作者:YBB Capital Researcher Ac-Core
此次研討會我們非常榮幸邀約到眾多重量級嘉賓——致力於解決當下行業剛需問題的資深技術專家和創始人,與我們進行了一次面對面的交流。嘉賓們就如何確保資金安全,防止黑客攻擊;開發者從哪可獲得云化的API服務;如何尋找滿足自身需求獲得高效且可靠的RPC服務;以及基於MPC、ZKP和TEE的可擴展跨鏈互操作協議是什麼等系列問題進行了分享。
前言
七月五日,細雨綿綿的天氣裡藏匿著不溫不火的加密行情,隨著雨過天晴,YBB ChainXplore :Geek Symposium 01活動圓滿落幕。此次研討會我們非常榮幸邀約到眾多重量級嘉賓——致力於解決當下行業剛需問題的資深技術專家和創始人,與我們進行了一次面對面的交流。
活動現場,嘉賓們就如何確保資金安全,防止黑客攻擊;開發者從哪可獲得云化的API服務;如何尋找滿足自身需求獲得高效且可靠的RPC服務;以及基於MPC、ZKP和TEE的可擴展跨鏈互操作協議是什麼等系列問題進行了分享。下面,讓我們來一同感受來自不同研究方向的極客們究竟碰撞出了哪些火花。
看待加密寒冬的不同視角
2022年是一個沉寂許久的熊市,2023年伴隨著疫情的結束,我們本以為市場環境能有所好轉,但美元加息不止,且最近SEC對待加密交易呈現出了更嚴厲的監管態度,本是充滿期望的一年,又變得沒有了確定性。作為行業老人,我們都在行業內歷練了幾個牛熊,那麼大家對於行業未來的發展是怎麼看待的呢?以及我們每個人站在自己的領域,該如何扛過這個“寒冬”呢?活動之初主持人YBB Capital聯創John,請與會嘉賓,分享下自己是如何過冬的。以下是嘉賓們的核心觀點。
YBB Capital聯創Hugh: 在從20年底開始到22年結束的上一輪牛市週期內,我們可以看到市場資金和技術發展兩者是呈正相關性的,資本的介入帶動了新敘事的發展,比如上輪灰度等大資金的入場帶來了牛市更向上的增長空間,後來隨著宏觀政策的收緊,市場被抽離了部分流動性,往期每輪牛熊的變化像齒輪一樣是有一定的周期性在裡面的。關於Crypto更多的還是需要關注技術的發展和突破,從而帶動大資金的入場。從上次的黑山EDCON現場會議來看,大家更多地是關注ZK技術的突破和AI與區塊鏈間的相互結合,關於AI的話題大家整體都是投降派,覺得AI會統治世界,保持悲觀的態度,但整體感覺下來還是非常有趣的,各種不同的思想相互碰撞。總的來說我們也在尋找新一輪的敘事,從而帶動新一輪牛市的發展。
Kernel Ventures投資經理Joshua: 今年四月香港發布了合規政策之後,因為考慮到流動性這個因素,更多需要向合規性靠攏,流動性也是交易所品類管理層面非常看好的因素,總的來說項目本身的流動性和熱度還是比較重要的。從VC一級投資的角度來說,雖然我們現在的出手頻率不高,但是也在尋找能合作的項目,包括為項目方提供產品建議、產品層面資產的流動性以及關鍵資源對接,能為項目提供一些價值支持,也是目前我們能為行業做的一些力所能及的事。
