通知设置 新通知
智能合约史上最大规模攻击手法曝光,盘点黑客团伙作案细节
hacker 发表了文章 • 2018-08-18 16:02
安比(SECBIT)实验室创始人郭宇:2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。但与所有的生态系统一样,新世界有生命,就有捕食者。有交易者,就有黑客。区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。意料之外,也在意料之中。
Last Winner(类 Fomo3D)游戏大火,导致以太坊异常拥堵,Gas 费用暴涨。大量以太币资金入场。
北京时间 2018 年 8 月 10 日凌晨 1:38,加州时间 9 日上午 10:38,安比(SECBIT)实验室收到合作伙伴美国硅谷 AnChain.ai 公司消息,基于 AI 的态势感知系统发出预警信息,发现部分游戏合约出现大量交易并且存在异常的资金流动情况。安比(SECBIT)实验室的小伙伴赶紧根据最新线索,对相关合约和交易进行观察、跟踪、分析。
安比(SECBIT)实验室由中国科学技术大学博士郭宇创建,从密码学、代码语义、形式化验证、博弈论、编译器等多种理论角度切入,在智能合约安全技术上开展全方位深入研究。
AnChain.ai 由辛辛那提大学计算机博士方春生 Victor Fang 创建,方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家,负责 AI 产品研发。AnChain.ai 专注安全威胁情报、区块链态势感知,凭借 AI 技术助力区块链生态安全。
下文敏感地址只保留前 4 位。片尾有三个彩蛋,智能合约爱好者请不要错过。
悄然上线
莫名火爆的 Last Winner
Last Winner 是一款基于以太坊智能合约的 DApp 游戏,于 8 月 6 日上线,这款游戏一经推出,就“异常”火爆。
这款游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C。据 Etherscan 显示,短短六天时间内,该游戏合约就已产生 27 万余笔交易。甚至前段时间以太坊网络大拥堵也与 Last Winner 游戏密切相关。8 月 8 日 和 9 日,在 Last Winner 和 Fomo3D 超大规模交易量的共同作用下,以太坊未确认交易数量创年内新高,平均 Gas 费用一度飙升至正常 10 倍以上。
该游戏第一轮奖池金额为 1.6 万多个以太币,而玩家总投资额更超过 10 万以太币,资金量巨大。目前游戏第一轮已结束,第二轮奖金池已迅速累积至 7000 多以太币。
疯狂的现象级游戏背后暗流涌动。
疑团重重
前期大量参与者的资金来历不明
据知名媒体「区块律动」报道,Last Winner 由名为「蚁群传播」的资金盘传销组织推广运营,有着数量众多的会员和极强的推广拉下线能力 [1]。而据另一款火爆游戏 Fomo3D 开发团队称,Last Winner 是仿 Fomo3D 游戏,其背后运营团队准备了 20 万 ETH 来进行自动刷量交易。因此,Last Winner 游戏火爆的背后,可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造活跃假象,吸引新韭菜入场。
Last Winner 游戏合约存在大量非正常交易,并且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大,这引起了我们的高度警惕。
疯狂推广
只面向国人,合约源码却从未公开
在各大论坛、媒体、以及微信群中,都可以见到 Last Winner 游戏的推广文章,而这些文章有着类似的描述,并且都附上推广邀请码。但 Last Winner 英文相关资料非常少。
显然,这是一款针对中国人的游戏,有着诱人的推广(拉下线)奖励,因此在网络上广为传播。并且,这款游戏有适配安卓和 iPhone 手机的 App,简化了使用操作,降低了参与门槛。
但是,十分可疑的是,作为一款基于智能合约的区块链游戏,Last Winner 居然没有公开合约源代码!这是一个非常危险的信号。为何这样一个游戏能这么火爆,吸引这么多人参加?
我们直觉上感到这款游戏到处透露着诡异的气息。
安全性存疑
实则是 Fomo3D 山寨版
Last Winner 官方宣传语写道:
Last Winner(LW)是首款完全去中心化的类 Fomo3D 游戏 DApp,完全基于以太坊智能合约原生开发。只要下载安装 App 就可参与游戏。
类 Fomo3D 游戏,且未公开源代码,这不得不让人产生怀疑。要知道,短短时间内原创开发一个好玩又安全的 DApp 游戏难度非常大。
安比(SECBIT)实验室迅速使用内部工具逆向分析了 Last Winner 的合约代码(字节码)。果不其然,这款游戏合约代码函数名称与 Fomo3D 高度相似,疑似直接拷贝(抄袭)了 Fomo3D 的源码,但却又新增了 10 余个可疑未知函数。
尽管 Fomo3D 在 Etherscan 公开了源代码,但这并不代表它开源给任何人随意使用。
安比(SECBIT)实验室之前报道过:在 Fomo3D 爆红之后,各类山寨版 Fomo3D 层出不穷。之前这些山寨版游戏往往复制 Fomo3D 官网和合约源码,并可疑地在一些地方进行修改。而 Last Winner 在此基础上更进一步,推出移动客户端,并疯狂推广,却不公开智能合约源代码。
智能合约游戏或 DApp 的亮点之一就是公开透明。Last Winner 游戏则完全违背了这一点,动机十分可疑,参与该类游戏的风险极高!
当时严峻的形势是:一方面有多个地址疑似疯狂发起攻击交易,另一方面项目方游戏合约未公开源码,高度可疑却吸引了巨量资金。我们感觉到态势十分紧急,于是迅速开展分工合作。AnChain.ai 中美团队日夜交替分析和监控异常交易,收集证据,定位攻击来源与攻击规模。
安比(SECBIT)实验室的小伙伴们则兵分两路,分别开展对不透明游戏合约和黑客攻击手法的逆向分析。
前情回顾
类 Fomo3D 游戏空投机制存漏洞
Fomo3D 游戏参与形式是用以太币购买游戏道具,除了最后一个购买的人可以获得巨额大奖外,平时参与者还有机会获得“空投”奖励。
这里有主奖池和副奖池的概念,最终的巨额大奖和空投奖励分别从从主奖池和副奖池中获取。
所有进入游戏的以太币,有 1% 数量会进到副奖池。每一次购买道具都会有概率获得空投。空投的概率从 0% 开始,每增加一笔不小于 0.1 ETH 销售订单,空投概率会增加 0.1%。同时空投奖金额与购买金额也挂钩,如果购买 0.1 ~ 1 ETH,就有概率赢得 25% 副奖池奖金,购买更多则比例越大。
一进入游戏界面,就会看到鲜明提示,通知当前中奖概率和奖池金额。这一设计,原本是想增加游戏趣味性,并起到吸引资金入场、延长游戏时间的作用。但实际情况却并非如此。
通过观察 LastWinner 游戏合约以及部分地址的异常交易行为,我们心中有了初步答案。
让我们把时间退回到 20 多天前,早在 7 月 24 日,安比(SECBIT)实验室和派盾(PeckShield)科技分别同时预警:Fomo3D 游戏的智能合约存在随机数漏洞可被利用,Fomo3D 及所有抄袭源码的山寨合约均存在该安全漏洞 [2]。原本设计上随机性较大的空投游戏可通过特殊手段操纵,大大提高中奖概率。
经安比(SECBIT)实验室字节码智能扫描工具逆向分析,Last Winner 游戏空投奖励代码与 Fomo3D 基本一致,相似度达 91%,可能存在同样漏洞。随着游戏火爆进行,机敏的黑客肯定也闻风而动。
不能说的秘密
黑客制造秘密武器攫取高额收益
在区块链态势感知系统所展现出来的数据面前,我们不由地倒吸一口凉气。
图中的这些可疑地址,如同“病毒”一般紧紧缠绕在 Last Winner 合约四周,肆意吞噬着 Last Winner 内的资金。
我们观察到,图中紧靠 Last Winner 的这些地址,有着类似的行为模式。
如:
不停地往某合约地址上发起交易,同时附带 0.1 个以太币
不少交易状态为失败
成功的交易又会涉及大量“内部交易”
“内部交易”调用逻辑十分复杂,并伴随大量合约的创建和自毁
安比(SECBIT)实验室迅速得出初步结论:这些不明合约就是黑客用来攻击 Last Winner 的秘密武器,黑客正是通过这些合约,持续吸走 Last Winner 游戏内的以太币。
案发现场
大量类似交易,超高回报率
上面态势感知图中,占地面积最大的嫌疑地址引起了我们的注意:0xae58,于是从这个地址展开了追踪。
8 月 9 号当天,0xae58 地址内以太币余额就以超过 300 个,而当时他正在大量往地址 0x5483 上发起交易,每笔交易转账金额都是 0.1 Ether。显然,黑客正通过 0x5483 智能合约向 LW 发起攻击。
让我们观察下面这条状态显示为成功的交易。表面上看是 0xae58 向攻击合约 0x5483 转了 0.1 Ether,实际却涉及了一大堆地址间的相互转账,最终随着 0x7c77 合约自毁,0.189 个 Ether 转移回 0xae58 的账户中。
这十分神奇,攻击者投入 0.1 个以太币,最终收获 0.189 个,瞬间回报率高达 89%,简直暴利。
我们很快发现,除了 0xae58 地址外,还有四个地址也持续不断地向 0x5483 合约发起类似交易,持续获得高额回报。
而失败的交易,仅消耗 27712 燃料(Gas),成本损耗十分低。
研究目标立刻锁定为攻击合约 0x5483。由于无法获得源码,安比(SECBIT)实验室立刻使用内部工具展开逆向分析。
暴利
数据面前我们再次震惊
8 月 13 日,当我们沉浸在研究黑客的攻击合约各种细节优化和精巧设计之时,黑客攻击数据全景分析新鲜出炉。
其中,攻击获利最大的是以 0x820d 地址为首的团队。他们累计获利超过 5000 个以太币。AnChain.ai 团队和安比(SECBIT)实验室将该黑客团伙精确定位,并将其命名为 BAPT-LW20 (Blockchain APT – Last Winner)。
BAPT-LW20 团队在短短 6 天时间内,共发送将近 5 万笔交易,从中攫取 5194 个 Ether,获利价值将近 1200 万人民币。
由下图每小时发起的攻击交易数量趋势图(下图),我们可以看出攻击的高峰期发生在 8 月 8 日 ~ 10 日,每小时平均攫取将近 100 以太币,将近 22 万人民币。这正好也是 LW 游戏最火爆的时间段。随着游戏进入后期,入场资金急剧下降,收益降低,黑客也不得不也降低了攻击频率。
每小时发起的攻击交易数量
再看看黑客每小时攫取以太币数量趋势图(下图)。惨淡的漫漫熊市里,黑客却在狂赚以太币。
下图是“Last Winner 中黑客的交易量占比和攫取 ETH 占比”,可见黑客发送的交易量只占总交易量的 9.877%,但是去攫取了Last Winner奖金池中49%的奖金。黑客的娴熟攻击技能,为他们带来了普通玩家难以企及的好运,而普通玩家在这场游戏里面几乎很难获得空投奖励。
火线追凶
BAPT-LW20 团队攻击 LW 始末
安比(SECBIT)实验室尝试追踪复原 BAPT-LW20 团队攻击时间线。
下图是 BAPT-LW20 团队某账户余额变动情况。
0x820d 是 BAPT-LW20 团队所有攻击合约的部署者,也是攻击的实施者之一,可认为是 BAPT-LW20 团队的队长。0x820d 地址最早活跃于 7 月 20 日,账户中的初始以太币均由 0x73B6 地址转入。而 0x73B6 也是同一天开始活跃的新地址,它的初始以太币来自总部位于美国旧金山的 Kraken 交易所。
0x820d 在收到来自 0x73B6 的 10 个以太币后,随即部署了它的第一个合约。可能有些地方不太理想,他并没有继续使用该合约。三分钟后,0x820d 部署下了第二个合约,攻击对象是 Fomo3D。在一组准备工作设置、若干次失败的调用以及两次虽然成功但却没有收益的尝试过后,0x820d 应该是发现了攻击合约里的 bug 和优化空间。
在接下来的 14 个小时内,他依次部署了 8 个合约进行攻击测试,无奈都不成功。终于在第 9 个合约 0xBad7 中首次完成攻击,以 0.1 ETH 的投入换回了 0.125 ETH。
0xBad7 是 0x820d 团队首个可以正常工作的攻击合约,他们在 7 月 21 日至 7 月 23 日三天时间内总计调用该合约 11551 次,小有斩获。
7 月 23 日,0x820d 又部署了新的合约,将攻击对象转移为另一款 Fomo3D 山寨游戏老鼠会 RatScam (0x5167350d082c9ec48ed6fd4c694dea7361269705),0x820d 团队在一天时间内使用了 2299 次攻击合约。
一天后,0x820d 又找到了新目标,一个名为 FoMoGame(0x86D179c28cCeb120Cd3f64930Cf1820a88B77D60) 的山寨游戏,部署新合约(0xb599)进行攻击。这款游戏知名度不高,入场资金并不多,黑客调用了 126 次之后就放弃。
接下来的三天内,0x820d 前后部署了 10 个新合约进行优化与攻击测试。
终于,在 7 月 26 日上线了他们的新版攻击合约(0x5483)。该合约总共发生过 23835 笔交易,最近一次活跃时间在 8 月 10 号(7 天前)。这款攻击合约,可由攻击者 自定义受害游戏合约地址。因此 0x820d 在接下来的几天内,持续混合攻击 Fomo3D 原版、RatScam、FoMoGame 等游戏,并持续观察其他山寨游戏的动态,等待时机。同时,继续部署若干个新合约进行调优测试。
终于,8 月 6 日 Last Winner 游戏上线,24 小时后 0x820d 团队就使用准备好的 0x5483 合约,针对 Last Winner 发起第一次攻击,并在接下来的 4 天内集中力量,疯狂利用空投漏洞展开攻势。
8 月 10 日,0x820d 调用 0x5483 攻击合约 withdraw 接口,提走了里面的余额,攻击疑似暂停。
原来,他们早已经部署了新版合约攻击合约 0x9C10,又发起了超过 30000 笔交易,至今仍在活跃攻击。
不仅仅是空投
BAPT-LW20 黑客团队拿走 LW 最终大奖
北京时间 8 月 17 日上午,Last Winner 游戏第一轮最终结束,最终大奖由 0x5167 地址获得,奖金额总计 7,754 以太币。
而这个地址正是 BAPT-LW20 黑客团队的五个地址之一。
如下图,14 小时前,黑客还在利用攻击合约获取空投奖励。随后,他改变了方案,直接用自身地址购买道具参与游戏,不断尝试夺取最终大奖。在此之后,又继续调用合约攻击 LW 游戏。
安比(SECBIT)实验室猜测黑客潜伏很久,早已做好充分的准备,长时间利用脚本监控 LW 游戏状态,最终才能在众人放松警惕之时获得大奖。
BAPT-LW20 黑客团队利用空投漏洞获利超 5,194 Ether,同时又夺取最终大奖 7,754 Ether,累计获利 12,948 Ether。
同行相杀
Zethr 团队两天时间就成功利用漏洞
这场超大规模的类 Fomo3D 智能合约游戏被攻击事件,攻击者使用的秘密武器也正是智能合约。
据安比(SECBIT)实验室调查分析,0x20C9 地址最先成功利用原版 Fomo3D 空投漏洞并获取奖励。我们将他定位,并将其命名为 BAPT-LW10。
0x20C9 于 7 月 8 日 10 点 07 分创建了攻击合约 0xe7ce,在接下来的十分钟内,前后调用了三次,最终在第四次时成功获得奖励,投入 0.1 以太币,收回 0.19 个,回报率高达 90%(见下图)。
此后,0x20C9 继续部署多个攻击合约,进行调试优化。最终,在 7 月 23 日部署了最终版本 0x39ac 攻击合约,接下来的时间前后调用过 90 余次,而攻击对象涉及 Fomo3D 原版、Last Winner 以及其他山寨版 Fomo3D。
据我们观察,0x20C9 是最早研究并成功利用空投漏洞的黑客。研究过程中,安比(SECBIT)实验室发现 0x20C9 与另一款游戏 Zethr 密切关联。
最终我们在 Zethr 游戏合约代码中发现了他的身影。他是热门游戏 Zethr 的八位核心开发者之一,代号为 Etherguy。
显然,作为 DApp 游戏开发同行,Etherguy 以及他所在的 Zethr 团队很早就研究了 Fomo3D 项目代码。Fomo3D 合约 7 月 6 日部署上主网,Etherguy 两天后就发现并成功利用了漏洞。从调用规模来看,Etherguy (BAPT-LW10) 应该主要还是出于研究目的,并没有太多获利。
让其他黑客获利最多的正是 Last Winner 游戏。
游戏细节
Last Winner 为何让黑客如此疯狂
从最初 Fomo3D 上线后不久,空投漏洞就已被人发现并成功利用。随着游戏的广泛传播,以及该漏洞被逐渐披露,空投漏洞的攻击手段也在这一过程中不断升级进化,最终部分黑客团队完成了精巧的攻击方案,可低成本、高效率获得奖励,并可大规模工程化地攻击任意任何同类游戏合约,疯狂收割以太币。
据安比(SECBIT)实验室分析,除 LW 游戏以外,不少黑客团队都曾尝试攻击其他类 Fomo3D 游戏合约。但获利都远小于 BAPT-LW20 团队在 LW 游戏中所得。
我们试图从 LW 游戏本身寻找答案。
LW 游戏是 Fomo3D 山寨版,本身没有太多创新,但入场资金完全集中在游戏开始后的第 2 天至第 5 天内。巨量入场资金,会让游戏空投奖池迅速累积,因此这段时间也是黑客攻击的黄金时机。
更要命的是,Last Winner 团队修改了空投游戏参数,使进入副奖池(空投奖池)的以太币比例由 1% 调整到 10%,相当于空投奖励金高了 10 倍!
