提了一个很小的修改建议,本来是为了改善安全性提出的建议,具体就是让他们把代码里 ETH 转账的 XX.transfer() 改成 XXX.call{value: X}()。在建议中,Omniscia Sec 中提示代码还需要遵守 "Checks-Effects-Interactions" 规范,但是很不幸的是,compound 的代码并没有遵守这个规范。
rari 采纳了这个建议。结果这个改动导致了 rari-fuse 上的 eth 可以被利用,进行重入攻击。但是这个漏洞在那时还没有多少人知道,项目上线后依然平稳运行了一段时间。
直到 2 个月前,paradigm 的 samczsun 和另外两个安全从业者发现并给 rari 汇报了这个问题。rari 给了他们 2M 作为奖励。但是,他们都只考虑到了单个合约内的重入攻击,修复的方案也只是进行了单个合约重入的保护。
结果上周 rari 被黑了,原因是黑客仍然可以通过跨合约的重入来进行攻击。rari 因此损失了 80M. 被黑之后 rari 紧急暂停了 eth 主网上 rari-fuse 的功能。
更狗血的是,在项目被黑的第二天,rari 在 arbitrum 上 的池子以同样的方式被盗了 100 ETH。他们居然没有及时暂停 arbitrum 上的使用。
这次被盗事件还蛮有启发意义的,不要以为经典老牌的项目就是完全安全的,即使是已经运行了多年的 compound。业内顶级安全人员也没法保证项目的绝对安全。项目方在被盗之后如何及时止损,也是每一个项目都需要提前进行准备的。另外 compound 为什么不对代码进行修复也是耐人寻味,难道故意给 fork 项目留坑吗...
@郭宇:基于美元本位的 DeFi 经济体显然与加密朋克们的初衷渐行渐远。法币本位到底会给 Crypto 世界带来灾难还是新的发展空间?乐观点看,参与者的政治光谱已经逐步发散,传统的创新的金融模式并存,生态多样性健康发展。如果不考虑法律缺失之外,俨然是一个理想中的哈耶克秩序。
https://broad-kitchen-2f1.notion.site/6d08a94284ec4704a582878974da4bf2
@沙漏时间:原语里弄在四月组织了共读活动,一起探索计算机、互联网、密码学的历史。
x26quot;链上现实(Onchain realities)将是非仿制的(skeuomorphic)\x26quot;
@Jessie:这篇文章记录了Topology在DEFCON 2022上的演讲--Topology的设计理念,以及Isaac--Starknet第一个物理驱动的链上现实(onchain realities)的概述。
听《忽明忽暗WrinkleYourBrain》上小宇宙。 「忽明忽暗」是一档关注各类社会公共议题的谈话类播客节目,事实有真假,观点无对错。把我们的观点拿出来探讨,对身边和远方做更多的思考,那些忽明忽暗的想法都可以闪闪发光。 联系方式:wrinkleyourbrain@hotmail.com
@Leon:直销传销对我都是挺陌生的领域,但是意外的听到了许多在crypto行业里熟悉的现象,有些看起来自然的现象其实背后有深厚的社会文化背景。我们都需要“家人”。
作者:Retric https://0x626974.mataroa.blog/
在我成长的很多时期,常常都会伴有一种沮丧感。有时候是不得志的挫败,有时候是百无聊赖的迷惘。通常这种沮丧,最后都会消解于去寻找一些同伴。同伴的力量对我来说是很难得的,它能化解你的孤独。
1907 年的鲁迅是我无数同伴中的一个。尽管我们从未见过面,但是我能特别同情那一个 26 岁在日本漂着的青年,特别理解他当时内心的沮丧。
1907 年的鲁迅已经从仙台医专学校退学了,正在东京漂着。就在前一年,他刚回中国结了婚,是旧式包办婚姻,娶了他并不喜欢的第一任妻子。然后随即同弟弟周作人一起回到东京,满怀壮志地要办一本文艺杂志,叫做《新生》。
《新生》的初衷是希望通过翻译国外弱小民族的文学,唤醒中国人的思想意识,让他们去追求独立和自由。鲁迅后来回忆,“有一种茫漠的希望:以为文艺是可以转移性情,改造社会的。因为这意见,便自然而然地想到介绍外国新文学这一件事。”
回想他那时候的一个生存状态,首先是通过清末官方的一个体制得到出国留学的机会,然而又不屑于与仍然留着辫子的“富士山同学”为伍,于是一个人跑到偏远的仙台医专,希望学习医术,拯救许多像自己父亲那样被耽误的病人,然而终于又遭遇幻灯片事件、遭遇被举报的匿名信事件,于是再次决定弃医从文,转而去寻求文艺活动的新方向。可以说在追求理想的道路上,他是一波三折才弄清要做些什么的。