Chainbase Data工程師Liquid:對於個人來講,該如何扛過這個熊市呢,我的建議是不要上槓桿,項目方在融資時,首先要思考如何穿越牛熊,並為熊市做好準備。要提高在成本控制和獲客方面的運營能力,盡量保證項目能在熊市裡堅持足夠長的時間。關於大的市場行情,回顧前幾個牛熊週期,不難發現都是由主流幣帶動的,但目前比特幣和以太坊的體量已經不小了,下一輪牛市肯定要具備幾個合規方面的因素,比如貝萊德的ETH申請和美元的加息預期明確有一個轉折時間點,之後資金才會轉向幣圈。
Rooch Network聯創Haichao Zhu:目前一級市場還是處於冷靜期,可以感受到的是當前市場偏向於浮躁,也出現了一個怪象。一個項目可能並沒有它突出的創新點,但只要加上ZK、Layer2、EVM、GameFi等屬性,以及至少10W以上的用戶體量,就很容易獲得VC的青睞。但我們會堅持為行業做好基礎設施建設,以我們擅長的方式去為行業做出貢獻。
YBB Capital聯創Hugh:我們現在也可以感受到目前市場存在著一個兩極分化的情況,好的項目VC擠破頭也很難投進去,接地氣但技術壁壘較弱的項目估值再低VC也不敢投。目前大部分投資都是被市場情緒帶著走的,但目前從A16z等大機構的投資結果表現來看,大多數項目是破發的。但我們還是需要比較樂觀地來看待現在的市場,持續抱著激情去尋找新的技術突破點。
Chainbase開發關係主管Zhengxue Dai:我的視角可能和大家有點不同,我認為寒冬還沒到來,現在面臨著全球性的衰退和國內人口結構性的減少,所以現在很多人減少了對於一級市場的投資,因為市場缺乏消費動力,一級市場的錢也不夠了。另外也可以看到目前開發人數還是在不斷增加的,開玩笑講可能等哪天我自己想離開這個行業,可能行業的寒冬才算是真正地快過去了。我們會關注整個鏈上開發者的數量和合約部署的數量,從現有數量來看和去年相比是大大減少了,現在大多數公鏈都想囤一批開發者。儘管目前Layer2有非常大的TVL,但絕大多數都是薅羊毛用戶,並未對生態做出貢獻,所以我想拋磚引玉地問一下大家,你們覺得目前的開發者都在哪裡。
BlockSec聯創YaJin Zhou:Web3的開發者在哪?我們也一直在思考這個問題,因為我們的服務對象主要是項目方。這其實是一個雞和蛋的問題,開發者做出的項目本質上還是給用戶用的,有用戶才有需求,有需求才有項目,有項目才有開發者。在目前沒有特別好的Web3應用場景落地之前,大量用戶湧入Web3是不現實的。所以問題又回到了怎麼讓更多的用戶進來,需要思考Web3到底解決了用戶的哪些需求,如今在熊市的背景下怎樣的應用才能把用戶給帶進來。對於這個問題我自己還是比較樂觀的,借助現在的行情把一些不好的項目給淘汰出局,比如在中心化交易所不斷暴雷的情況下,更多資金流入了去中心化交易所,這個過程讓我們都處於一個積累的發展階段,經歷過沉澱後才能有更好的產品出來。
圖源:live shooting
黑暗叢林與光明騎士
據慢霧Hacked.slowmist 的最新統計數據,從2012 年1 月截止2023 年7 月14 日,區塊鏈領域因黑客攻擊而導致的損失總金額已超過300 億美元,總黑客攻擊事件為1108 次!