一方面,游戏运营团队可能是利用高额空投奖励吸引用户疯狂加入;另一方面,他们可能并不知道空投漏洞的严重性,而提高奖励比例则会让该问题进一步放大。
Last Winner 游戏简直成为了黑客的提款机!
特别地,前面提到 Last Winner 游戏第一轮入场资金已达 10 万以太币,这也就是说,单单这一款游戏就有超过 1 万个以太币都持续暴露在被攻击的风险下,成为黑客的囊中之物。要知道,这款游戏第一轮最终奖池也才 1.6 万余以太币。本来空投奖励都是很小的金额,但黑客持续利用空投漏洞,积少成多,终成 Last Winner 最大赢家。
我们追踪到有多个团队对 Fomo3D 及山寨合约开展大规模自动化攻击,企图攫取利益。
而 BAPT-LW20 团队在游戏开始后 24 小时左右就加入了战局,并迅速扩大作战规模,最终占得先机,获取巨额收益。
安比(SECBIT)实验室追踪到还有其他黑客团队向 Last Winner 合约开展攻击。部分黑客 8 月 11 号以后才入局,虽规模也很大,但终究因为错过黄金时机而获利较少。
攻击合约
设计复杂又精巧
攻击合约 0x5483,创建于 7 月 26 日,创建者为 0x820D,同时也是持续调用攻击合约的五个地址之一。
起初,攻击合约的创建时间让我们感到疑惑,前面提到 LW 游戏合约于 8 月 6 日才部署上主网。难道 0x820D 可以未卜先知,或者他与项目方有什么不可告人的秘密?
带着这个疑问,我们尝试从合约 0x5483 的代码(字节码)中寻找答案。
经过逆向发现,该合约有七个公开函数,其中一个疑似函数名是 withdraw(uint256),用于将攻击合约中积累的以太币转走。
安比(SECBIT)实验室在字节码中发现了上面提到的五个地址。原来这两个函数都会跳转到同一个内部函数,检查交易发起人是否是这五人地址之一。如果是,则可继续执行,如果不是,则提前让交易失败。
这也解释了为什么偏偏是这五个地址一直在调用攻击合约。因为他们是一个团队,合约特地为他们而设计,而其他人根本无法正常调用。
初步猜测,攻击合约这么设计是为了分散权限和资金,降低出问题或被发现的风险。
上图正是一笔攻击交易的传入参数。第一部分是调用函数哈希 ID,后面跟着三个参数。注意看第一个参数,攻击者传入的明显是一个地址。显然,这个地址正是 LW 游戏合约地址。
原来如此,攻击目标对象可以作为参数传入。“黑客真机智!”,我们不由地感慨。之前的一个困惑被解开,早在 LW 游戏上线前就已部署好的攻击合约 0x5483,其实是一个通用型武器。
继续研究,接下来合约的复杂程度出乎我们意料。我们沿着生成的控制流程图(CFG)追踪合约函数调用过程,程序指令以及分支情况非常之多(下图是一小部分截图),让人难以完全跟上。
安比(SECBIT)实验室使用动态追踪调试技术,结合逆向分析结果与攻击交易内部记录,搞清楚了黑客所使用的手法。
其他攻击交易也都是类似的过程,黑客调用攻击合约,攻击合约再调用提前创建好的合约,进而创建新的合约,以新合约的身份参与 LW 游戏,买游戏道具,然后几乎必定获得空投奖励。
这一过程中不断新建的合约,就是态势感知系统中预警的大量异常合约创建与自毁。
追踪攻击合约调用历史,发现攻击者在部署完攻击合约后,就立即多次调用特定函数,每次新建 10 个新合约。而函数总共恰好调用了 100 次,因此新建了 1000 个新合约(记住这个细节)。
在攻击交易中,攻击合约最先调用的就是这预先创建好的 1000 个合约之一,似乎是特地从中挑选出来一个地址。
智能合约
一切皆可预测
攻击函数控制流程图(CFG)中一个相隔很远的循环引起了我们的注意。
我们恍然大悟。攻击函数所做的就是不断循环地在 1000 个合约中,挑选“合适”的地址来完成下一步新建合约操作。所谓“合适”的地址,就是指能确保每次参与游戏都能获得空投奖励。
前面提到,以太坊智能合约中可以很容易的预测随机数,因为随机数的来源都是区块或者交易中特定的一些公开参数,如交易发起者地址、区块时间戳、区块难度等等。因此空投游戏利用随机数来控制中奖概率是不可行的。
而这里,黑客利用了另一个以太坊的特征,一个地址(账户)创建一个合约,合约地址是可按照特定规则计算得到的,任何人都可以根据已知信息进行推算。
因此,黑客循环利用自己控制的 1000 个合约地址,推算各地址下一次新建的合约地址,而该地址恰恰是空投游戏中奖数字的随机源。攻击合约通过一系列预演推算来筛选出“合适”的地址来完成攻击操作(技术细节后文会详细讨论)。
这才是黑客能够以超高概率获得空投的真正原因!
技术流
攻击手法细节披露
类 Fomo3D 游戏空投漏洞的根本原因在于,以太坊智能合约环境中难以生成无法预测的随机数。而 Fomo3D 开发者在其合约中增加了「判断调用者是普通人类还是合约」的逻辑来尝试规避,但此逻辑实现存在漏洞。黑客利用攻击合约提前预测随机数,并通过在构造函数内调用游戏合约的方法来伪装成普通人类(非合约)地址,从而大大增加自身中奖概率。
时间再次回到 7 月 23 日,以太坊基金会开发团队负责人之一 Péter Szilágyi 在 Reddit 上首次公开爆出这个漏洞并给出 1.0 版本的 POC 方案(详细可以参考引文 [3])。这主要是利用了这些特点:
空投游戏用来控制中奖概率的随机源,可被提前获得
用户能否获得空投奖励以及奖励金额,可在另外一个合约中提前计算出来,从而决定后面的操纵逻辑
Fomo3D 空投机制中尝试限制只有非合约地址(普通人类)才能参加游戏以防止上述情况的发生。但该判断方法存在漏洞,在构造合约的过程中(即合约构造方法里)参与游戏即可绕过该限制。
因此攻击者可以部署一个智能合约,并在合约的构造方法中计算出自己是否能够获益,如果能则投入以太币参加游戏空投获利,否则就不参加(参见下图)。
Péter 提出的这个方案只是一个最简单的原型,因为每次部署合约都要消耗不少 Gas,而且工作效率很低且收益率并不高,采用该方案攻击,发起上千笔交易,都不一定能够真正获得空投奖励。
看到这里你可能会有疑问,上文的攻击者似乎手法更高明,而且实际成功攻击的发生时间要早得多。
Zethr 开发者 Etherguy 早在 7 月 8 日就已使用更高明的手法成功获利,解决了上文 1.0 方案中的部分问题,我们姑且称之为 2.0 版本。
这个思路是通过合约循环创建子合约(参见下图),直到子合约满足空投条件可以获利为止。这样做的好处是,在 Gas 充足的情况下,每次调用合约几乎一定可以获得收益,提高了工作效率。然而这种方案和 1.0 版本的攻击成本接近,并没有从本质上提高收益率。
而这次事件的最大获利者 BAPT-LW20 团队,就是在 2.0 版本的思路上进行了进一步优化降低了投入成本,提高了收益率。 3.0 版本则疯狂创建代理合约,通过利用计算下一步新建合约地址的技巧提前预判,筛选出符合条件的代理合约再创建出新的子合约,在子合约的构造函数中再完成上述攻击(见下图)。而且攻击目标地址可配置,可多人同时协作攻击。当游戏奖池金额不足以覆盖攻击成本时,发出的攻击交易会自动提前失败,仅消耗很低的 Gas 费用。
在分析各类攻击合约过程中,我们还见到另外一种更高明的做法:主攻击合约有着良好的设计模型,支持核心算法动态替换与升级。原理上则是利用了 delegatecall 进行操作。安比(SECBIT)实验室会持续关注这批黑客的动向。
彩蛋一
空投与挖矿
我们知道在 PoW 挖矿的时候,矿工通常需要进行如下计算:
BlockHash = Hash(Header+Nonce)
Check(BlockHash < Diff)
当 BlockHash 结果小于当前难度值的时候,代表找到了一个合法的 Nonce。
在 Fomo3D 的空投奖励里有着类似挖矿的机制:
function airdrop() private view returns(bool)
{
uint256 seed = uint256(keccak256(abi.encodePacked(
(block.timestamp).add
(block.difficulty).add
((uint256(keccak256(abi.encodePacked(block.coinbase)))) / (now)).add
(block.gaslimit).add
((uint256(keccak256(abi.encodePacked(msg.sender)))) / (now)).add
(block.number))));
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
else
return(false);
}
用户唯一可以操纵的就是 msg.sender 字段,我们是否可以将 msg.sender 作为 Nonce 来挖矿呢?
答案显然是可以的,智能合约的地址是根据 发起者账户 + nonce 决定的,于是有了第 1 代方法:
创建合约
用户(地址+nonce0) --------------------> 新合约(尝试攻击)
用户(地址+nonce1) --------------------> 新合约(尝试攻击)
用户(地址+nonce2) --------------------> 新合约(尝试攻击)
用户(地址+nonce3) --------------------> 新合约(尝试攻击)
但是这种方式需要用户持续部署合约,消耗的矿工费代价非常大,且成功率极低,每次都是以 1/1000 的中奖概率在尝试。
由于第 1 代惊人的失败率,显然无法利用,于是有了第 2 代攻击方法:
这种方法的主要思想是,合约创建的新合约地址由 合约地址+nonce 确定:
部署合约 |------------------| hash(caddr, nonce)
用户 ----------> |循环创建合约, | -------> 新合约(尝试攻击)
|直到攻击成功或到达终 | -------> 新合约(尝试攻击)
|止条件才停止,可能需 | -------> 新合约(尝试攻击)
|要部署大量合约。 | -------> 新合约(尝试攻击)
|----------------- |
这种方式类似于挖矿,固定区块头部,不断修改 nonce 来试探能否成功获得奖励,但是问题在于,如果在循环第 1000 次才发现合法的 nonce,那么意味着之前部署的 999 个合约都属于浪费 Gas 的操作。
那么如何更高效地寻找合法的 nonce 呢?
我们回想比特币挖矿,一个挖矿任务中,不仅有 nonce,还有 extraNonce [4]。
在比特币区块的 Coinbase 字段中,有一个自由修改的区域,修改这个区域会导致 MerkleRoot 被修改,从而实现 Header 被修改,具有 nonce 的效果,因此被称作 extraNonce。
为什么需要引入 extraNonce 呢?原因在于 nonce 为 32 bit 数字,搜索范围只有 2^32,矿机几乎一瞬间就遍历完了,通过不断修改 extraNonce 来扩大本地搜索范围,我们甚至可以不修改 nonce 只修改 extraNonce 来挖矿。
也许黑客也想到了这一点,他们通过提前部署 1000 个代理合约来实现有 1000 个 extraNonce 的效果。
至此,攻击方法升级到了第 3 代:
部署合约
用户 --------------------------------------> 管理合约 C
调用合约C,预先创建代理合约(extraNonce)
用户 --------------------------------------> 1000个代理合约
调用合约C,循环尝试可以成功攻击的代理合约
用户 --------------------------------------> 部署合约(尝试攻击)
显而易见,这种攻击方式同时实现了 2 个效果:
提升了攻击成功率
减少了攻击合约部署数量,大大减少了 Gas 消耗。
彩蛋二
黑客预先创建的合约数量与中奖概率
前文提到黑客预先部署 1000 个代理合约,这个数字有什么讲究呢?
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
seed 经由一系列以太坊链上环境以及多次 Hash 运算得出。Hash 结果对 1000 取余数,可以得到 0~999 的伪随机数。
我们假设哈希输出结果是均匀的,并且哈希是抗碰撞的,那么平均每次中奖的概率为 1/1000。
模拟结果:
公式运算结果:
尽管更多合约能够提供更高的中奖概率,但是需要考虑到 Gas 消耗与 Gas Limit 等因素,不宜过大。
安比(SECBIT)实验室认为黑客选择部署 1000 个合约,是根据概率代码 1/1000 想当然做出的判断。
彩蛋三
黑客可能利用了空投概率计算的另一个bug
黑客仍然需要更高效地攫取利润,他们甚至“发现”了 Fomo3D 空投规则在这种攻击方式下暴露出的缺陷。
攻击合约需要在最开始获取空投奖励信息,作为后续操作的依据。因此,攻击合约会先依次调用游戏合约的两个查询接口,分别是 0xd87574e0 airDropPot_() 和 0x11a09ae7 airDropTracker_()。
Fomo3D 空投奖励的 airDropTracker_ 计算方式为如下方法:
if (_eth >= 100000000000000000)
{
airDropTracker_++;
if (airdrop() == true)
{...}
}
Fomo3D 判断是否能中空投奖励使用了如下方法:
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
根据我们分析,0x820d 后期更新的攻击合约直接去除了对 airDropTracker_ 的判断,但这样做其实有利有弊。
如果你了解细节,猜出了黑客的用意,或者知晓这种做法的优缺点,欢迎添加小安同学微信(secbit_xiaoanbi),她会把你加入到「SECBIT 智能合约安全技术讨论」的群里。
尾声
下一个是谁?
8 月 14 日,BAPT-LW20 黑客团队的 0x820d 再次部署了两个新版攻击合约,这一次他们将炮筒又对准了另一款一天前新部署的不知名合约。
望着大屏幕上 AnChain.ai 态势感知态势感知平台不断闪烁的红点,安比(SECBIT)实验室和 AnChain.ai 都很清楚,区块链世界里的战役还远远没有结束。
2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。但与所有的生态系统一样,新世界有生命,就有捕食者。有交易者,就有黑客。区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。意料之外,也在意料之中。
BAPT-LW20 & BAPT-F3D 大事件时间表:
2018/07/06 Fomo3D 游戏合约上线
2018/07/08 Zethr 核心开发者 Etherguy 发现并利用空投漏洞
2018/07/20 Fomo3D 游戏在国内走红
2018/07/20 BAPT-LW20 黑客团队地址开始活跃
2018/07/21 BAPT-LW20 团队第一次成功利用 Fomo3D 空投漏洞
2018/07/23 BAPT-LW20 团队攻击山寨游戏⽼鼠会 RatScam
2018/07/23 Péter 在 Reddit 爆料 Fomo3D 空投漏洞
2018/07/24 安比(SECBIT)实验室发布 Fomo3D 及山寨版游戏空投漏洞预警
2018/07/24 BAPT-LW20 黑客团队攻击 FoMoGame
2018/07/26 BAPT-LW20 黑客团队部署新版攻击合约 0x5483
2018/08/06 类 Fomo3D 游戏 Last Winner 上线
2018/08/07 LW 游戏开始火爆
2018/08/07 BAPT-LW20 黑客团队开始攻击 LW 游戏
2018/08/09 以太坊未确认交易数创年内新高
2018/08/10 凌晨 AnChain.ai 态势感知系统发出预警
2018/08/10 安比(SECBIT)实验室与 AnChain.ai 联手开展调查
2018/08/10 BAPT-LW20 黑客团队转移旧合约中资金,使用新版合约继续开展攻击
2018/08/11 完成 BAPT-LW20 攻击时间线复原
2018/08/12 完成 BAPT-LW20 攻击手法复原
2018/08/13 针对更多攻击源分析
2018/08/13 完成 BAPT-F3D 和 BAPT-LW20 攻击数据全景分析,黑客获利超 5000 Ether
2018/08/14 BAPT-LW20 黑客团队再次部署新版攻击合约,开始攻击一个不知名合约
2018/08/17 BAPT-LW20 黑客团队夺取 LW 最终大奖 7754 Ether
2018/08/17 安比(SECBIT)实验室完成 BAPT-LW20 攻击事件报告
参考文献
[1] 区块律动:8万笔交易「封死」以太坊网络,只为抢夺Fomo3D大奖?https://mp.weixin.qq.com/s/5nrgj8sIZ0SlXebG5sWVPw
[2] Pwning Fomo3D Revealed: Iterative, Pre-Calculated Contract Creation For Airdrop Prizes!, https://peckshield.com/2018/07/24/fomo3d/
[3] Péter Szilágyi 提出的空投漏洞利用 POC,https://www.reddit.com/r/ethereum/comments/916xni/how_to_pwn_fomo3d_a_beginners_guide/, 2018/07/23
[4] AsicBoost - A Speedup for Bitcoin Mining, https://arxiv.org/pdf/1604.00575.pdf, 2016/03/31
作者:安比(SECBIT)实验室 & AnChain.ai 查看全部
Last Winner(类 Fomo3D)游戏大火,导致以太坊异常拥堵,Gas 费用暴涨。大量以太币资金入场。
北京时间 2018 年 8 月 10 日凌晨 1:38,加州时间 9 日上午 10:38,安比(SECBIT)实验室收到合作伙伴美国硅谷 AnChain.ai 公司消息,基于 AI 的态势感知系统发出预警信息,发现部分游戏合约出现大量交易并且存在异常的资金流动情况。安比(SECBIT)实验室的小伙伴赶紧根据最新线索,对相关合约和交易进行观察、跟踪、分析。
安比(SECBIT)实验室由中国科学技术大学博士郭宇创建,从密码学、代码语义、形式化验证、博弈论、编译器等多种理论角度切入,在智能合约安全技术上开展全方位深入研究。
AnChain.ai 由辛辛那提大学计算机博士方春生 Victor Fang 创建,方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家,负责 AI 产品研发。AnChain.ai 专注安全威胁情报、区块链态势感知,凭借 AI 技术助力区块链生态安全。
下文敏感地址只保留前 4 位。片尾有三个彩蛋,智能合约爱好者请不要错过。
悄然上线
莫名火爆的 Last Winner
Last Winner 是一款基于以太坊智能合约的 DApp 游戏,于 8 月 6 日上线,这款游戏一经推出,就“异常”火爆。
这款游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C。据 Etherscan 显示,短短六天时间内,该游戏合约就已产生 27 万余笔交易。甚至前段时间以太坊网络大拥堵也与 Last Winner 游戏密切相关。8 月 8 日 和 9 日,在 Last Winner 和 Fomo3D 超大规模交易量的共同作用下,以太坊未确认交易数量创年内新高,平均 Gas 费用一度飙升至正常 10 倍以上。
该游戏第一轮奖池金额为 1.6 万多个以太币,而玩家总投资额更超过 10 万以太币,资金量巨大。目前游戏第一轮已结束,第二轮奖金池已迅速累积至 7000 多以太币。
疯狂的现象级游戏背后暗流涌动。
疑团重重
前期大量参与者的资金来历不明
据知名媒体「区块律动」报道,Last Winner 由名为「蚁群传播」的资金盘传销组织推广运营,有着数量众多的会员和极强的推广拉下线能力 [1]。而据另一款火爆游戏 Fomo3D 开发团队称,Last Winner 是仿 Fomo3D 游戏,其背后运营团队准备了 20 万 ETH 来进行自动刷量交易。因此,Last Winner 游戏火爆的背后,可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造活跃假象,吸引新韭菜入场。
Last Winner 游戏合约存在大量非正常交易,并且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大,这引起了我们的高度警惕。
疯狂推广
只面向国人,合约源码却从未公开
在各大论坛、媒体、以及微信群中,都可以见到 Last Winner 游戏的推广文章,而这些文章有着类似的描述,并且都附上推广邀请码。但 Last Winner 英文相关资料非常少。
显然,这是一款针对中国人的游戏,有着诱人的推广(拉下线)奖励,因此在网络上广为传播。并且,这款游戏有适配安卓和 iPhone 手机的 App,简化了使用操作,降低了参与门槛。
但是,十分可疑的是,作为一款基于智能合约的区块链游戏,Last Winner 居然没有公开合约源代码!这是一个非常危险的信号。为何这样一个游戏能这么火爆,吸引这么多人参加?