当时也正是一个非常关键的时刻。中国本土开始涌现、乃至分叉出许多新的思想。1907 年中国现代文学处于即将诞生前的最后一刻,还差临门一脚,新的世界就会打开。鲁迅在外已经接受了新的知识结构,个人第一阶段的文艺活动刚要开始,这个阶段他有许多想说的话,想借着国外优秀文学作品之口,通过《新生》为中国人提供第一次精神的启蒙。
可惜《新生》杂志很快就遭遇了失败。而且是无法言说的失败。因为这本杂志连面世的机会都没有。原本说好一起写稿的伙伴中道退出,印书的资金也迟迟没有着落,尽管已经准备了许多材料,甚至连杂志里的插画用哪一张都选好了,这本杂志最后还是默默流产了。鲁迅说自己感到了一种“未尝经验的无聊”,失败的滋味在此后一直萦绕在他的心上。
后来《新生》中许多要说的话,都被鲁迅当作约稿拿去写给了《河南》等国内青年杂志。他写得最为生猛,文章数量最多,格局也最广,常以“立人”思想,试图重建国人的现代意识。他几乎要凭一人的笔力,撑起《河南》的六分之一。这些《新生》中被压抑的巨大的倾诉欲,终于等来机会倾泻在了别人的阵地上。
另一部分《新生》未能实现的内容,也就是翻译外国文学作品的那一部分,则化作了他与弟弟周作人一起编写的《域外小说集》。这本书是拿了当时去东京看病的一个同乡的投资,作为小说集印刷的启动资金,总共 150 块大洋,分批印了一些,最后仍然以失败结尾。第一批只卖了 21 册,第二批卖了 20 册,然后就无人再买。还有一部分书被寄回上海,希望打开国内的销路,同样无人问津,中间似乎又遭遇了大火,最终不了了之。
如果以第一次创业来看待鲁迅这阶段的文艺活动,他显然是一个非常稚嫩的创业者。《域外小说集》使用了非常艰涩难懂的文言进行翻译,事实上并没有一批合适的读者可以获取,可以说并没有抓住市场。但在内心深处,他分明又在那一批国外文学中看见了新的未来。这直觉并没有错,只不过这个所见,后来换了一种方式在他身上发挥出了效力。
讲了这么多,为什么我称 1907 年的青年鲁迅为同伴呢?因为我总觉得我也处在类似的处境里,只不过是在另一个技术的范畴里。
我有一个很不恰当的比喻,但在这里仍然想提出来讲一讲,这个比喻是这样:
在现今的中国,计算机和互联网所带来的这一波三十年的技术浪潮中,我们正处在类似于清朝末期这样一个时代。
清朝是封建制度在中国历史上最后一个朝代,也毫无疑问是这套制度达到登峰造极的巅峰期最成功的一个朝代。清代把这套制度玩得如此纯熟,以至于哪怕是被八国联军打破国门,清朝的财政收入依然能维持这个庞大的机器持续运转很多年,坚持了非常久的时间,最后才因为国内的革命爆发而寿终正寝。
中国的互联网处于类似的状态:高度发达、极其便利、用户基数见顶,竞争格局趋于稳定,只有大公司能产生源源不断的利润。我们有 AI 算法每天为 14 亿用户投喂无止境的信息饲料,控制他们从生活乃至精神的方方面面。这是互联网对人能产生影响的全盛时期。但是很少有人能看到巅峰期后,紧跟着将是一个摔落谷底、加速下坠的过程。
与之作对比,国外已经在悄然进行制度更替了。他们抛弃了这套过时的封建制度的互联网,转而去寻求代表未来的新的民主式的技术架构。这套新的技术架构,一如鲁迅当时在弱小民族文学和新的现代文学中所发现的那样,是一个更加看重个人价值、肯定个人尊严、鼓励追求个人独立与自由的运动。
这套新的技术架构,是 crypto、是 web3,是 blockchain。
我也像 1907 年那个在日本漂着的青年一样,分明看见了一个新的未来,只不过我的战场换成了赛博空间,但它们都是同一个社会。我希望传达新的思想,在数字世界里唤起人们对个人隐私和自由权利的追求,我甚至也和其他同伴一起办了翻译国外文章的“杂志”,只是最后的结局也如《新生》一般,在特定的时期,特定的环境中,你很难找到市场,很难找到那第一批读者。于是很快我也感受到了那一种“未尝经验的无聊”。
-- 2022 年 5 月 4 日
https://github.com/bluesky-social/adx/blob/main/architecture.md
@Kurt Pan:Twitter CEO Jack Dorsey在19年就宣布启动去中心化社交网络协议项目Bluesky,但是一直没有下文。直到今天,项目成员在Github上公布了他们第一个子项目ADX的架构介绍和demo代码。看后觉得,基于Self-authenticating data的应用应该会是Web3应用的未来。Web3可以没有token,没有P2P,甚至不一定要有区块链,但是必须要有公钥密码学+零知识证明。