無論我們以何種身份身處Web3,我們都難以逃離黑暗叢林法則的約束。相比於Web2,去中心化的Web3網絡從一定程度來講是喪失了部分安全性的,與以太坊Layer2提供可擴展性的邏輯相似,Web3也需要光明騎士來擴展網絡的安全性。
數據來源:慢霧官網用戶和項目方的安全衛士
當前行業有個最大的痛點— 安全性,在當前資產被盜的眾多類型中,用戶錢包、項目方、跨鏈橋是最容易受到黑客攻擊的三種類型,為減少被攻擊事件的發生,YBB Capital邀約到合約安全審計項目——BlockSec 和去中心化簽名跨鏈橋方案——Bool Network 在活動現場與嘉賓們共同分享他們在安全領域的解決方案。
圖源:BlockSec官方
BlockSec是一家區塊鏈安全服務團隊,作為面向區塊鏈開發者的安全解決方案,BlockSec能夠提供從合約部署前(eg 代碼審計)到合約部署後(eg 監控阻斷)的項目全生命週期安全服務。 BlockSec 的安全監控和攻擊阻斷技術已獲得社區的廣泛認可,並與諸多主流項目方達成了合作,包括不久前與Compound 合作為Compound V3 合約開發攻擊監控系統。 BlockSec 一直致力於為社區提供安全基礎設施,先後推出了一系列安全產品和工具,包括為項目方所研發的區塊鏈開發測試及監控阻斷套件Phalcon、Web3 用戶的安全工具箱MetaDock和跨鏈資金流追踪平台MetaSleuth 。
除代碼審計外的提升安全性補充
面向項目方的開發測試及監控阻斷套件:Phalcon (Phalcon.xyz)
Phalcon是一款由BlockSec開發的面向Crypto項目方的安全開發、測試及監控阻斷套件。 BlockSec 認為僅靠代碼審計無法解決Web3 安全問題,一方面,高質量的審計服務是稀缺的,滿足不瞭如此多項目方的需求,另一方面,隨著攻擊方式的不斷演進,項目上線後可能會面臨新的風險。於是,在經過一系列實戰演練和產品化探索後,Phalcon誕生了,旨在為Web3帶來全新的安全範式。
Phalcon包含三大核心模塊:
1)Phalcon Explorer:是一款強大的區塊鏈交易瀏覽器,提供交易解析、模擬執行、Debug等功能;
2)Phalcon Fork:是一款可在私有環境下部署與主網狀態一致的安全測試平台,內嵌安全工具套件,幫助項目方進行安全初篩,同時支持團隊協作和項目公測;
3)Phalcon Block:是一款主動威脅防禦系統,提供監控、告警、阻斷(暫停或搶跑)黑客攻擊的獨家能力,據悉,BlockSec已成功攔截攻擊並挽回資金超過1400萬美元,是業界在主動防禦領域唯一有成功實戰案例的安全公司。
圖源:Phalcon官網
Web3用戶的安全工具箱MetaDock(blocksec.com/metadock)
MetaDock是一款完全免費、開源、無廣的瀏覽器插件,為Etherscan等區塊鏈瀏覽器提供擴展功能,通過創新的產品設計,無縫集成了10多種實用產品的功能快捷方式,成為每一位安全研究人員、數據分析師和Crypto用戶的高效率工具。該產品可幫助用戶通過內嵌的GPT功能快速了解交易內涵,一鍵查看地址資金流向,了解NFT收藏品的風險,為合約地址提供更清晰的標籤和評分等。目前已獲得谷歌瀏覽器和火狐瀏覽器的五星級好評和精選推薦。
圖源:MetaDock官網
跨鏈資金流追踪平台:MetaSleuth(metasleuth.io)
MetaSleuth是一款跨鏈加密資產的可視化分析平台,輸入需查詢的錢包地址即可以可視化的方式查詢到與該地址相關的鏈上資產轉移動態,也是目前“鏈上偵探”們使用非常頻繁的一個工具,可全方位監測鏈上資金走向,目前已集成十條鏈。
圖源:MetaSleuth官方全新方案應對黑客攻擊的另一重災區— 跨鏈