我们直觉上感到这款游戏到处透露着诡异的气息。
安全性存疑
实则是 Fomo3D 山寨版
Last Winner 官方宣传语写道:
Last Winner(LW)是首款完全去中心化的类 Fomo3D 游戏 DApp,完全基于以太坊智能合约原生开发。只要下载安装 App 就可参与游戏。
类 Fomo3D 游戏,且未公开源代码,这不得不让人产生怀疑。要知道,短短时间内原创开发一个好玩又安全的 DApp 游戏难度非常大。
安比(SECBIT)实验室迅速使用内部工具逆向分析了 Last Winner 的合约代码(字节码)。果不其然,这款游戏合约代码函数名称与 Fomo3D 高度相似,疑似直接拷贝(抄袭)了 Fomo3D 的源码,但却又新增了 10 余个可疑未知函数。
尽管 Fomo3D 在 Etherscan 公开了源代码,但这并不代表它开源给任何人随意使用。
安比(SECBIT)实验室之前报道过:在 Fomo3D 爆红之后,各类山寨版 Fomo3D 层出不穷。之前这些山寨版游戏往往复制 Fomo3D 官网和合约源码,并可疑地在一些地方进行修改。而 Last Winner 在此基础上更进一步,推出移动客户端,并疯狂推广,却不公开智能合约源代码。
智能合约游戏或 DApp 的亮点之一就是公开透明。Last Winner 游戏则完全违背了这一点,动机十分可疑,参与该类游戏的风险极高!
当时严峻的形势是:一方面有多个地址疑似疯狂发起攻击交易,另一方面项目方游戏合约未公开源码,高度可疑却吸引了巨量资金。我们感觉到态势十分紧急,于是迅速开展分工合作。AnChain.ai 中美团队日夜交替分析和监控异常交易,收集证据,定位攻击来源与攻击规模。
安比(SECBIT)实验室的小伙伴们则兵分两路,分别开展对不透明游戏合约和黑客攻击手法的逆向分析。
前情回顾
类 Fomo3D 游戏空投机制存漏洞
Fomo3D 游戏参与形式是用以太币购买游戏道具,除了最后一个购买的人可以获得巨额大奖外,平时参与者还有机会获得“空投”奖励。
这里有主奖池和副奖池的概念,最终的巨额大奖和空投奖励分别从从主奖池和副奖池中获取。
所有进入游戏的以太币,有 1% 数量会进到副奖池。每一次购买道具都会有概率获得空投。空投的概率从 0% 开始,每增加一笔不小于 0.1 ETH 销售订单,空投概率会增加 0.1%。同时空投奖金额与购买金额也挂钩,如果购买 0.1 ~ 1 ETH,就有概率赢得 25% 副奖池奖金,购买更多则比例越大。
一进入游戏界面,就会看到鲜明提示,通知当前中奖概率和奖池金额。这一设计,原本是想增加游戏趣味性,并起到吸引资金入场、延长游戏时间的作用。但实际情况却并非如此。
通过观察 LastWinner 游戏合约以及部分地址的异常交易行为,我们心中有了初步答案。
让我们把时间退回到 20 多天前,早在 7 月 24 日,安比(SECBIT)实验室和派盾(PeckShield)科技分别同时预警:Fomo3D 游戏的智能合约存在随机数漏洞可被利用,Fomo3D 及所有抄袭源码的山寨合约均存在该安全漏洞 [2]。原本设计上随机性较大的空投游戏可通过特殊手段操纵,大大提高中奖概率。
经安比(SECBIT)实验室字节码智能扫描工具逆向分析,Last Winner 游戏空投奖励代码与 Fomo3D 基本一致,相似度达 91%,可能存在同样漏洞。随着游戏火爆进行,机敏的黑客肯定也闻风而动。
不能说的秘密
黑客制造秘密武器攫取高额收益
在区块链态势感知系统所展现出来的数据面前,我们不由地倒吸一口凉气。
图中的这些可疑地址,如同“病毒”一般紧紧缠绕在 Last Winner 合约四周,肆意吞噬着 Last Winner 内的资金。
我们观察到,图中紧靠 Last Winner 的这些地址,有着类似的行为模式。
如:
不停地往某合约地址上发起交易,同时附带 0.1 个以太币
不少交易状态为失败
成功的交易又会涉及大量“内部交易”
“内部交易”调用逻辑十分复杂,并伴随大量合约的创建和自毁
安比(SECBIT)实验室迅速得出初步结论:这些不明合约就是黑客用来攻击 Last Winner 的秘密武器,黑客正是通过这些合约,持续吸走 Last Winner 游戏内的以太币。
案发现场
大量类似交易,超高回报率
上面态势感知图中,占地面积最大的嫌疑地址引起了我们的注意:0xae58,于是从这个地址展开了追踪。
8 月 9 号当天,0xae58 地址内以太币余额就以超过 300 个,而当时他正在大量往地址 0x5483 上发起交易,每笔交易转账金额都是 0.1 Ether。显然,黑客正通过 0x5483 智能合约向 LW 发起攻击。
让我们观察下面这条状态显示为成功的交易。表面上看是 0xae58 向攻击合约 0x5483 转了 0.1 Ether,实际却涉及了一大堆地址间的相互转账,最终随着 0x7c77 合约自毁,0.189 个 Ether 转移回 0xae58 的账户中。
这十分神奇,攻击者投入 0.1 个以太币,最终收获 0.189 个,瞬间回报率高达 89%,简直暴利。
我们很快发现,除了 0xae58 地址外,还有四个地址也持续不断地向 0x5483 合约发起类似交易,持续获得高额回报。
而失败的交易,仅消耗 27712 燃料(Gas),成本损耗十分低。
研究目标立刻锁定为攻击合约 0x5483。由于无法获得源码,安比(SECBIT)实验室立刻使用内部工具展开逆向分析。
暴利
数据面前我们再次震惊
8 月 13 日,当我们沉浸在研究黑客的攻击合约各种细节优化和精巧设计之时,黑客攻击数据全景分析新鲜出炉。
其中,攻击获利最大的是以 0x820d 地址为首的团队。他们累计获利超过 5000 个以太币。AnChain.ai 团队和安比(SECBIT)实验室将该黑客团伙精确定位,并将其命名为 BAPT-LW20 (Blockchain APT – Last Winner)。
BAPT-LW20 团队在短短 6 天时间内,共发送将近 5 万笔交易,从中攫取 5194 个 Ether,获利价值将近 1200 万人民币。
由下图每小时发起的攻击交易数量趋势图(下图),我们可以看出攻击的高峰期发生在 8 月 8 日 ~ 10 日,每小时平均攫取将近 100 以太币,将近 22 万人民币。这正好也是 LW 游戏最火爆的时间段。随着游戏进入后期,入场资金急剧下降,收益降低,黑客也不得不也降低了攻击频率。
每小时发起的攻击交易数量
再看看黑客每小时攫取以太币数量趋势图(下图)。惨淡的漫漫熊市里,黑客却在狂赚以太币。
下图是“Last Winner 中黑客的交易量占比和攫取 ETH 占比”,可见黑客发送的交易量只占总交易量的 9.877%,但是去攫取了Last Winner奖金池中49%的奖金。黑客的娴熟攻击技能,为他们带来了普通玩家难以企及的好运,而普通玩家在这场游戏里面几乎很难获得空投奖励。
火线追凶
BAPT-LW20 团队攻击 LW 始末
安比(SECBIT)实验室尝试追踪复原 BAPT-LW20 团队攻击时间线。
下图是 BAPT-LW20 团队某账户余额变动情况。
0x820d 是 BAPT-LW20 团队所有攻击合约的部署者,也是攻击的实施者之一,可认为是 BAPT-LW20 团队的队长。0x820d 地址最早活跃于 7 月 20 日,账户中的初始以太币均由 0x73B6 地址转入。而 0x73B6 也是同一天开始活跃的新地址,它的初始以太币来自总部位于美国旧金山的 Kraken 交易所。
0x820d 在收到来自 0x73B6 的 10 个以太币后,随即部署了它的第一个合约。可能有些地方不太理想,他并没有继续使用该合约。三分钟后,0x820d 部署下了第二个合约,攻击对象是 Fomo3D。在一组准备工作设置、若干次失败的调用以及两次虽然成功但却没有收益的尝试过后,0x820d 应该是发现了攻击合约里的 bug 和优化空间。
在接下来的 14 个小时内,他依次部署了 8 个合约进行攻击测试,无奈都不成功。终于在第 9 个合约 0xBad7 中首次完成攻击,以 0.1 ETH 的投入换回了 0.125 ETH。
0xBad7 是 0x820d 团队首个可以正常工作的攻击合约,他们在 7 月 21 日至 7 月 23 日三天时间内总计调用该合约 11551 次,小有斩获。
7 月 23 日,0x820d 又部署了新的合约,将攻击对象转移为另一款 Fomo3D 山寨游戏老鼠会 RatScam (0x5167350d082c9ec48ed6fd4c694dea7361269705),0x820d 团队在一天时间内使用了 2299 次攻击合约。
一天后,0x820d 又找到了新目标,一个名为 FoMoGame(0x86D179c28cCeb120Cd3f64930Cf1820a88B77D60) 的山寨游戏,部署新合约(0xb599)进行攻击。这款游戏知名度不高,入场资金并不多,黑客调用了 126 次之后就放弃。
接下来的三天内,0x820d 前后部署了 10 个新合约进行优化与攻击测试。
终于,在 7 月 26 日上线了他们的新版攻击合约(0x5483)。该合约总共发生过 23835 笔交易,最近一次活跃时间在 8 月 10 号(7 天前)。这款攻击合约,可由攻击者 自定义受害游戏合约地址。因此 0x820d 在接下来的几天内,持续混合攻击 Fomo3D 原版、RatScam、FoMoGame 等游戏,并持续观察其他山寨游戏的动态,等待时机。同时,继续部署若干个新合约进行调优测试。
终于,8 月 6 日 Last Winner 游戏上线,24 小时后 0x820d 团队就使用准备好的 0x5483 合约,针对 Last Winner 发起第一次攻击,并在接下来的 4 天内集中力量,疯狂利用空投漏洞展开攻势。
8 月 10 日,0x820d 调用 0x5483 攻击合约 withdraw 接口,提走了里面的余额,攻击疑似暂停。
原来,他们早已经部署了新版合约攻击合约 0x9C10,又发起了超过 30000 笔交易,至今仍在活跃攻击。
不仅仅是空投
BAPT-LW20 黑客团队拿走 LW 最终大奖
北京时间 8 月 17 日上午,Last Winner 游戏第一轮最终结束,最终大奖由 0x5167 地址获得,奖金额总计 7,754 以太币。
而这个地址正是 BAPT-LW20 黑客团队的五个地址之一。
如下图,14 小时前,黑客还在利用攻击合约获取空投奖励。随后,他改变了方案,直接用自身地址购买道具参与游戏,不断尝试夺取最终大奖。在此之后,又继续调用合约攻击 LW 游戏。
安比(SECBIT)实验室猜测黑客潜伏很久,早已做好充分的准备,长时间利用脚本监控 LW 游戏状态,最终才能在众人放松警惕之时获得大奖。
BAPT-LW20 黑客团队利用空投漏洞获利超 5,194 Ether,同时又夺取最终大奖 7,754 Ether,累计获利 12,948 Ether。
同行相杀
Zethr 团队两天时间就成功利用漏洞
这场超大规模的类 Fomo3D 智能合约游戏被攻击事件,攻击者使用的秘密武器也正是智能合约。
据安比(SECBIT)实验室调查分析,0x20C9 地址最先成功利用原版 Fomo3D 空投漏洞并获取奖励。我们将他定位,并将其命名为 BAPT-LW10。
0x20C9 于 7 月 8 日 10 点 07 分创建了攻击合约 0xe7ce,在接下来的十分钟内,前后调用了三次,最终在第四次时成功获得奖励,投入 0.1 以太币,收回 0.19 个,回报率高达 90%(见下图)。
此后,0x20C9 继续部署多个攻击合约,进行调试优化。最终,在 7 月 23 日部署了最终版本 0x39ac 攻击合约,接下来的时间前后调用过 90 余次,而攻击对象涉及 Fomo3D 原版、Last Winner 以及其他山寨版 Fomo3D。
据我们观察,0x20C9 是最早研究并成功利用空投漏洞的黑客。研究过程中,安比(SECBIT)实验室发现 0x20C9 与另一款游戏 Zethr 密切关联。
最终我们在 Zethr 游戏合约代码中发现了他的身影。他是热门游戏 Zethr 的八位核心开发者之一,代号为 Etherguy。
显然,作为 DApp 游戏开发同行,Etherguy 以及他所在的 Zethr 团队很早就研究了 Fomo3D 项目代码。Fomo3D 合约 7 月 6 日部署上主网,Etherguy 两天后就发现并成功利用了漏洞。从调用规模来看,Etherguy (BAPT-LW10) 应该主要还是出于研究目的,并没有太多获利。
让其他黑客获利最多的正是 Last Winner 游戏。
游戏细节
Last Winner 为何让黑客如此疯狂
从最初 Fomo3D 上线后不久,空投漏洞就已被人发现并成功利用。随着游戏的广泛传播,以及该漏洞被逐渐披露,空投漏洞的攻击手段也在这一过程中不断升级进化,最终部分黑客团队完成了精巧的攻击方案,可低成本、高效率获得奖励,并可大规模工程化地攻击任意任何同类游戏合约,疯狂收割以太币。
据安比(SECBIT)实验室分析,除 LW 游戏以外,不少黑客团队都曾尝试攻击其他类 Fomo3D 游戏合约。但获利都远小于 BAPT-LW20 团队在 LW 游戏中所得。
我们试图从 LW 游戏本身寻找答案。
LW 游戏是 Fomo3D 山寨版,本身没有太多创新,但入场资金完全集中在游戏开始后的第 2 天至第 5 天内。巨量入场资金,会让游戏空投奖池迅速累积,因此这段时间也是黑客攻击的黄金时机。
更要命的是,Last Winner 团队修改了空投游戏参数,使进入副奖池(空投奖池)的以太币比例由 1% 调整到 10%,相当于空投奖励金高了 10 倍!
一方面,游戏运营团队可能是利用高额空投奖励吸引用户疯狂加入;另一方面,他们可能并不知道空投漏洞的严重性,而提高奖励比例则会让该问题进一步放大。
Last Winner 游戏简直成为了黑客的提款机!
特别地,前面提到 Last Winner 游戏第一轮入场资金已达 10 万以太币,这也就是说,单单这一款游戏就有超过 1 万个以太币都持续暴露在被攻击的风险下,成为黑客的囊中之物。要知道,这款游戏第一轮最终奖池也才 1.6 万余以太币。本来空投奖励都是很小的金额,但黑客持续利用空投漏洞,积少成多,终成 Last Winner 最大赢家。
我们追踪到有多个团队对 Fomo3D 及山寨合约开展大规模自动化攻击,企图攫取利益。
而 BAPT-LW20 团队在游戏开始后 24 小时左右就加入了战局,并迅速扩大作战规模,最终占得先机,获取巨额收益。
安比(SECBIT)实验室追踪到还有其他黑客团队向 Last Winner 合约开展攻击。部分黑客 8 月 11 号以后才入局,虽规模也很大,但终究因为错过黄金时机而获利较少。
攻击合约
设计复杂又精巧
攻击合约 0x5483,创建于 7 月 26 日,创建者为 0x820D,同时也是持续调用攻击合约的五个地址之一。
起初,攻击合约的创建时间让我们感到疑惑,前面提到 LW 游戏合约于 8 月 6 日才部署上主网。难道 0x820D 可以未卜先知,或者他与项目方有什么不可告人的秘密?