@paco0x:rari-fuse 他们是 fork 的 compound,基本上和 compound 代码是一样的。
compound 有一个历史遗留问题是他们的代码有被重入攻击的风险,如果 compound 上 list 的 token 有转账后的 hook(例如 ERC-777),就可能被攻击者用来进行重入攻击。比较著名的利用这个攻击的案例有 CREAM 上线 AMP 导致被攻击,还有 xDAI 上的 bridge token 因为有 transfer hook 导致 xDAI 上 compound 的 fork 项目被攻击。
rari 很明显对这个漏洞并没有很深入的理解,他们在 fork 完 compound 代码之后请了多家审计公司给他们代码进行审计,其中一家审计公司(Omniscia Sec)提了一个很小的修改建议,本来是为了改善安全性提出的建议,具体就是让他们把代码里 ETH 转账的 XX.transfer() 改成 XXX.call{value: X}()。在建议中,Omniscia Sec 中提示代码还需要遵守 "Checks-Effects-Interactions" 规范,但是很不幸的是,compound 的代码并没有遵守这个规范。
rari 采纳了这个建议。结果这个改动导致了 rari-fuse 上的 eth 可以被利用,进行重入攻击。但是这个漏洞在那时还没有多少人知道,项目上线后依然平稳运行了一段时间。
直到 2 个月前,paradigm 的 samczsun 和另外两个安全从业者发现并给 rari 汇报了这个问题。rari 给了他们 2M 作为奖励。但是,他们都只考虑到了单个合约内的重入攻击,修复的方案也只是进行了单个合约重入的保护。
结果上周 rari 被黑了,原因是黑客仍然可以通过跨合约的重入来进行攻击。rari 因此损失了 80M. 被黑之后 rari 紧急暂停了 eth 主网上 rari-fuse 的功能。
更狗血的是,在项目被黑的第二天,rari 在 arbitrum 上 的池子以同样的方式被盗了 100 ETH。他们居然没有及时暂停 arbitrum 上的使用。
这次被盗事件还蛮有启发意义的,不要以为经典老牌的项目就是完全安全的,即使是已经运行了多年的 compound。业内顶级安全人员也没法保证项目的绝对安全。项目方在被盗之后如何及时止损,也是每一个项目都需要提前进行准备的。另外 compound 为什么不对代码进行修复也是耐人寻味,难道故意给 fork 项目留坑吗...
@郭宇:基于美元本位的 DeFi 经济体显然与加密朋克们的初衷渐行渐远。法币本位到底会给 Crypto 世界带来灾难还是新的发展空间?乐观点看,参与者的政治光谱已经逐步发散,传统的创新的金融模式并存,生态多样性健康发展。如果不考虑法律缺失之外,俨然是一个理想中的哈耶克秩序。
https://broad-kitchen-2f1.notion.site/6d08a94284ec4704a582878974da4bf2
@沙漏时间:原语里弄在四月组织了共读活动,一起探索计算机、互联网、密码学的历史。
x26quot;链上现实(Onchain realities)将是非仿制的(skeuomorphic)\x26quot;
@Jessie:这篇文章记录了Topology在DEFCON 2022上的演讲--Topology的设计理念,以及Isaac--Starknet第一个物理驱动的链上现实(onchain realities)的概述。
听《忽明忽暗WrinkleYourBrain》上小宇宙。 「忽明忽暗」是一档关注各类社会公共议题的谈话类播客节目,事实有真假,观点无对错。把我们的观点拿出来探讨,对身边和远方做更多的思考,那些忽明忽暗的想法都可以闪闪发光。 联系方式:wrinkleyourbrain@hotmail.com
@Leon:直销传销对我都是挺陌生的领域,但是意外的听到了许多在crypto行业里熟悉的现象,有些看起来自然的现象其实背后有深厚的社会文化背景。我们都需要“家人”。
Here's the one sample exploit TXs
Here's the one sample exploit TXs
No activity yet