Bool Network是一個基於多方計算(MPC)、零知識證明(ZKP)和可信執行環境(TEE)的無需許可、完全無需信任且高度可擴展的去中心化簽名網絡。該網絡可以服務於全鏈互操作協議。它提出了一種去中心化的簽名方案,以方便跨異構網絡的任意消息傳輸和數字資產轉移。
技術架構
圖源:Bool Network官方
跨鏈中最核心的部分是中繼人,但是目前安全且去中心化的中繼人是沒有實現,所以當下網絡中黑客攻擊事件大多以跨鏈橋攻擊為主。因為大多數跨鏈中繼人是以中心化模式控制的,究其根本是源於私鑰的不正確管理和洩露。比如我們熟知的傳統解決方案多籤或MPC,可惜它們仍是由部分中心化實體控制,不能從根本上解決安全問題。而Bool Network採用了維護去中心化簽名網絡的方案,保證私鑰管理不受任何第三方控制,從而解決此類問題。
為此Bool Network誕生了“動態隱藏委員會”的重要概念,每個委員會實際上管理著特定區塊鏈上的私鑰,以完成任何形式的跨鏈交易和信息傳遞。並提出其獨創的環可驗證隨機函數(Ring VRF) 選舉算法,來保證委員會成員身份的隱私性。值得注意的是,所有委員會的程序均運行在TEE中,以保證相關組件的保密性和完整性。
圖源:Bool Network官方
-
MPC:允許數據持有者們在互不信任的情況下實現數據的協同計算及結果輸出。與多簽不同的是,MPC( 多方計算)有更高的隱私性、更強的安全性、更好的靈活性和廣泛適用性。
-
ZKP:它提供了一種獨特安全的驗證方法,基於環可驗證隨機函數(Ring VRF)將VRF 的真實公鑰隱藏於一個環結構中,使其證明者可以通過非交互式ZKP技術在不洩露私密信息的前提下向驗證者展示某一個公鑰對應私鑰的所有權。
-
TEE:是移動設備CPU 中一塊保障計算私密性和安全性的區域。在Bool Network網絡中是作為一個隔離環境的存在,TEE 不僅可以存儲敏感數據,還提供了可驗證性。 ,驗證者可以驗證運行在TEE中的核心代碼和業務邏輯一定是沒有被修改的,以保障安全性。
圖源:Bool Network官方
在“委員會”的初始化階段,我們假設從1 萬個TEE 節點中隨機選擇21 個節點。首先由“委員會”控制的私鑰通過DKG 算法被分成21 份,然後將私鑰碎片通過可信硬件加密存儲,這樣即使是惡意節點,也無力獲取到真實的私鑰碎片,從根源扼殺了作惡念頭。在這個過程中, Ring VRF 協議被用來隱藏這些委員會成員的真實身份,防止內部串通的同時也增加了外部攻擊的成本。因為外部黑客需要從總共一萬個節點中找出21 個被選中的隱藏委員會成員。
圖源:Bool Network官方
最後,通過安全多方計算技術,基於私鑰碎片實現對數據簽名需求,安全多方計算有明顯特性,即使部分節點異常離線,也能完成簽名。此外,Bool還定義了一個固定的時間段,稱為“紀元”。對於一組被選中的節點,它們只能在一個紀元內相互控制一個委員會。在一個紀元之後,它們對一個委員會的管理將被移交給新的節點組。而這個過程仍是通過Ring VRF 算法來促進,以提高委員會管理的私鑰的安全性。
Bool Network 是私鑰管理的安全底層基礎設施
Bool Network 是行業的基礎設施,是為維護跨鏈通信安全而提出的一種服務,例如管理建立在Bool Network 之上的DeFi 橋接應用中終端的私鑰。此外,Bool Network 是可擴展的,以提供鏈外委員會的共識,例如以更分散的模式運作的預言機服務。
圖源:Bool Network官方
總結一下,Bool Network 與其他跨鏈協議不同的地方在於,它通過Ring VRF 來實現動態隱私委員會管理私鑰,具有完全的可組合性,以實現異構區塊鏈之間的任意信息傳遞。值得一提的是Bool Network 的學術研究已被IEEE Transactions on Information Forensics and Security (TIFS) 期刊接受。團隊計劃將在未來支持更多的區塊鍊網絡。