带着这个疑问,我们尝试从合约 0x5483 的代码(字节码)中寻找答案。
经过逆向发现,该合约有七个公开函数,其中一个疑似函数名是 withdraw(uint256),用于将攻击合约中积累的以太币转走。
安比(SECBIT)实验室在字节码中发现了上面提到的五个地址。原来这两个函数都会跳转到同一个内部函数,检查交易发起人是否是这五人地址之一。如果是,则可继续执行,如果不是,则提前让交易失败。
这也解释了为什么偏偏是这五个地址一直在调用攻击合约。因为他们是一个团队,合约特地为他们而设计,而其他人根本无法正常调用。
初步猜测,攻击合约这么设计是为了分散权限和资金,降低出问题或被发现的风险。
上图正是一笔攻击交易的传入参数。第一部分是调用函数哈希 ID,后面跟着三个参数。注意看第一个参数,攻击者传入的明显是一个地址。显然,这个地址正是 LW 游戏合约地址。
原来如此,攻击目标对象可以作为参数传入。“黑客真机智!”,我们不由地感慨。之前的一个困惑被解开,早在 LW 游戏上线前就已部署好的攻击合约 0x5483,其实是一个通用型武器。
继续研究,接下来合约的复杂程度出乎我们意料。我们沿着生成的控制流程图(CFG)追踪合约函数调用过程,程序指令以及分支情况非常之多(下图是一小部分截图),让人难以完全跟上。
安比(SECBIT)实验室使用动态追踪调试技术,结合逆向分析结果与攻击交易内部记录,搞清楚了黑客所使用的手法。
其他攻击交易也都是类似的过程,黑客调用攻击合约,攻击合约再调用提前创建好的合约,进而创建新的合约,以新合约的身份参与 LW 游戏,买游戏道具,然后几乎必定获得空投奖励。
这一过程中不断新建的合约,就是态势感知系统中预警的大量异常合约创建与自毁。
追踪攻击合约调用历史,发现攻击者在部署完攻击合约后,就立即多次调用特定函数,每次新建 10 个新合约。而函数总共恰好调用了 100 次,因此新建了 1000 个新合约(记住这个细节)。
在攻击交易中,攻击合约最先调用的就是这预先创建好的 1000 个合约之一,似乎是特地从中挑选出来一个地址。
智能合约
一切皆可预测
攻击函数控制流程图(CFG)中一个相隔很远的循环引起了我们的注意。
我们恍然大悟。攻击函数所做的就是不断循环地在 1000 个合约中,挑选“合适”的地址来完成下一步新建合约操作。所谓“合适”的地址,就是指能确保每次参与游戏都能获得空投奖励。
前面提到,以太坊智能合约中可以很容易的预测随机数,因为随机数的来源都是区块或者交易中特定的一些公开参数,如交易发起者地址、区块时间戳、区块难度等等。因此空投游戏利用随机数来控制中奖概率是不可行的。
而这里,黑客利用了另一个以太坊的特征,一个地址(账户)创建一个合约,合约地址是可按照特定规则计算得到的,任何人都可以根据已知信息进行推算。
因此,黑客循环利用自己控制的 1000 个合约地址,推算各地址下一次新建的合约地址,而该地址恰恰是空投游戏中奖数字的随机源。攻击合约通过一系列预演推算来筛选出“合适”的地址来完成攻击操作(技术细节后文会详细讨论)。
这才是黑客能够以超高概率获得空投的真正原因!
技术流
攻击手法细节披露
类 Fomo3D 游戏空投漏洞的根本原因在于,以太坊智能合约环境中难以生成无法预测的随机数。而 Fomo3D 开发者在其合约中增加了「判断调用者是普通人类还是合约」的逻辑来尝试规避,但此逻辑实现存在漏洞。黑客利用攻击合约提前预测随机数,并通过在构造函数内调用游戏合约的方法来伪装成普通人类(非合约)地址,从而大大增加自身中奖概率。
时间再次回到 7 月 23 日,以太坊基金会开发团队负责人之一 Péter Szilágyi 在 Reddit 上首次公开爆出这个漏洞并给出 1.0 版本的 POC 方案(详细可以参考引文 [3])。这主要是利用了这些特点:
空投游戏用来控制中奖概率的随机源,可被提前获得
用户能否获得空投奖励以及奖励金额,可在另外一个合约中提前计算出来,从而决定后面的操纵逻辑
Fomo3D 空投机制中尝试限制只有非合约地址(普通人类)才能参加游戏以防止上述情况的发生。但该判断方法存在漏洞,在构造合约的过程中(即合约构造方法里)参与游戏即可绕过该限制。
因此攻击者可以部署一个智能合约,并在合约的构造方法中计算出自己是否能够获益,如果能则投入以太币参加游戏空投获利,否则就不参加(参见下图)。
Péter 提出的这个方案只是一个最简单的原型,因为每次部署合约都要消耗不少 Gas,而且工作效率很低且收益率并不高,采用该方案攻击,发起上千笔交易,都不一定能够真正获得空投奖励。
看到这里你可能会有疑问,上文的攻击者似乎手法更高明,而且实际成功攻击的发生时间要早得多。
Zethr 开发者 Etherguy 早在 7 月 8 日就已使用更高明的手法成功获利,解决了上文 1.0 方案中的部分问题,我们姑且称之为 2.0 版本。
这个思路是通过合约循环创建子合约(参见下图),直到子合约满足空投条件可以获利为止。这样做的好处是,在 Gas 充足的情况下,每次调用合约几乎一定可以获得收益,提高了工作效率。然而这种方案和 1.0 版本的攻击成本接近,并没有从本质上提高收益率。
而这次事件的最大获利者 BAPT-LW20 团队,就是在 2.0 版本的思路上进行了进一步优化降低了投入成本,提高了收益率。 3.0 版本则疯狂创建代理合约,通过利用计算下一步新建合约地址的技巧提前预判,筛选出符合条件的代理合约再创建出新的子合约,在子合约的构造函数中再完成上述攻击(见下图)。而且攻击目标地址可配置,可多人同时协作攻击。当游戏奖池金额不足以覆盖攻击成本时,发出的攻击交易会自动提前失败,仅消耗很低的 Gas 费用。
在分析各类攻击合约过程中,我们还见到另外一种更高明的做法:主攻击合约有着良好的设计模型,支持核心算法动态替换与升级。原理上则是利用了 delegatecall 进行操作。安比(SECBIT)实验室会持续关注这批黑客的动向。
彩蛋一
空投与挖矿
我们知道在 PoW 挖矿的时候,矿工通常需要进行如下计算:
BlockHash = Hash(Header+Nonce)
Check(BlockHash < Diff)
当 BlockHash 结果小于当前难度值的时候,代表找到了一个合法的 Nonce。
在 Fomo3D 的空投奖励里有着类似挖矿的机制:
function airdrop() private view returns(bool)
{
uint256 seed = uint256(keccak256(abi.encodePacked(
(block.timestamp).add
(block.difficulty).add
((uint256(keccak256(abi.encodePacked(block.coinbase)))) / (now)).add
(block.gaslimit).add
((uint256(keccak256(abi.encodePacked(msg.sender)))) / (now)).add
(block.number))));
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
else
return(false);
}
用户唯一可以操纵的就是 msg.sender 字段,我们是否可以将 msg.sender 作为 Nonce 来挖矿呢?
答案显然是可以的,智能合约的地址是根据 发起者账户 + nonce 决定的,于是有了第 1 代方法:
创建合约
用户(地址+nonce0) --------------------> 新合约(尝试攻击)
用户(地址+nonce1) --------------------> 新合约(尝试攻击)
用户(地址+nonce2) --------------------> 新合约(尝试攻击)
用户(地址+nonce3) --------------------> 新合约(尝试攻击)
但是这种方式需要用户持续部署合约,消耗的矿工费代价非常大,且成功率极低,每次都是以 1/1000 的中奖概率在尝试。
由于第 1 代惊人的失败率,显然无法利用,于是有了第 2 代攻击方法:
这种方法的主要思想是,合约创建的新合约地址由 合约地址+nonce 确定:
部署合约 |------------------| hash(caddr, nonce)
用户 ----------> |循环创建合约, | -------> 新合约(尝试攻击)
|直到攻击成功或到达终 | -------> 新合约(尝试攻击)
|止条件才停止,可能需 | -------> 新合约(尝试攻击)
|要部署大量合约。 | -------> 新合约(尝试攻击)
|----------------- |
这种方式类似于挖矿,固定区块头部,不断修改 nonce 来试探能否成功获得奖励,但是问题在于,如果在循环第 1000 次才发现合法的 nonce,那么意味着之前部署的 999 个合约都属于浪费 Gas 的操作。
那么如何更高效地寻找合法的 nonce 呢?
我们回想比特币挖矿,一个挖矿任务中,不仅有 nonce,还有 extraNonce [4]。
在比特币区块的 Coinbase 字段中,有一个自由修改的区域,修改这个区域会导致 MerkleRoot 被修改,从而实现 Header 被修改,具有 nonce 的效果,因此被称作 extraNonce。
为什么需要引入 extraNonce 呢?原因在于 nonce 为 32 bit 数字,搜索范围只有 2^32,矿机几乎一瞬间就遍历完了,通过不断修改 extraNonce 来扩大本地搜索范围,我们甚至可以不修改 nonce 只修改 extraNonce 来挖矿。
也许黑客也想到了这一点,他们通过提前部署 1000 个代理合约来实现有 1000 个 extraNonce 的效果。
至此,攻击方法升级到了第 3 代:
部署合约
用户 --------------------------------------> 管理合约 C
调用合约C,预先创建代理合约(extraNonce)
用户 --------------------------------------> 1000个代理合约
调用合约C,循环尝试可以成功攻击的代理合约
用户 --------------------------------------> 部署合约(尝试攻击)
显而易见,这种攻击方式同时实现了 2 个效果:
提升了攻击成功率
减少了攻击合约部署数量,大大减少了 Gas 消耗。
彩蛋二
黑客预先创建的合约数量与中奖概率
前文提到黑客预先部署 1000 个代理合约,这个数字有什么讲究呢?
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
seed 经由一系列以太坊链上环境以及多次 Hash 运算得出。Hash 结果对 1000 取余数,可以得到 0~999 的伪随机数。
我们假设哈希输出结果是均匀的,并且哈希是抗碰撞的,那么平均每次中奖的概率为 1/1000。
模拟结果:
公式运算结果:
尽管更多合约能够提供更高的中奖概率,但是需要考虑到 Gas 消耗与 Gas Limit 等因素,不宜过大。
安比(SECBIT)实验室认为黑客选择部署 1000 个合约,是根据概率代码 1/1000 想当然做出的判断。
彩蛋三
黑客可能利用了空投概率计算的另一个bug
黑客仍然需要更高效地攫取利润,他们甚至“发现”了 Fomo3D 空投规则在这种攻击方式下暴露出的缺陷。
攻击合约需要在最开始获取空投奖励信息,作为后续操作的依据。因此,攻击合约会先依次调用游戏合约的两个查询接口,分别是 0xd87574e0 airDropPot_() 和 0x11a09ae7 airDropTracker_()。
Fomo3D 空投奖励的 airDropTracker_ 计算方式为如下方法:
if (_eth >= 100000000000000000)
{
airDropTracker_++;
if (airdrop() == true)
{...}
}
Fomo3D 判断是否能中空投奖励使用了如下方法:
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
根据我们分析,0x820d 后期更新的攻击合约直接去除了对 airDropTracker_ 的判断,但这样做其实有利有弊。
如果你了解细节,猜出了黑客的用意,或者知晓这种做法的优缺点,欢迎添加小安同学微信(secbit_xiaoanbi),她会把你加入到「SECBIT 智能合约安全技术讨论」的群里。
尾声
下一个是谁?
8 月 14 日,BAPT-LW20 黑客团队的 0x820d 再次部署了两个新版攻击合约,这一次他们将炮筒又对准了另一款一天前新部署的不知名合约。
望着大屏幕上 AnChain.ai 态势感知态势感知平台不断闪烁的红点,安比(SECBIT)实验室和 AnChain.ai 都很清楚,区块链世界里的战役还远远没有结束。
2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。但与所有的生态系统一样,新世界有生命,就有捕食者。有交易者,就有黑客。区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。意料之外,也在意料之中。
BAPT-LW20 & BAPT-F3D 大事件时间表:
2018/07/06 Fomo3D 游戏合约上线
2018/07/08 Zethr 核心开发者 Etherguy 发现并利用空投漏洞
2018/07/20 Fomo3D 游戏在国内走红
2018/07/20 BAPT-LW20 黑客团队地址开始活跃
2018/07/21 BAPT-LW20 团队第一次成功利用 Fomo3D 空投漏洞
2018/07/23 BAPT-LW20 团队攻击山寨游戏⽼鼠会 RatScam
2018/07/23 Péter 在 Reddit 爆料 Fomo3D 空投漏洞
2018/07/24 安比(SECBIT)实验室发布 Fomo3D 及山寨版游戏空投漏洞预警
2018/07/24 BAPT-LW20 黑客团队攻击 FoMoGame
2018/07/26 BAPT-LW20 黑客团队部署新版攻击合约 0x5483
2018/08/06 类 Fomo3D 游戏 Last Winner 上线
2018/08/07 LW 游戏开始火爆
2018/08/07 BAPT-LW20 黑客团队开始攻击 LW 游戏
2018/08/09 以太坊未确认交易数创年内新高
2018/08/10 凌晨 AnChain.ai 态势感知系统发出预警
2018/08/10 安比(SECBIT)实验室与 AnChain.ai 联手开展调查
2018/08/10 BAPT-LW20 黑客团队转移旧合约中资金,使用新版合约继续开展攻击
2018/08/11 完成 BAPT-LW20 攻击时间线复原
2018/08/12 完成 BAPT-LW20 攻击手法复原
2018/08/13 针对更多攻击源分析
2018/08/13 完成 BAPT-F3D 和 BAPT-LW20 攻击数据全景分析,黑客获利超 5000 Ether
2018/08/14 BAPT-LW20 黑客团队再次部署新版攻击合约,开始攻击一个不知名合约
2018/08/17 BAPT-LW20 黑客团队夺取 LW 最终大奖 7754 Ether
2018/08/17 安比(SECBIT)实验室完成 BAPT-LW20 攻击事件报告
参考文献
[1] 区块律动:8万笔交易「封死」以太坊网络,只为抢夺Fomo3D大奖?https://mp.weixin.qq.com/s/5nrgj8sIZ0SlXebG5sWVPw
[2] Pwning Fomo3D Revealed: Iterative, Pre-Calculated Contract Creation For Airdrop Prizes!, https://peckshield.com/2018/07/24/fomo3d/
[3] Péter Szilágyi 提出的空投漏洞利用 POC,https://www.reddit.com/r/ethereum/comments/916xni/how_to_pwn_fomo3d_a_beginners_guide/, 2018/07/23
[4] AsicBoost - A Speedup for Bitcoin Mining, https://arxiv.org/pdf/1604.00575.pdf, 2016/03/31
作者:安比(SECBIT)实验室 & AnChain.ai 查看全部
安比(SECBIT)实验室创始人郭宇:2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。但与所有的生态系统一样,新世界有生命,就有捕食者。有交易者,就有黑客。区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。意料之外,也在意料之中。
Last Winner(类 Fomo3D)游戏大火,导致以太坊异常拥堵,Gas 费用暴涨。大量以太币资金入场。
北京时间 2018 年 8 月 10 日凌晨 1:38,加州时间 9 日上午 10:38,安比(SECBIT)实验室收到合作伙伴美国硅谷 AnChain.ai 公司消息,基于 AI 的态势感知系统发出预警信息,发现部分游戏合约出现大量交易并且存在异常的资金流动情况。安比(SECBIT)实验室的小伙伴赶紧根据最新线索,对相关合约和交易进行观察、跟踪、分析。
安比(SECBIT)实验室由中国科学技术大学博士郭宇创建,从密码学、代码语义、形式化验证、博弈论、编译器等多种理论角度切入,在智能合约安全技术上开展全方位深入研究。
AnChain.ai 由辛辛那提大学计算机博士方春生 Victor Fang 创建,方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家,负责 AI 产品研发。AnChain.ai 专注安全威胁情报、区块链态势感知,凭借 AI 技术助力区块链生态安全。
下文敏感地址只保留前 4 位。片尾有三个彩蛋,智能合约爱好者请不要错过。
悄然上线
莫名火爆的 Last Winner
Last Winner 是一款基于以太坊智能合约的 DApp 游戏,于 8 月 6 日上线,这款游戏一经推出,就“异常”火爆。
这款游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C。据 Etherscan 显示,短短六天时间内,该游戏合约就已产生 27 万余笔交易。甚至前段时间以太坊网络大拥堵也与 Last Winner 游戏密切相关。8 月 8 日 和 9 日,在 Last Winner 和 Fomo3D 超大规模交易量的共同作用下,以太坊未确认交易数量创年内新高,平均 Gas 费用一度飙升至正常 10 倍以上。
该游戏第一轮奖池金额为 1.6 万多个以太币,而玩家总投资额更超过 10 万以太币,资金量巨大。目前游戏第一轮已结束,第二轮奖金池已迅速累积至 7000 多以太币。
疯狂的现象级游戏背后暗流涌动。
疑团重重
前期大量参与者的资金来历不明
据知名媒体「区块律动」报道,Last Winner 由名为「蚁群传播」的资金盘传销组织推广运营,有着数量众多的会员和极强的推广拉下线能力 [1]。而据另一款火爆游戏 Fomo3D 开发团队称,Last Winner 是仿 Fomo3D 游戏,其背后运营团队准备了 20 万 ETH 来进行自动刷量交易。因此,Last Winner 游戏火爆的背后,可能是一场精心布局的传销游戏,初期利用机器人发起批量交易,伪造活跃假象,吸引新韭菜入场。
Last Winner 游戏合约存在大量非正常交易,并且伴随着大量合约的创建与自毁,与正常人类调用行为特征偏离很大,这引起了我们的高度警惕。
疯狂推广
只面向国人,合约源码却从未公开
在各大论坛、媒体、以及微信群中,都可以见到 Last Winner 游戏的推广文章,而这些文章有着类似的描述,并且都附上推广邀请码。但 Last Winner 英文相关资料非常少。
显然,这是一款针对中国人的游戏,有着诱人的推广(拉下线)奖励,因此在网络上广为传播。并且,这款游戏有适配安卓和 iPhone 手机的 App,简化了使用操作,降低了参与门槛。
但是,十分可疑的是,作为一款基于智能合约的区块链游戏,Last Winner 居然没有公开合约源代码!这是一个非常危险的信号。为何这样一个游戏能这么火爆,吸引这么多人参加?
我们直觉上感到这款游戏到处透露着诡异的气息。
安全性存疑
实则是 Fomo3D 山寨版
Last Winner 官方宣传语写道:
Last Winner(LW)是首款完全去中心化的类 Fomo3D 游戏 DApp,完全基于以太坊智能合约原生开发。只要下载安装 App 就可参与游戏。
类 Fomo3D 游戏,且未公开源代码,这不得不让人产生怀疑。要知道,短短时间内原创开发一个好玩又安全的 DApp 游戏难度非常大。
安比(SECBIT)实验室迅速使用内部工具逆向分析了 Last Winner 的合约代码(字节码)。果不其然,这款游戏合约代码函数名称与 Fomo3D 高度相似,疑似直接拷贝(抄袭)了 Fomo3D 的源码,但却又新增了 10 余个可疑未知函数。
尽管 Fomo3D 在 Etherscan 公开了源代码,但这并不代表它开源给任何人随意使用。
安比(SECBIT)实验室之前报道过:在 Fomo3D 爆红之后,各类山寨版 Fomo3D 层出不穷。之前这些山寨版游戏往往复制 Fomo3D 官网和合约源码,并可疑地在一些地方进行修改。而 Last Winner 在此基础上更进一步,推出移动客户端,并疯狂推广,却不公开智能合约源代码。
智能合约游戏或 DApp 的亮点之一就是公开透明。Last Winner 游戏则完全违背了这一点,动机十分可疑,参与该类游戏的风险极高!
当时严峻的形势是:一方面有多个地址疑似疯狂发起攻击交易,另一方面项目方游戏合约未公开源码,高度可疑却吸引了巨量资金。我们感觉到态势十分紧急,于是迅速开展分工合作。AnChain.ai 中美团队日夜交替分析和监控异常交易,收集证据,定位攻击来源与攻击规模。
安比(SECBIT)实验室的小伙伴们则兵分两路,分别开展对不透明游戏合约和黑客攻击手法的逆向分析。
前情回顾
类 Fomo3D 游戏空投机制存漏洞
Fomo3D 游戏参与形式是用以太币购买游戏道具,除了最后一个购买的人可以获得巨额大奖外,平时参与者还有机会获得“空投”奖励。
这里有主奖池和副奖池的概念,最终的巨额大奖和空投奖励分别从从主奖池和副奖池中获取。
所有进入游戏的以太币,有 1% 数量会进到副奖池。每一次购买道具都会有概率获得空投。空投的概率从 0% 开始,每增加一笔不小于 0.1 ETH 销售订单,空投概率会增加 0.1%。同时空投奖金额与购买金额也挂钩,如果购买 0.1 ~ 1 ETH,就有概率赢得 25% 副奖池奖金,购买更多则比例越大。
一进入游戏界面,就会看到鲜明提示,通知当前中奖概率和奖池金额。这一设计,原本是想增加游戏趣味性,并起到吸引资金入场、延长游戏时间的作用。但实际情况却并非如此。
通过观察 LastWinner 游戏合约以及部分地址的异常交易行为,我们心中有了初步答案。
让我们把时间退回到 20 多天前,早在 7 月 24 日,安比(SECBIT)实验室和派盾(PeckShield)科技分别同时预警:Fomo3D 游戏的智能合约存在随机数漏洞可被利用,Fomo3D 及所有抄袭源码的山寨合约均存在该安全漏洞 [2]。原本设计上随机性较大的空投游戏可通过特殊手段操纵,大大提高中奖概率。
经安比(SECBIT)实验室字节码智能扫描工具逆向分析,Last Winner 游戏空投奖励代码与 Fomo3D 基本一致,相似度达 91%,可能存在同样漏洞。随着游戏火爆进行,机敏的黑客肯定也闻风而动。
不能说的秘密
黑客制造秘密武器攫取高额收益
在区块链态势感知系统所展现出来的数据面前,我们不由地倒吸一口凉气。
图中的这些可疑地址,如同“病毒”一般紧紧缠绕在 Last Winner 合约四周,肆意吞噬着 Last Winner 内的资金。
我们观察到,图中紧靠 Last Winner 的这些地址,有着类似的行为模式。
如:
不停地往某合约地址上发起交易,同时附带 0.1 个以太币
不少交易状态为失败
成功的交易又会涉及大量“内部交易”
“内部交易”调用逻辑十分复杂,并伴随大量合约的创建和自毁
安比(SECBIT)实验室迅速得出初步结论:这些不明合约就是黑客用来攻击 Last Winner 的秘密武器,黑客正是通过这些合约,持续吸走 Last Winner 游戏内的以太币。
案发现场
大量类似交易,超高回报率
上面态势感知图中,占地面积最大的嫌疑地址引起了我们的注意:0xae58,于是从这个地址展开了追踪。
8 月 9 号当天,0xae58 地址内以太币余额就以超过 300 个,而当时他正在大量往地址 0x5483 上发起交易,每笔交易转账金额都是 0.1 Ether。显然,黑客正通过 0x5483 智能合约向 LW 发起攻击。
让我们观察下面这条状态显示为成功的交易。表面上看是 0xae58 向攻击合约 0x5483 转了 0.1 Ether,实际却涉及了一大堆地址间的相互转账,最终随着 0x7c77 合约自毁,0.189 个 Ether 转移回 0xae58 的账户中。
这十分神奇,攻击者投入 0.1 个以太币,最终收获 0.189 个,瞬间回报率高达 89%,简直暴利。
我们很快发现,除了 0xae58 地址外,还有四个地址也持续不断地向 0x5483 合约发起类似交易,持续获得高额回报。
而失败的交易,仅消耗 27712 燃料(Gas),成本损耗十分低。
研究目标立刻锁定为攻击合约 0x5483。由于无法获得源码,安比(SECBIT)实验室立刻使用内部工具展开逆向分析。
暴利
数据面前我们再次震惊
8 月 13 日,当我们沉浸在研究黑客的攻击合约各种细节优化和精巧设计之时,黑客攻击数据全景分析新鲜出炉。
其中,攻击获利最大的是以 0x820d 地址为首的团队。他们累计获利超过 5000 个以太币。AnChain.ai 团队和安比(SECBIT)实验室将该黑客团伙精确定位,并将其命名为 BAPT-LW20 (Blockchain APT – Last Winner)。
BAPT-LW20 团队在短短 6 天时间内,共发送将近 5 万笔交易,从中攫取 5194 个 Ether,获利价值将近 1200 万人民币。
由下图每小时发起的攻击交易数量趋势图(下图),我们可以看出攻击的高峰期发生在 8 月 8 日 ~ 10 日,每小时平均攫取将近 100 以太币,将近 22 万人民币。这正好也是 LW 游戏最火爆的时间段。随着游戏进入后期,入场资金急剧下降,收益降低,黑客也不得不也降低了攻击频率。
每小时发起的攻击交易数量
再看看黑客每小时攫取以太币数量趋势图(下图)。惨淡的漫漫熊市里,黑客却在狂赚以太币。
下图是“Last Winner 中黑客的交易量占比和攫取 ETH 占比”,可见黑客发送的交易量只占总交易量的 9.877%,但是去攫取了Last Winner奖金池中49%的奖金。黑客的娴熟攻击技能,为他们带来了普通玩家难以企及的好运,而普通玩家在这场游戏里面几乎很难获得空投奖励。
火线追凶
BAPT-LW20 团队攻击 LW 始末
安比(SECBIT)实验室尝试追踪复原 BAPT-LW20 团队攻击时间线。
下图是 BAPT-LW20 团队某账户余额变动情况。
0x820d 是 BAPT-LW20 团队所有攻击合约的部署者,也是攻击的实施者之一,可认为是 BAPT-LW20 团队的队长。0x820d 地址最早活跃于 7 月 20 日,账户中的初始以太币均由 0x73B6 地址转入。而 0x73B6 也是同一天开始活跃的新地址,它的初始以太币来自总部位于美国旧金山的 Kraken 交易所。
0x820d 在收到来自 0x73B6 的 10 个以太币后,随即部署了它的第一个合约。可能有些地方不太理想,他并没有继续使用该合约。三分钟后,0x820d 部署下了第二个合约,攻击对象是 Fomo3D。在一组准备工作设置、若干次失败的调用以及两次虽然成功但却没有收益的尝试过后,0x820d 应该是发现了攻击合约里的 bug 和优化空间。
在接下来的 14 个小时内,他依次部署了 8 个合约进行攻击测试,无奈都不成功。终于在第 9 个合约 0xBad7 中首次完成攻击,以 0.1 ETH 的投入换回了 0.125 ETH。
0xBad7 是 0x820d 团队首个可以正常工作的攻击合约,他们在 7 月 21 日至 7 月 23 日三天时间内总计调用该合约 11551 次,小有斩获。
7 月 23 日,0x820d 又部署了新的合约,将攻击对象转移为另一款 Fomo3D 山寨游戏老鼠会 RatScam (0x5167350d082c9ec48ed6fd4c694dea7361269705),0x820d 团队在一天时间内使用了 2299 次攻击合约。
一天后,0x820d 又找到了新目标,一个名为 FoMoGame(0x86D179c28cCeb120Cd3f64930Cf1820a88B77D60) 的山寨游戏,部署新合约(0xb599)进行攻击。这款游戏知名度不高,入场资金并不多,黑客调用了 126 次之后就放弃。
接下来的三天内,0x820d 前后部署了 10 个新合约进行优化与攻击测试。
终于,在 7 月 26 日上线了他们的新版攻击合约(0x5483)。该合约总共发生过 23835 笔交易,最近一次活跃时间在 8 月 10 号(7 天前)。这款攻击合约,可由攻击者 自定义受害游戏合约地址。因此 0x820d 在接下来的几天内,持续混合攻击 Fomo3D 原版、RatScam、FoMoGame 等游戏,并持续观察其他山寨游戏的动态,等待时机。同时,继续部署若干个新合约进行调优测试。
终于,8 月 6 日 Last Winner 游戏上线,24 小时后 0x820d 团队就使用准备好的 0x5483 合约,针对 Last Winner 发起第一次攻击,并在接下来的 4 天内集中力量,疯狂利用空投漏洞展开攻势。
8 月 10 日,0x820d 调用 0x5483 攻击合约 withdraw 接口,提走了里面的余额,攻击疑似暂停。
原来,他们早已经部署了新版合约攻击合约 0x9C10,又发起了超过 30000 笔交易,至今仍在活跃攻击。
不仅仅是空投
BAPT-LW20 黑客团队拿走 LW 最终大奖
北京时间 8 月 17 日上午,Last Winner 游戏第一轮最终结束,最终大奖由 0x5167 地址获得,奖金额总计 7,754 以太币。
而这个地址正是 BAPT-LW20 黑客团队的五个地址之一。
如下图,14 小时前,黑客还在利用攻击合约获取空投奖励。随后,他改变了方案,直接用自身地址购买道具参与游戏,不断尝试夺取最终大奖。在此之后,又继续调用合约攻击 LW 游戏。
安比(SECBIT)实验室猜测黑客潜伏很久,早已做好充分的准备,长时间利用脚本监控 LW 游戏状态,最终才能在众人放松警惕之时获得大奖。
BAPT-LW20 黑客团队利用空投漏洞获利超 5,194 Ether,同时又夺取最终大奖 7,754 Ether,累计获利 12,948 Ether。
同行相杀
Zethr 团队两天时间就成功利用漏洞
这场超大规模的类 Fomo3D 智能合约游戏被攻击事件,攻击者使用的秘密武器也正是智能合约。
据安比(SECBIT)实验室调查分析,0x20C9 地址最先成功利用原版 Fomo3D 空投漏洞并获取奖励。我们将他定位,并将其命名为 BAPT-LW10。
0x20C9 于 7 月 8 日 10 点 07 分创建了攻击合约 0xe7ce,在接下来的十分钟内,前后调用了三次,最终在第四次时成功获得奖励,投入 0.1 以太币,收回 0.19 个,回报率高达 90%(见下图)。
此后,0x20C9 继续部署多个攻击合约,进行调试优化。最终,在 7 月 23 日部署了最终版本 0x39ac 攻击合约,接下来的时间前后调用过 90 余次,而攻击对象涉及 Fomo3D 原版、Last Winner 以及其他山寨版 Fomo3D。
据我们观察,0x20C9 是最早研究并成功利用空投漏洞的黑客。研究过程中,安比(SECBIT)实验室发现 0x20C9 与另一款游戏 Zethr 密切关联。
最终我们在 Zethr 游戏合约代码中发现了他的身影。他是热门游戏 Zethr 的八位核心开发者之一,代号为 Etherguy。
显然,作为 DApp 游戏开发同行,Etherguy 以及他所在的 Zethr 团队很早就研究了 Fomo3D 项目代码。Fomo3D 合约 7 月 6 日部署上主网,Etherguy 两天后就发现并成功利用了漏洞。从调用规模来看,Etherguy (BAPT-LW10) 应该主要还是出于研究目的,并没有太多获利。
让其他黑客获利最多的正是 Last Winner 游戏。
游戏细节
Last Winner 为何让黑客如此疯狂
从最初 Fomo3D 上线后不久,空投漏洞就已被人发现并成功利用。随着游戏的广泛传播,以及该漏洞被逐渐披露,空投漏洞的攻击手段也在这一过程中不断升级进化,最终部分黑客团队完成了精巧的攻击方案,可低成本、高效率获得奖励,并可大规模工程化地攻击任意任何同类游戏合约,疯狂收割以太币。
据安比(SECBIT)实验室分析,除 LW 游戏以外,不少黑客团队都曾尝试攻击其他类 Fomo3D 游戏合约。但获利都远小于 BAPT-LW20 团队在 LW 游戏中所得。
我们试图从 LW 游戏本身寻找答案。
LW 游戏是 Fomo3D 山寨版,本身没有太多创新,但入场资金完全集中在游戏开始后的第 2 天至第 5 天内。巨量入场资金,会让游戏空投奖池迅速累积,因此这段时间也是黑客攻击的黄金时机。
更要命的是,Last Winner 团队修改了空投游戏参数,使进入副奖池(空投奖池)的以太币比例由 1% 调整到 10%,相当于空投奖励金高了 10 倍!
一方面,游戏运营团队可能是利用高额空投奖励吸引用户疯狂加入;另一方面,他们可能并不知道空投漏洞的严重性,而提高奖励比例则会让该问题进一步放大。
Last Winner 游戏简直成为了黑客的提款机!
特别地,前面提到 Last Winner 游戏第一轮入场资金已达 10 万以太币,这也就是说,单单这一款游戏就有超过 1 万个以太币都持续暴露在被攻击的风险下,成为黑客的囊中之物。要知道,这款游戏第一轮最终奖池也才 1.6 万余以太币。本来空投奖励都是很小的金额,但黑客持续利用空投漏洞,积少成多,终成 Last Winner 最大赢家。
我们追踪到有多个团队对 Fomo3D 及山寨合约开展大规模自动化攻击,企图攫取利益。
而 BAPT-LW20 团队在游戏开始后 24 小时左右就加入了战局,并迅速扩大作战规模,最终占得先机,获取巨额收益。
安比(SECBIT)实验室追踪到还有其他黑客团队向 Last Winner 合约开展攻击。部分黑客 8 月 11 号以后才入局,虽规模也很大,但终究因为错过黄金时机而获利较少。
攻击合约
设计复杂又精巧
攻击合约 0x5483,创建于 7 月 26 日,创建者为 0x820D,同时也是持续调用攻击合约的五个地址之一。
起初,攻击合约的创建时间让我们感到疑惑,前面提到 LW 游戏合约于 8 月 6 日才部署上主网。难道 0x820D 可以未卜先知,或者他与项目方有什么不可告人的秘密?