現在產品已經適用於Bitcoin、EVM、Solana、Sui、Filecoin等網絡。團隊還計劃為錢包和資產管理平台提供安全解決方案。在2023 年第四季度,預計將有超過1000個節點在Bool Network 中運行,支持的節點越多,網絡的安全性和分散性就越強。
加速提升開發者效率的RPC服務
從技術上講,區塊鏈的節點是台高性能的計算機或是服務器,它是連接到對方的去中心化網絡中的計算機,負責存儲和更新區塊鏈數據。通俗點說,區塊鏈協議就像以太坊的EVM、Bitcoin的比特幣協議,當你用電腦運行EVM時,你就是一個節點,但節點又分多種。
RPC( Remote Procedure Calls )是指遠程過程調用(RPC) 的一種協議。 RPC服務即在服務器上運行區塊鏈節點客戶端,通過DNS域名解析提供http或者websocket接口。
圖源:BlockPI 官網
技術架構:
BlockPI Network是一個區塊鏈基礎設施類項目,其技術架構主要由五部分組成,分別為BlockPI Hub、HyperNode、Gateway、FisherMan、Validator。五者關係相輔相成,共同構成了BlockPI Network的完整網絡。
1)BlockPI Hub
BlockPI Hub是一個集用戶管理系統、節點評級、認證器系統以及賬戶系統的多套功能於一體的集合。除此之外用戶註冊信息、賬戶信息和KYC信息都保存在這裡。不僅如此它也一直在測試網絡中的節點,這些是BlockPI負載均衡器的一個參考數據來源。整個網絡的收入和支出,以及向系統中的角色發放獎勵都是在Hub中完成,在整個系統中佔比較重。
2)Gateway
Gateway負責收集和分類用戶的請求,並由BlockPI負載平衡器將其路由到適當的HyperNode之中。在Gateway中的負載均衡器會實時評估後端HyperNode節點的健康狀態,分配工作量,以使得整個網絡處於一個最佳服務狀態。
3)HyperNode
HyperNode是處理RPC請求的終端節點,並通過Gateway向用戶發送響應。 HyperNode通常與目標區塊鏈的完整節點(RPC請求目標)一起運行。官方在測試網階段開放了第三方運營商加入HyperNode並運行節點,對去中心化架構進行了驗證。現已支持了二十四個區塊鍊網絡。
4)Validator
Validator是獨立存在的區塊鏈節點,充當“警察”一角,以此來監測整個網絡。通過可驗證隨機算法,Validator從HyperNode和Gateway驗證工作量數據並把結果寫入區塊。通過共識協議該數據也會被其它的Validator驗證和記錄,起到互相記錄和驗證的作用。
5)FisherMan
FisherMan是另一個負責網絡安全的角色,與Validtor同樣是位特殊的角色。它偽裝成Gateway和User發送RPC請求到HyperNodes和Gateways並且對比結果,上報有問題的對比結果。
圖源:BlockPI 官方
寒冬與展望
區塊鏈行業自誕生以來一直以它獨特的魅力不斷吸引著每一位新成員的加入,至今我們無論以怎樣的身份參與其中,最終都會以抱有信仰的狀態在不斷地砥礪前行。雖然行業目前仍處於早期發展階段,有很多不完善的技術空缺,但我們堅信如果互聯網未來再次改變世界,那區塊鏈技術必將一馬當先嶄露頭角。
無論目前我們身處的是寒冬還是盛夏,行業的發展離不開每一位開發者的建設和創新,YBB Capital始終堅持以技術發展為核心的價值投資邏輯,不斷為優秀項目提供融資幫助。我們相信區塊鏈的發展還需憑藉自身技術的不斷突破來創造更大且更完善的市場環境,最後也非常榮幸能與各位優秀的開發者和建設者們共同為區塊鏈事業“添磚加瓦” ,依靠技術創新解決市場需求難題。無論我們是開發者還是投資者,都是走在時代前沿的開拓者。最後由衷感謝到場的各位嘉賓。
圖源:YBB Capital