带着这个疑问,我们尝试从合约 0x5483 的代码(字节码)中寻找答案。
经过逆向发现,该合约有七个公开函数,其中一个疑似函数名是 withdraw(uint256),用于将攻击合约中积累的以太币转走。
安比(SECBIT)实验室在字节码中发现了上面提到的五个地址。原来这两个函数都会跳转到同一个内部函数,检查交易发起人是否是这五人地址之一。如果是,则可继续执行,如果不是,则提前让交易失败。
这也解释了为什么偏偏是这五个地址一直在调用攻击合约。因为他们是一个团队,合约特地为他们而设计,而其他人根本无法正常调用。
初步猜测,攻击合约这么设计是为了分散权限和资金,降低出问题或被发现的风险。
上图正是一笔攻击交易的传入参数。第一部分是调用函数哈希 ID,后面跟着三个参数。注意看第一个参数,攻击者传入的明显是一个地址。显然,这个地址正是 LW 游戏合约地址。
原来如此,攻击目标对象可以作为参数传入。“黑客真机智!”,我们不由地感慨。之前的一个困惑被解开,早在 LW 游戏上线前就已部署好的攻击合约 0x5483,其实是一个通用型武器。
继续研究,接下来合约的复杂程度出乎我们意料。我们沿着生成的控制流程图(CFG)追踪合约函数调用过程,程序指令以及分支情况非常之多(下图是一小部分截图),让人难以完全跟上。
安比(SECBIT)实验室使用动态追踪调试技术,结合逆向分析结果与攻击交易内部记录,搞清楚了黑客所使用的手法。
其他攻击交易也都是类似的过程,黑客调用攻击合约,攻击合约再调用提前创建好的合约,进而创建新的合约,以新合约的身份参与 LW 游戏,买游戏道具,然后几乎必定获得空投奖励。
这一过程中不断新建的合约,就是态势感知系统中预警的大量异常合约创建与自毁。
追踪攻击合约调用历史,发现攻击者在部署完攻击合约后,就立即多次调用特定函数,每次新建 10 个新合约。而函数总共恰好调用了 100 次,因此新建了 1000 个新合约(记住这个细节)。
在攻击交易中,攻击合约最先调用的就是这预先创建好的 1000 个合约之一,似乎是特地从中挑选出来一个地址。
智能合约
一切皆可预测
攻击函数控制流程图(CFG)中一个相隔很远的循环引起了我们的注意。
我们恍然大悟。攻击函数所做的就是不断循环地在 1000 个合约中,挑选“合适”的地址来完成下一步新建合约操作。所谓“合适”的地址,就是指能确保每次参与游戏都能获得空投奖励。
前面提到,以太坊智能合约中可以很容易的预测随机数,因为随机数的来源都是区块或者交易中特定的一些公开参数,如交易发起者地址、区块时间戳、区块难度等等。因此空投游戏利用随机数来控制中奖概率是不可行的。
而这里,黑客利用了另一个以太坊的特征,一个地址(账户)创建一个合约,合约地址是可按照特定规则计算得到的,任何人都可以根据已知信息进行推算。
因此,黑客循环利用自己控制的 1000 个合约地址,推算各地址下一次新建的合约地址,而该地址恰恰是空投游戏中奖数字的随机源。攻击合约通过一系列预演推算来筛选出“合适”的地址来完成攻击操作(技术细节后文会详细讨论)。
这才是黑客能够以超高概率获得空投的真正原因!
技术流
攻击手法细节披露
类 Fomo3D 游戏空投漏洞的根本原因在于,以太坊智能合约环境中难以生成无法预测的随机数。而 Fomo3D 开发者在其合约中增加了「判断调用者是普通人类还是合约」的逻辑来尝试规避,但此逻辑实现存在漏洞。黑客利用攻击合约提前预测随机数,并通过在构造函数内调用游戏合约的方法来伪装成普通人类(非合约)地址,从而大大增加自身中奖概率。
时间再次回到 7 月 23 日,以太坊基金会开发团队负责人之一 Péter Szilágyi 在 Reddit 上首次公开爆出这个漏洞并给出 1.0 版本的 POC 方案(详细可以参考引文 [3])。这主要是利用了这些特点:
空投游戏用来控制中奖概率的随机源,可被提前获得
用户能否获得空投奖励以及奖励金额,可在另外一个合约中提前计算出来,从而决定后面的操纵逻辑
Fomo3D 空投机制中尝试限制只有非合约地址(普通人类)才能参加游戏以防止上述情况的发生。但该判断方法存在漏洞,在构造合约的过程中(即合约构造方法里)参与游戏即可绕过该限制。
因此攻击者可以部署一个智能合约,并在合约的构造方法中计算出自己是否能够获益,如果能则投入以太币参加游戏空投获利,否则就不参加(参见下图)。
Péter 提出的这个方案只是一个最简单的原型,因为每次部署合约都要消耗不少 Gas,而且工作效率很低且收益率并不高,采用该方案攻击,发起上千笔交易,都不一定能够真正获得空投奖励。
看到这里你可能会有疑问,上文的攻击者似乎手法更高明,而且实际成功攻击的发生时间要早得多。
Zethr 开发者 Etherguy 早在 7 月 8 日就已使用更高明的手法成功获利,解决了上文 1.0 方案中的部分问题,我们姑且称之为 2.0 版本。
这个思路是通过合约循环创建子合约(参见下图),直到子合约满足空投条件可以获利为止。这样做的好处是,在 Gas 充足的情况下,每次调用合约几乎一定可以获得收益,提高了工作效率。然而这种方案和 1.0 版本的攻击成本接近,并没有从本质上提高收益率。
而这次事件的最大获利者 BAPT-LW20 团队,就是在 2.0 版本的思路上进行了进一步优化降低了投入成本,提高了收益率。 3.0 版本则疯狂创建代理合约,通过利用计算下一步新建合约地址的技巧提前预判,筛选出符合条件的代理合约再创建出新的子合约,在子合约的构造函数中再完成上述攻击(见下图)。而且攻击目标地址可配置,可多人同时协作攻击。当游戏奖池金额不足以覆盖攻击成本时,发出的攻击交易会自动提前失败,仅消耗很低的 Gas 费用。
在分析各类攻击合约过程中,我们还见到另外一种更高明的做法:主攻击合约有着良好的设计模型,支持核心算法动态替换与升级。原理上则是利用了 delegatecall 进行操作。安比(SECBIT)实验室会持续关注这批黑客的动向。
彩蛋一
空投与挖矿
我们知道在 PoW 挖矿的时候,矿工通常需要进行如下计算:
BlockHash = Hash(Header+Nonce)
Check(BlockHash < Diff)
当 BlockHash 结果小于当前难度值的时候,代表找到了一个合法的 Nonce。
在 Fomo3D 的空投奖励里有着类似挖矿的机制:
function airdrop() private view returns(bool)
{
uint256 seed = uint256(keccak256(abi.encodePacked(
(block.timestamp).add
(block.difficulty).add
((uint256(keccak256(abi.encodePacked(block.coinbase)))) / (now)).add
(block.gaslimit).add
((uint256(keccak256(abi.encodePacked(msg.sender)))) / (now)).add
(block.number))));
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
else
return(false);
}
用户唯一可以操纵的就是 msg.sender 字段,我们是否可以将 msg.sender 作为 Nonce 来挖矿呢?
答案显然是可以的,智能合约的地址是根据 发起者账户 + nonce 决定的,于是有了第 1 代方法:
创建合约
用户(地址+nonce0) --------------------> 新合约(尝试攻击)
用户(地址+nonce1) --------------------> 新合约(尝试攻击)
用户(地址+nonce2) --------------------> 新合约(尝试攻击)
用户(地址+nonce3) --------------------> 新合约(尝试攻击)
但是这种方式需要用户持续部署合约,消耗的矿工费代价非常大,且成功率极低,每次都是以 1/1000 的中奖概率在尝试。
由于第 1 代惊人的失败率,显然无法利用,于是有了第 2 代攻击方法:
这种方法的主要思想是,合约创建的新合约地址由 合约地址+nonce 确定:
部署合约 |------------------| hash(caddr, nonce)
用户 ----------> |循环创建合约, | -------> 新合约(尝试攻击)
|直到攻击成功或到达终 | -------> 新合约(尝试攻击)
|止条件才停止,可能需 | -------> 新合约(尝试攻击)
|要部署大量合约。 | -------> 新合约(尝试攻击)
|----------------- |
这种方式类似于挖矿,固定区块头部,不断修改 nonce 来试探能否成功获得奖励,但是问题在于,如果在循环第 1000 次才发现合法的 nonce,那么意味着之前部署的 999 个合约都属于浪费 Gas 的操作。
那么如何更高效地寻找合法的 nonce 呢?
我们回想比特币挖矿,一个挖矿任务中,不仅有 nonce,还有 extraNonce [4]。
在比特币区块的 Coinbase 字段中,有一个自由修改的区域,修改这个区域会导致 MerkleRoot 被修改,从而实现 Header 被修改,具有 nonce 的效果,因此被称作 extraNonce。
为什么需要引入 extraNonce 呢?原因在于 nonce 为 32 bit 数字,搜索范围只有 2^32,矿机几乎一瞬间就遍历完了,通过不断修改 extraNonce 来扩大本地搜索范围,我们甚至可以不修改 nonce 只修改 extraNonce 来挖矿。
也许黑客也想到了这一点,他们通过提前部署 1000 个代理合约来实现有 1000 个 extraNonce 的效果。
至此,攻击方法升级到了第 3 代:
部署合约
用户 --------------------------------------> 管理合约 C
调用合约C,预先创建代理合约(extraNonce)
用户 --------------------------------------> 1000个代理合约
调用合约C,循环尝试可以成功攻击的代理合约
用户 --------------------------------------> 部署合约(尝试攻击)
显而易见,这种攻击方式同时实现了 2 个效果:
提升了攻击成功率
减少了攻击合约部署数量,大大减少了 Gas 消耗。
彩蛋二
黑客预先创建的合约数量与中奖概率
前文提到黑客预先部署 1000 个代理合约,这个数字有什么讲究呢?
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
seed 经由一系列以太坊链上环境以及多次 Hash 运算得出。Hash 结果对 1000 取余数,可以得到 0~999 的伪随机数。
我们假设哈希输出结果是均匀的,并且哈希是抗碰撞的,那么平均每次中奖的概率为 1/1000。
模拟结果:
公式运算结果:
尽管更多合约能够提供更高的中奖概率,但是需要考虑到 Gas 消耗与 Gas Limit 等因素,不宜过大。
安比(SECBIT)实验室认为黑客选择部署 1000 个合约,是根据概率代码 1/1000 想当然做出的判断。
彩蛋三
黑客可能利用了空投概率计算的另一个bug
黑客仍然需要更高效地攫取利润,他们甚至“发现”了 Fomo3D 空投规则在这种攻击方式下暴露出的缺陷。
攻击合约需要在最开始获取空投奖励信息,作为后续操作的依据。因此,攻击合约会先依次调用游戏合约的两个查询接口,分别是 0xd87574e0 airDropPot_() 和 0x11a09ae7 airDropTracker_()。
Fomo3D 空投奖励的 airDropTracker_ 计算方式为如下方法:
if (_eth >= 100000000000000000)
{
airDropTracker_++;
if (airdrop() == true)
{...}
}
Fomo3D 判断是否能中空投奖励使用了如下方法:
if((seed - ((seed / 1000) * 1000)) < airDropTracker_)
return(true);
根据我们分析,0x820d 后期更新的攻击合约直接去除了对 airDropTracker_ 的判断,但这样做其实有利有弊。
如果你了解细节,猜出了黑客的用意,或者知晓这种做法的优缺点,欢迎添加小安同学微信(secbit_xiaoanbi),她会把你加入到「SECBIT 智能合约安全技术讨论」的群里。
尾声
下一个是谁?
8 月 14 日,BAPT-LW20 黑客团队的 0x820d 再次部署了两个新版攻击合约,这一次他们将炮筒又对准了另一款一天前新部署的不知名合约。
望着大屏幕上 AnChain.ai 态势感知态势感知平台不断闪烁的红点,安比(SECBIT)实验室和 AnChain.ai 都很清楚,区块链世界里的战役还远远没有结束。
2009年,中本聪创造了一个虚拟的去中心化新世界。这仿佛是一片流着奶和蜜糖的应许之地,人们欢呼雀跃,蜂拥而至。但与所有的生态系统一样,新世界有生命,就有捕食者。有交易者,就有黑客。区块链上的应用在进化,攻击者也同样,我们给大家展示的是区块链世界不为人知的另一面,暗流涌动。意料之外,也在意料之中。
BAPT-LW20 & BAPT-F3D 大事件时间表:
2018/07/06 Fomo3D 游戏合约上线
2018/07/08 Zethr 核心开发者 Etherguy 发现并利用空投漏洞
2018/07/20 Fomo3D 游戏在国内走红
2018/07/20 BAPT-LW20 黑客团队地址开始活跃
2018/07/21 BAPT-LW20 团队第一次成功利用 Fomo3D 空投漏洞
2018/07/23 BAPT-LW20 团队攻击山寨游戏⽼鼠会 RatScam
2018/07/23 Péter 在 Reddit 爆料 Fomo3D 空投漏洞
2018/07/24 安比(SECBIT)实验室发布 Fomo3D 及山寨版游戏空投漏洞预警
2018/07/24 BAPT-LW20 黑客团队攻击 FoMoGame
2018/07/26 BAPT-LW20 黑客团队部署新版攻击合约 0x5483
2018/08/06 类 Fomo3D 游戏 Last Winner 上线
2018/08/07 LW 游戏开始火爆
2018/08/07 BAPT-LW20 黑客团队开始攻击 LW 游戏
2018/08/09 以太坊未确认交易数创年内新高
2018/08/10 凌晨 AnChain.ai 态势感知系统发出预警
2018/08/10 安比(SECBIT)实验室与 AnChain.ai 联手开展调查
2018/08/10 BAPT-LW20 黑客团队转移旧合约中资金,使用新版合约继续开展攻击
2018/08/11 完成 BAPT-LW20 攻击时间线复原
2018/08/12 完成 BAPT-LW20 攻击手法复原
2018/08/13 针对更多攻击源分析
2018/08/13 完成 BAPT-F3D 和 BAPT-LW20 攻击数据全景分析,黑客获利超 5000 Ether
2018/08/14 BAPT-LW20 黑客团队再次部署新版攻击合约,开始攻击一个不知名合约
2018/08/17 BAPT-LW20 黑客团队夺取 LW 最终大奖 7754 Ether
2018/08/17 安比(SECBIT)实验室完成 BAPT-LW20 攻击事件报告
参考文献
[1] 区块律动:8万笔交易「封死」以太坊网络,只为抢夺Fomo3D大奖?https://mp.weixin.qq.com/s/5nrgj8sIZ0SlXebG5sWVPw
[2] Pwning Fomo3D Revealed: Iterative, Pre-Calculated Contract Creation For Airdrop Prizes!, https://peckshield.com/2018/07/24/fomo3d/
[3] Péter Szilágyi 提出的空投漏洞利用 POC,https://www.reddit.com/r/ethereum/comments/916xni/how_to_pwn_fomo3d_a_beginners_guide/, 2018/07/23
[4] AsicBoost - A Speedup for Bitcoin Mining, https://arxiv.org/pdf/1604.00575.pdf, 2016/03/31
作者:安比(SECBIT)实验室 & AnChain.ai
区块链就是比特币等虚拟货币吗?
trader 回复了问题 • 4 人关注 • 3 个回复 • 1783 次浏览 • 2018-08-17 15:55
加密社区建设战术手册
block 发表了文章 • 2018-08-12 10:49
我们正在见证区块链项目上线数量激增,此情此景,简直不亚于寒武纪时代的生命大爆发。根据 CoinDesk 的数据,2018 年迄今为止的 ICO 数量已经超过了 2017 年全年,而 2017 的数字则是前一年的 9 倍。现在,假设你所从事的项目是 CoinMarketCap 上列出的 1637 个项目中的一个,你将如何令自己脱颖而出?
近我一直在思考这个问题。当然,执行你的开发路线图或设计一个聪明的上市策略可以在很大程度上将你自己与其他加密货币区分开来。但是还有另一个值得关注的策略:建设你的社区。
我相信,构建一个非同寻常的社区对于成为一种成功的加密货币是至关重要的,对于怎么做,我会给出一个战术手册。
步骤 1:最大化初次代币分配
方式比在项目启动时将代币分配给尽可能多的用户,能更加有机地构建社区。你早期的代币持有人通常会成为你最主要的宣传者,因为他们会从你的项目中获得最大的收益。哪怕是在不确定的时候,他们也会不离不弃,这一点是极具价值的。
现代币分配的最大化相对容易。像 Tezos 这样的项目进行了大型的公开 ICO ,将他们的代币卖给任何想要参与的人。但如今考虑到监管部门对这一领域的严格审查,这种广泛分配代币的方法不再可行。因此,许多项目为了合规,进行的是排他性的代币销售 例如仅面向认可的投资者。
这并不意味着我们完全放弃广泛的代币分配,事实上,仍然有一些聪明的办法可以最大限度地扩大分发范围。例如,PoW 代币可以做公平发行 Fair Launch——这指的是在代币发行前没有任何供应 即没有预售或预挖矿,并允许所有人开始挖矿。我们还可以利用最新的股权众筹法律,进行公平、合规的代币销售,在 Republic 这样的平台上,已经出现了这类销售模式。我猜将来会有更多的项目使用这些技术。
步骤 2:将你的项目的使命和价值观整理成文
如果你想说服免费代理加入你的社区,你需要向他们解释你的项目为什么重要。应该确立项目的核心使命和价值观,然后在某个地方发布。
如果想找现成的范文,可以参考这篇 Will Warren 的博文,他阐述了 0x 的使命和价值观:
《0x 使命和价值观》
自 2017 年 8 月发布 0x 版本 1 以来,0x 核心团队已经从 6 个成员增长到 15 个……
博文地址:
https://blog.0xproject.com/the-0x-mission-and-values-181a58706f9f
步骤 3:培养富有成效的在线讨论
社区成员在网上应该有一个地方供他们表达他们的意见,并且能让他们感觉到自己是在为你的项目做出贡献。然而,源于两种最基本的冲突,没法为在线讨论提出一个万能的解决方案:
沟通方式
有些人喜欢同步通信 实时讨论,另一些人喜欢异步通信 非实时讨论。
内容
有些人喜欢通用的内容 如新的合作关系或业务发展路线图,而另一些人喜欢技术内容 如功能开发或技术路线图。
我发现,那些最好的项目往往支持多个论坛进行讨论,而不是试图把尽可能多的人集中到一个聊天或留言板中。这种方法的好处在于,它允许技术讨论不受一般用户的干扰,这些用户有时只是想对某个代币做一次投机性投资。
这里有一个讨论实现的例子,可以满足不同加密社区的需要:
以下是我最喜欢的每个象限的例子:
通用-同步:NuCypher Telegram
通用-异步:r/Bitcoin
技术-同步:Decred Slack
技术-异步:Ethresearch
项目应该确保所有的讨论都保持在主题线上,对发言持尊重的态度。最简单的方法就是物色愿意无偿作版主的社区热心成员。如果办不到,项目应该考虑花钱请版主,因为这是值得投资的。最后,创始人和核心团队成员也应该参与讨论,而不是简单地让版主和社区管理员处理一切。
步骤 4:提供支持
你最重要的社区成员是在你的协议之上进行构建的开发人员,所以请确保他们对你们解决技术问题的能力感到满意。当你的项目刚刚起步时,核心团队的成员有可能帮助你完成这类工作,但到了某个阶段时,雇佣专人维护开发者关系是值得的。
你也许还需要聘请一名员工来处理常规的客户支持。乍一看这个角色似乎并不必要,但它实际上是一个秘密武器,能在你的社区中播下善意的种子。可以去 Decred Slack,看看 Support channel 的例证:这个团队在帮助非技术用户解决诸如设置钱包或学习如何加入股权池等问题上做得很好。
步骤 5:建立一个资助计划
如果你有经费,考虑建立一个资助计划,为你的协议的第三方开发支付代币。这是一种很好的方式,可以在使你的核心团队和社区更加步调一致的同时,促进生态系统的发展。Zcash 基金会就是一个执行良好而且透明的资助计划,每个季度它都会对社区成员提出的提案提供资助,这些提案反过来又支持着 Zcash 基金会的使命和价值观。
步骤 6:支持社区运行的组织
社区运行的组织通常是自发创建的,当代币持有者想要进一步表达其对项目的支持时,它也可以十分有效地帮助推进你的使命。
Tezos Commons Foundation 是一个运行良好的社区组织范例。这个组织在过去的几个月里做得很好,支持了世界各地的聚会,并为该项目提供了基层支持,这与 Tezos 基金会的努力相辅相成。
步骤 7:传播信息
团队应该持续传播关于其项目的信息,以便争取到新的社区成员。没有比维塔利克·布特林 Vitalik Buterin 更好的例子了,他基本上是在飞机上吃穿住行,每年都要参加数百个活动,向世人推广以太坊。
至于其他项目,你真的应该及早开始马不停蹄地宣传你的协议。Kadena 是我们的投资组合中的一个协议,它给了我不少启发,这个协议似乎总是能找到很好的机会来传播他们正在建造的东西,也非常善于吸引人们参与到他们的生态系统。
步骤 8:玩得尽兴
最后,祝你玩得尽兴。你的团队打开一个小小的窗口展露个性,可以让社区成员对你的项目更有激情。你可以看看这个视频,来自以太坊基金会的 Karl Floersch 用自由式说唱展示了他创造性的一面 视频有彩蛋:看 Vitalik 在最后是怎么鼓掌的。
总结
说到底,构建一个非凡的加密社区与你的技术路线图和市场进入策略一样重要。有了这个战术手册,项目可以争取并留住更多的社区成员,从长远来看,这将带来回报。
撰文:Spencer Noon
编译:詹涓 查看全部
近我一直在思考这个问题。当然,执行你的开发路线图或设计一个聪明的上市策略可以在很大程度上将你自己与其他加密货币区分开来。但是还有另一个值得关注的策略:建设你的社区。
我相信,构建一个非同寻常的社区对于成为一种成功的加密货币是至关重要的,对于怎么做,我会给出一个战术手册。
步骤 1:最大化初次代币分配
方式比在项目启动时将代币分配给尽可能多的用户,能更加有机地构建社区。你早期的代币持有人通常会成为你最主要的宣传者,因为他们会从你的项目中获得最大的收益。哪怕是在不确定的时候,他们也会不离不弃,这一点是极具价值的。
现代币分配的最大化相对容易。像 Tezos 这样的项目进行了大型的公开 ICO ,将他们的代币卖给任何想要参与的人。但如今考虑到监管部门对这一领域的严格审查,这种广泛分配代币的方法不再可行。因此,许多项目为了合规,进行的是排他性的代币销售 例如仅面向认可的投资者。
这并不意味着我们完全放弃广泛的代币分配,事实上,仍然有一些聪明的办法可以最大限度地扩大分发范围。例如,PoW 代币可以做公平发行 Fair Launch——这指的是在代币发行前没有任何供应 即没有预售或预挖矿,并允许所有人开始挖矿。我们还可以利用最新的股权众筹法律,进行公平、合规的代币销售,在 Republic 这样的平台上,已经出现了这类销售模式。我猜将来会有更多的项目使用这些技术。
步骤 2:将你的项目的使命和价值观整理成文
如果你想说服免费代理加入你的社区,你需要向他们解释你的项目为什么重要。应该确立项目的核心使命和价值观,然后在某个地方发布。
如果想找现成的范文,可以参考这篇 Will Warren 的博文,他阐述了 0x 的使命和价值观:
《0x 使命和价值观》
自 2017 年 8 月发布 0x 版本 1 以来,0x 核心团队已经从 6 个成员增长到 15 个……
博文地址:
https://blog.0xproject.com/the-0x-mission-and-values-181a58706f9f
步骤 3:培养富有成效的在线讨论
社区成员在网上应该有一个地方供他们表达他们的意见,并且能让他们感觉到自己是在为你的项目做出贡献。然而,源于两种最基本的冲突,没法为在线讨论提出一个万能的解决方案:
沟通方式
有些人喜欢同步通信 实时讨论,另一些人喜欢异步通信 非实时讨论。
内容
有些人喜欢通用的内容 如新的合作关系或业务发展路线图,而另一些人喜欢技术内容 如功能开发或技术路线图。
我发现,那些最好的项目往往支持多个论坛进行讨论,而不是试图把尽可能多的人集中到一个聊天或留言板中。这种方法的好处在于,它允许技术讨论不受一般用户的干扰,这些用户有时只是想对某个代币做一次投机性投资。
这里有一个讨论实现的例子,可以满足不同加密社区的需要:
以下是我最喜欢的每个象限的例子:
通用-同步:NuCypher Telegram
通用-异步:r/Bitcoin
技术-同步:Decred Slack
技术-异步:Ethresearch
项目应该确保所有的讨论都保持在主题线上,对发言持尊重的态度。最简单的方法就是物色愿意无偿作版主的社区热心成员。如果办不到,项目应该考虑花钱请版主,因为这是值得投资的。最后,创始人和核心团队成员也应该参与讨论,而不是简单地让版主和社区管理员处理一切。
步骤 4:提供支持
你最重要的社区成员是在你的协议之上进行构建的开发人员,所以请确保他们对你们解决技术问题的能力感到满意。当你的项目刚刚起步时,核心团队的成员有可能帮助你完成这类工作,但到了某个阶段时,雇佣专人维护开发者关系是值得的。
你也许还需要聘请一名员工来处理常规的客户支持。乍一看这个角色似乎并不必要,但它实际上是一个秘密武器,能在你的社区中播下善意的种子。可以去 Decred Slack,看看 Support channel 的例证:这个团队在帮助非技术用户解决诸如设置钱包或学习如何加入股权池等问题上做得很好。
步骤 5:建立一个资助计划
如果你有经费,考虑建立一个资助计划,为你的协议的第三方开发支付代币。这是一种很好的方式,可以在使你的核心团队和社区更加步调一致的同时,促进生态系统的发展。Zcash 基金会就是一个执行良好而且透明的资助计划,每个季度它都会对社区成员提出的提案提供资助,这些提案反过来又支持着 Zcash 基金会的使命和价值观。
步骤 6:支持社区运行的组织
社区运行的组织通常是自发创建的,当代币持有者想要进一步表达其对项目的支持时,它也可以十分有效地帮助推进你的使命。
Tezos Commons Foundation 是一个运行良好的社区组织范例。这个组织在过去的几个月里做得很好,支持了世界各地的聚会,并为该项目提供了基层支持,这与 Tezos 基金会的努力相辅相成。
步骤 7:传播信息
团队应该持续传播关于其项目的信息,以便争取到新的社区成员。没有比维塔利克·布特林 Vitalik Buterin 更好的例子了,他基本上是在飞机上吃穿住行,每年都要参加数百个活动,向世人推广以太坊。
至于其他项目,你真的应该及早开始马不停蹄地宣传你的协议。Kadena 是我们的投资组合中的一个协议,它给了我不少启发,这个协议似乎总是能找到很好的机会来传播他们正在建造的东西,也非常善于吸引人们参与到他们的生态系统。
步骤 8:玩得尽兴
最后,祝你玩得尽兴。你的团队打开一个小小的窗口展露个性,可以让社区成员对你的项目更有激情。你可以看看这个视频,来自以太坊基金会的 Karl Floersch 用自由式说唱展示了他创造性的一面 视频有彩蛋:看 Vitalik 在最后是怎么鼓掌的。
总结
说到底,构建一个非凡的加密社区与你的技术路线图和市场进入策略一样重要。有了这个战术手册,项目可以争取并留住更多的社区成员,从长远来看,这将带来回报。
撰文:Spencer Noon
编译:詹涓 查看全部
我们正在见证区块链项目上线数量激增,此情此景,简直不亚于寒武纪时代的生命大爆发。根据 CoinDesk 的数据,2018 年迄今为止的 ICO 数量已经超过了 2017 年全年,而 2017 的数字则是前一年的 9 倍。现在,假设你所从事的项目是 CoinMarketCap 上列出的 1637 个项目中的一个,你将如何令自己脱颖而出?
近我一直在思考这个问题。当然,执行你的开发路线图或设计一个聪明的上市策略可以在很大程度上将你自己与其他加密货币区分开来。但是还有另一个值得关注的策略:建设你的社区。
我相信,构建一个非同寻常的社区对于成为一种成功的加密货币是至关重要的,对于怎么做,我会给出一个战术手册。
步骤 1:最大化初次代币分配
方式比在项目启动时将代币分配给尽可能多的用户,能更加有机地构建社区。你早期的代币持有人通常会成为你最主要的宣传者,因为他们会从你的项目中获得最大的收益。哪怕是在不确定的时候,他们也会不离不弃,这一点是极具价值的。
现代币分配的最大化相对容易。像 Tezos 这样的项目进行了大型的公开 ICO ,将他们的代币卖给任何想要参与的人。但如今考虑到监管部门对这一领域的严格审查,这种广泛分配代币的方法不再可行。因此,许多项目为了合规,进行的是排他性的代币销售 例如仅面向认可的投资者。
这并不意味着我们完全放弃广泛的代币分配,事实上,仍然有一些聪明的办法可以最大限度地扩大分发范围。例如,PoW 代币可以做公平发行 Fair Launch——这指的是在代币发行前没有任何供应 即没有预售或预挖矿,并允许所有人开始挖矿。我们还可以利用最新的股权众筹法律,进行公平、合规的代币销售,在 Republic 这样的平台上,已经出现了这类销售模式。我猜将来会有更多的项目使用这些技术。
步骤 2:将你的项目的使命和价值观整理成文
如果你想说服免费代理加入你的社区,你需要向他们解释你的项目为什么重要。应该确立项目的核心使命和价值观,然后在某个地方发布。
如果想找现成的范文,可以参考这篇 Will Warren 的博文,他阐述了 0x 的使命和价值观:
《0x 使命和价值观》
自 2017 年 8 月发布 0x 版本 1 以来,0x 核心团队已经从 6 个成员增长到 15 个……
博文地址:
https://blog.0xproject.com/the-0x-mission-and-values-181a58706f9f
步骤 3:培养富有成效的在线讨论
社区成员在网上应该有一个地方供他们表达他们的意见,并且能让他们感觉到自己是在为你的项目做出贡献。然而,源于两种最基本的冲突,没法为在线讨论提出一个万能的解决方案:
沟通方式
有些人喜欢同步通信 实时讨论,另一些人喜欢异步通信 非实时讨论。
内容
有些人喜欢通用的内容 如新的合作关系或业务发展路线图,而另一些人喜欢技术内容 如功能开发或技术路线图。
我发现,那些最好的项目往往支持多个论坛进行讨论,而不是试图把尽可能多的人集中到一个聊天或留言板中。这种方法的好处在于,它允许技术讨论不受一般用户的干扰,这些用户有时只是想对某个代币做一次投机性投资。
这里有一个讨论实现的例子,可以满足不同加密社区的需要:
以下是我最喜欢的每个象限的例子:
通用-同步:NuCypher Telegram
通用-异步:r/Bitcoin
技术-同步:Decred Slack
技术-异步:Ethresearch
项目应该确保所有的讨论都保持在主题线上,对发言持尊重的态度。最简单的方法就是物色愿意无偿作版主的社区热心成员。如果办不到,项目应该考虑花钱请版主,因为这是值得投资的。最后,创始人和核心团队成员也应该参与讨论,而不是简单地让版主和社区管理员处理一切。
步骤 4:提供支持
你最重要的社区成员是在你的协议之上进行构建的开发人员,所以请确保他们对你们解决技术问题的能力感到满意。当你的项目刚刚起步时,核心团队的成员有可能帮助你完成这类工作,但到了某个阶段时,雇佣专人维护开发者关系是值得的。
你也许还需要聘请一名员工来处理常规的客户支持。乍一看这个角色似乎并不必要,但它实际上是一个秘密武器,能在你的社区中播下善意的种子。可以去 Decred Slack,看看 Support channel 的例证:这个团队在帮助非技术用户解决诸如设置钱包或学习如何加入股权池等问题上做得很好。
步骤 5:建立一个资助计划
如果你有经费,考虑建立一个资助计划,为你的协议的第三方开发支付代币。这是一种很好的方式,可以在使你的核心团队和社区更加步调一致的同时,促进生态系统的发展。Zcash 基金会就是一个执行良好而且透明的资助计划,每个季度它都会对社区成员提出的提案提供资助,这些提案反过来又支持着 Zcash 基金会的使命和价值观。
步骤 6:支持社区运行的组织
社区运行的组织通常是自发创建的,当代币持有者想要进一步表达其对项目的支持时,它也可以十分有效地帮助推进你的使命。
Tezos Commons Foundation 是一个运行良好的社区组织范例。这个组织在过去的几个月里做得很好,支持了世界各地的聚会,并为该项目提供了基层支持,这与 Tezos 基金会的努力相辅相成。
步骤 7:传播信息
团队应该持续传播关于其项目的信息,以便争取到新的社区成员。没有比维塔利克·布特林 Vitalik Buterin 更好的例子了,他基本上是在飞机上吃穿住行,每年都要参加数百个活动,向世人推广以太坊。
至于其他项目,你真的应该及早开始马不停蹄地宣传你的协议。Kadena 是我们的投资组合中的一个协议,它给了我不少启发,这个协议似乎总是能找到很好的机会来传播他们正在建造的东西,也非常善于吸引人们参与到他们的生态系统。
步骤 8:玩得尽兴
最后,祝你玩得尽兴。你的团队打开一个小小的窗口展露个性,可以让社区成员对你的项目更有激情。你可以看看这个视频,来自以太坊基金会的 Karl Floersch 用自由式说唱展示了他创造性的一面 视频有彩蛋:看 Vitalik 在最后是怎么鼓掌的。
总结
说到底,构建一个非凡的加密社区与你的技术路线图和市场进入策略一样重要。有了这个战术手册,项目可以争取并留住更多的社区成员,从长远来看,这将带来回报。
撰文:Spencer Noon
编译:詹涓
智能空投:在熊市中告别低效率传统空投
block 发表了文章 • 2018-08-10 16:01
99% 的区块链项目都在用白名单验证的方式来投放空投,但他们没有发现这其实是效率最差的方式!
自从区块链创业团队发现可以用空投的方式来获取用户关注、壮大社区之后,几乎所有的区块链项目都会在项目启动之初利用空投来发福利。但是你有没有注意到,绝大多数空投对于接收者来说是没有意义的。而项目方也开始发现,Telegram 社群里的几万人对于他们来说没啥作用。
如何真正地利用好空投,是现在熊市里每一个区块链项目团队都必须慎重思考的一件事情,再像以前一样加群白名单认证白送 Token,这一套已经行不通了。那么对于项目方来说,现在还有必要做空投吗?如果有必要做,如何提高效率,让空投不再是盲目地行为。
区块律动 BlockBeats 的团队最近发现有不少项目开始着手空投模式的创新,比如在 Fomo3D 游戏火热的时候,EOS Button 这个游戏就利用空投的模式快速地启动了自己的产品,短时间内获得数千用户,远超其他 EOS 游戏竞品。
如果无法一次性地将空投做好,用户可能再也不会碰这个项目了。能否利用好空投这次冷启动项目的机会,对于区块链项目团队来说,至关重要。
注:本文所提到的智能空投模型以 Dapp 开发者、智能合约开发者、协议开发者为主要目标,公链开发者对于该模型的应用时需要做一些灵活变通。本文对原文翻译略有删减,原意不变,以下为翻译。
盲目空投已经成为过去式
在发行数字加密货币之前,如果技术人员想围绕产品或者新 App 建立一个社区,他们一般都得从头搭建。这就需要筹集资金,然后雇一个营销团队,再斥巨资在 Google 或者 Facebook 上投放广告,这通常需要花费很多时间才能让人们开始关注他们的新应用。
从公链早期开始,各类项目就在尝试赠与一些新的 Token 去促进社区增长。2017 年 OmiseGo 公司就为其 OMG 币推出了一款空投产品:只要用户账户中持有 0.1ETH 以上,他们就投放空投,最终 OMG 团队向 46 万人转去了 OMG 币。
这种广泛的、没有特定目标的赠币方案意味着能够让更多的人对 OmiseGo 平台产生兴趣,从这以后,数千个项目复制了这一做法,但是这一做法也存在缺陷。
广撒网的盲目空投是没有既定目标的,接收者看到钱包里有这么多没用的币,他们会为是垃圾。在某些情况下,用户花时间追踪盲目空投只是为了能够售出「免费」获取到的空投币,而不是真正地使用它们或者了解它们的用途。
这造成的结果就是,发出盲目空投的团队将他们的 Token 发送给了对使用 Token 或者是建立新社区根本不感兴趣的人。虽然团队的初衷是依靠盲目空投去建立社区并且促进网络增长,结果却是背道而驰。
简而言之,盲目空投就是在浪费 Token。
智能空投出现了
与传统的哑巴空投不同,智能空投利用已有公链上的链上数据来获取用户。因为区块链理论上都是免费且接口开源的,只要能掌握编程技术,就可以利用代码获得这些数据。于是乎,智能空投成为了一种更高效地获得新用户和打造社区的方式。
或许未来智能空投可以结合大数据和人工智能来分析区块链数据,从百万用户中筛选出合适的用户来精准地空投 DAPP 或者某个协议的 Token。我们预测未来大多数 DAPP 和新的协议会采用智能空投来进行市场营销,未来也将出现智能空投提供商提供类似于 Google Analytics 数据分析的的服务。
全新的方法来实现更智能的空投
Quantstamp(QSP):为了激励社区参与、社区贡献和新用户获取,Quantstamp 使用了「Proof of Care(关注即挖矿)」的营销活动。Quantstamp 团队将用户的参与程度进行了量化计算,「活跃项目贡献+社区参与程度+钱包追踪算法+支持历史」。用户将通过他们自己的参与来获得 POC(关注即挖矿)得分,然后根据得分获得相应的 QSP Token。
Polymath(POLY);Polymath 团队奖励早期参与 Telegram 群的用户,用户提供以太坊地址之后,再填一个问卷调查,就可以拿到空投奖励。很快,Polymath 的社群里就有 4 万多用户。
Dfinity(DFN):Dfinity 在项目开始的时候宣布他们将发出价值 3500 万美元的 DFN Token,能拿到 Token 的是未来的用户,尤其是早期用户。所有拿到 DFN Token 的用户,可以在 Dfinity 平台上测试、开发项目。
智能空投案例总结分析
1、受众为先,精心挑选空投接受者
空投成功的关键在于精心地挑选能够真正深度地参与到项目中,而且可以为社区带来附加价值的人。
如果你想做一个去中心化交易所,你的空投用户群就应该是持有 0x 协议(ZRX)的人;如果你希望开发一个商户社区,那么久应该考虑比特币现金、达世币、莱特币用户。
以 Polymath 为例,作为一个证券类 Token 的交易平台,他们会筛选其他交易所的用户来进行空投。区块链团队可以巧妙地将自己的空投币送给竞争对手持有者的以太坊地址来获取用户。因为这次的空投已经做做出了筛选,他们都是非常精准的用户,他们肯定也愿意持有你的空投币。
智能空投也要注意避免将币发给交易所、竞争对手的基金会、高频交易、洗币器等不能为项目团队带来长期利益的地址。
2、质量比数量更重要
为什么 Google 和 Facebook 的市值能高达数千亿美元,原因在于他们能为广告主找到正确的客户去推荐广告。区块链行业可以从传统的数字营销中学习到不少经验,然后在选择空投对象时做出更好的选择。
在做空投的时候,我们应该更注重质量,而不是注重数量,只有优质的持币者才能带来长期价值。
3、让空投更有价值
空投要做大,给用户送去真正的价值而不是一串数字。给用户投去有一定意义数量的 Token。比如 Polymath 给加入电报群的用户空投了数百美元价值的 Token(250 个 POLY),让拿到空投的人能够天天在群里交流。空投币的总价值应该上千万美元价值,并且能代表整个区块链网络的很大一部分价值。
所以如果精选用户群体的话,每个拿到空投的用户都能得到大量的利益。这样就可以直接投资早期参与者和早期用户,而不是把前烧在没意义的空投营销上。
4、 让空投变得简单可验证
为那些对加入你的社区感兴趣的人创造一个流畅的身份验证过程,让所涉及的步骤变得简单明了,选一些有用的、可验证信息的验证问题,如电子邮件的地址、Telegram 的用户名等等。
5、奖励那些与你的项目价值一致的用户
如果你的 Dapp 是关于隐私的,那么就盯住那些可能对隐私相关属性感兴趣的用户。设法从单一的项目小团体中跳脱出来,吸引那些支持具有相似价值观 Dapp 的人群。
6、打造分阶段激励的派发方式
这是一种为人所熟知的奖励方式,它可以成为智能空投的一部分,使用游戏化的、可编程的激励方式奖励新用户,比如下载 Dapp,推荐朋友、解锁特定的成就。
就其本质而言,这是一种类似于 Uber 曾经采用的新一代营销策略,即「推荐一个朋友使用可为你下次出行减去 5 美元」。
这种分阶段空投派发方式无需局限于特定的时间范围内,还能够使项目持续地吸引新用户,不断提升用户接受程度。分阶段派发还可以以使用时间为优先级进行延伸,比方说让早鸟用户获得更大的奖励。
充分利用现有区块链的优势
1、更快的创新周期
区块链创业团队可以利用这一通证经济模式为其新技术、新项目获取网络效应。当一个新特性如零知识证明、多重签名之类的被发明出来之时,创业团队就可以以此特性为卖点,利用智能空投将 Token 投放到共享利益或者原则一致的现有协议社区中去。
与 ICO 预售的方式相比,智能空投模式可以在几周内就完成,而不是耗费数月时间。
2、更少的市场波动
随着智能空投的增长,「蓝筹」潜力币的持有者也能获得「蓝筹」带来的好处:通过智能空投获得新的 Token、更稳定的价值以及更低的波动(相对市场波动而言)。智能空投可以激励那些长期持有「蓝筹」Token 的用户,因为持有者可从产品新功能中获益。
3、让社区拧成一股绳
如果一个社区接受了新的智能空投,它就有可能增加社区粘性,而不是使社区陷入无止境的分叉中。因为智能空投为现有项目带来了新创意与新技术,社区成员可能会很乐意为现有项目工作,因为他们能够通过智能空投接受并试验了新创意与技术。我们已经开始看到了这些新项目的实例,比如分布式业务加速器平台项目(DBA)。
简单 4 步做好智能空投的准备工作
1、向社区宣布项目已经选择了智能空投的方式来发行一部分 Token。
这样的话对其感兴趣的开发者以及其他社区成员就可以参与其中同时为项目做出贡献,他们的贡献奖变成一部分社区奖励。
2、为智能空投设定一个日期,为那些即将参与智能空投的用户提供详细信息。
3、识别智能空投接受者的传播网络。
4、与参与者交流智能空投的计划指南,包括为智能空投参与者列出一个分阶段激励的清单。
风险与不足
薅羊毛党
人们将会想法设法滥用这种分发系统,从中获得最大化的好处。为了利益人们会做出相应的计划,并且尽可能地扮演一个应该得到智能空投 tokens 的完美角色。
项目没有吸引力
这些项目有可能最终变成买东西送的玩具,很快就会被人们忘在脑后,也没人想要它们。如果能够很容易就获得空投 Token,那么就不会存在多少真正认可项目的新用户。
Token 价值不确定
因为智能空投分发并非一种销售方式,因此也就不存在定价,所以空投发放时缺乏一个确定的价格。Token 的定价将不得不从二级市场中产生,而二级市场交易的 Token 是空投拿到的,很容易导致价格波动。.
尚不明确的监管规则
这里主要是关于 Token 的价值以及资产分类:要注意了,即使是赠送的 Token 也不意味着能够免受证券、货币以及其他相关法律的审查监管。如果你的市场是国际市场,就必须瞄准遵守相关法律法规了。
只有垃圾项目才做简单的空投
智能空投有潜力成为去中心化应用分发大部分 Token 的主要方式,可以在非常短的时间内快速引来大量用户与社区参与者。
项目团队需要联合更广泛的加密货币&区块链社区,在充分利用新工具、新平台以及新协议的基础上让智能空投更有效,已达成最佳的实践效果。智能空投可以在加密社区中引领一波新的无许可创新浪潮,让许多偷懒的垃圾项目没有藏身之处。 查看全部
自从区块链创业团队发现可以用空投的方式来获取用户关注、壮大社区之后,几乎所有的区块链项目都会在项目启动之初利用空投来发福利。但是你有没有注意到,绝大多数空投对于接收者来说是没有意义的。而项目方也开始发现,Telegram 社群里的几万人对于他们来说没啥作用。
如何真正地利用好空投,是现在熊市里每一个区块链项目团队都必须慎重思考的一件事情,再像以前一样加群白名单认证白送 Token,这一套已经行不通了。那么对于项目方来说,现在还有必要做空投吗?如果有必要做,如何提高效率,让空投不再是盲目地行为。
区块律动 BlockBeats 的团队最近发现有不少项目开始着手空投模式的创新,比如在 Fomo3D 游戏火热的时候,EOS Button 这个游戏就利用空投的模式快速地启动了自己的产品,短时间内获得数千用户,远超其他 EOS 游戏竞品。
如果无法一次性地将空投做好,用户可能再也不会碰这个项目了。能否利用好空投这次冷启动项目的机会,对于区块链项目团队来说,至关重要。
注:本文所提到的智能空投模型以 Dapp 开发者、智能合约开发者、协议开发者为主要目标,公链开发者对于该模型的应用时需要做一些灵活变通。本文对原文翻译略有删减,原意不变,以下为翻译。
盲目空投已经成为过去式
在发行数字加密货币之前,如果技术人员想围绕产品或者新 App 建立一个社区,他们一般都得从头搭建。这就需要筹集资金,然后雇一个营销团队,再斥巨资在 Google 或者 Facebook 上投放广告,这通常需要花费很多时间才能让人们开始关注他们的新应用。
从公链早期开始,各类项目就在尝试赠与一些新的 Token 去促进社区增长。2017 年 OmiseGo 公司就为其 OMG 币推出了一款空投产品:只要用户账户中持有 0.1ETH 以上,他们就投放空投,最终 OMG 团队向 46 万人转去了 OMG 币。
这种广泛的、没有特定目标的赠币方案意味着能够让更多的人对 OmiseGo 平台产生兴趣,从这以后,数千个项目复制了这一做法,但是这一做法也存在缺陷。
广撒网的盲目空投是没有既定目标的,接收者看到钱包里有这么多没用的币,他们会为是垃圾。在某些情况下,用户花时间追踪盲目空投只是为了能够售出「免费」获取到的空投币,而不是真正地使用它们或者了解它们的用途。
这造成的结果就是,发出盲目空投的团队将他们的 Token 发送给了对使用 Token 或者是建立新社区根本不感兴趣的人。虽然团队的初衷是依靠盲目空投去建立社区并且促进网络增长,结果却是背道而驰。
简而言之,盲目空投就是在浪费 Token。
智能空投出现了
与传统的哑巴空投不同,智能空投利用已有公链上的链上数据来获取用户。因为区块链理论上都是免费且接口开源的,只要能掌握编程技术,就可以利用代码获得这些数据。于是乎,智能空投成为了一种更高效地获得新用户和打造社区的方式。
或许未来智能空投可以结合大数据和人工智能来分析区块链数据,从百万用户中筛选出合适的用户来精准地空投 DAPP 或者某个协议的 Token。我们预测未来大多数 DAPP 和新的协议会采用智能空投来进行市场营销,未来也将出现智能空投提供商提供类似于 Google Analytics 数据分析的的服务。
全新的方法来实现更智能的空投
Quantstamp(QSP):为了激励社区参与、社区贡献和新用户获取,Quantstamp 使用了「Proof of Care(关注即挖矿)」的营销活动。Quantstamp 团队将用户的参与程度进行了量化计算,「活跃项目贡献+社区参与程度+钱包追踪算法+支持历史」。用户将通过他们自己的参与来获得 POC(关注即挖矿)得分,然后根据得分获得相应的 QSP Token。
Polymath(POLY);Polymath 团队奖励早期参与 Telegram 群的用户,用户提供以太坊地址之后,再填一个问卷调查,就可以拿到空投奖励。很快,Polymath 的社群里就有 4 万多用户。
Dfinity(DFN):Dfinity 在项目开始的时候宣布他们将发出价值 3500 万美元的 DFN Token,能拿到 Token 的是未来的用户,尤其是早期用户。所有拿到 DFN Token 的用户,可以在 Dfinity 平台上测试、开发项目。
智能空投案例总结分析
1、受众为先,精心挑选空投接受者
空投成功的关键在于精心地挑选能够真正深度地参与到项目中,而且可以为社区带来附加价值的人。
如果你想做一个去中心化交易所,你的空投用户群就应该是持有 0x 协议(ZRX)的人;如果你希望开发一个商户社区,那么久应该考虑比特币现金、达世币、莱特币用户。
以 Polymath 为例,作为一个证券类 Token 的交易平台,他们会筛选其他交易所的用户来进行空投。区块链团队可以巧妙地将自己的空投币送给竞争对手持有者的以太坊地址来获取用户。因为这次的空投已经做做出了筛选,他们都是非常精准的用户,他们肯定也愿意持有你的空投币。
智能空投也要注意避免将币发给交易所、竞争对手的基金会、高频交易、洗币器等不能为项目团队带来长期利益的地址。
2、质量比数量更重要
为什么 Google 和 Facebook 的市值能高达数千亿美元,原因在于他们能为广告主找到正确的客户去推荐广告。区块链行业可以从传统的数字营销中学习到不少经验,然后在选择空投对象时做出更好的选择。
在做空投的时候,我们应该更注重质量,而不是注重数量,只有优质的持币者才能带来长期价值。
3、让空投更有价值
空投要做大,给用户送去真正的价值而不是一串数字。给用户投去有一定意义数量的 Token。比如 Polymath 给加入电报群的用户空投了数百美元价值的 Token(250 个 POLY),让拿到空投的人能够天天在群里交流。空投币的总价值应该上千万美元价值,并且能代表整个区块链网络的很大一部分价值。
所以如果精选用户群体的话,每个拿到空投的用户都能得到大量的利益。这样就可以直接投资早期参与者和早期用户,而不是把前烧在没意义的空投营销上。
4、 让空投变得简单可验证
为那些对加入你的社区感兴趣的人创造一个流畅的身份验证过程,让所涉及的步骤变得简单明了,选一些有用的、可验证信息的验证问题,如电子邮件的地址、Telegram 的用户名等等。
5、奖励那些与你的项目价值一致的用户
如果你的 Dapp 是关于隐私的,那么就盯住那些可能对隐私相关属性感兴趣的用户。设法从单一的项目小团体中跳脱出来,吸引那些支持具有相似价值观 Dapp 的人群。
6、打造分阶段激励的派发方式
这是一种为人所熟知的奖励方式,它可以成为智能空投的一部分,使用游戏化的、可编程的激励方式奖励新用户,比如下载 Dapp,推荐朋友、解锁特定的成就。
就其本质而言,这是一种类似于 Uber 曾经采用的新一代营销策略,即「推荐一个朋友使用可为你下次出行减去 5 美元」。
这种分阶段空投派发方式无需局限于特定的时间范围内,还能够使项目持续地吸引新用户,不断提升用户接受程度。分阶段派发还可以以使用时间为优先级进行延伸,比方说让早鸟用户获得更大的奖励。
充分利用现有区块链的优势
1、更快的创新周期
区块链创业团队可以利用这一通证经济模式为其新技术、新项目获取网络效应。当一个新特性如零知识证明、多重签名之类的被发明出来之时,创业团队就可以以此特性为卖点,利用智能空投将 Token 投放到共享利益或者原则一致的现有协议社区中去。
与 ICO 预售的方式相比,智能空投模式可以在几周内就完成,而不是耗费数月时间。
2、更少的市场波动
随着智能空投的增长,「蓝筹」潜力币的持有者也能获得「蓝筹」带来的好处:通过智能空投获得新的 Token、更稳定的价值以及更低的波动(相对市场波动而言)。智能空投可以激励那些长期持有「蓝筹」Token 的用户,因为持有者可从产品新功能中获益。
3、让社区拧成一股绳
如果一个社区接受了新的智能空投,它就有可能增加社区粘性,而不是使社区陷入无止境的分叉中。因为智能空投为现有项目带来了新创意与新技术,社区成员可能会很乐意为现有项目工作,因为他们能够通过智能空投接受并试验了新创意与技术。我们已经开始看到了这些新项目的实例,比如分布式业务加速器平台项目(DBA)。
简单 4 步做好智能空投的准备工作
1、向社区宣布项目已经选择了智能空投的方式来发行一部分 Token。
这样的话对其感兴趣的开发者以及其他社区成员就可以参与其中同时为项目做出贡献,他们的贡献奖变成一部分社区奖励。
2、为智能空投设定一个日期,为那些即将参与智能空投的用户提供详细信息。
3、识别智能空投接受者的传播网络。
4、与参与者交流智能空投的计划指南,包括为智能空投参与者列出一个分阶段激励的清单。
风险与不足
薅羊毛党
人们将会想法设法滥用这种分发系统,从中获得最大化的好处。为了利益人们会做出相应的计划,并且尽可能地扮演一个应该得到智能空投 tokens 的完美角色。
项目没有吸引力
这些项目有可能最终变成买东西送的玩具,很快就会被人们忘在脑后,也没人想要它们。如果能够很容易就获得空投 Token,那么就不会存在多少真正认可项目的新用户。
Token 价值不确定
因为智能空投分发并非一种销售方式,因此也就不存在定价,所以空投发放时缺乏一个确定的价格。Token 的定价将不得不从二级市场中产生,而二级市场交易的 Token 是空投拿到的,很容易导致价格波动。.
尚不明确的监管规则
这里主要是关于 Token 的价值以及资产分类:要注意了,即使是赠送的 Token 也不意味着能够免受证券、货币以及其他相关法律的审查监管。如果你的市场是国际市场,就必须瞄准遵守相关法律法规了。
只有垃圾项目才做简单的空投
智能空投有潜力成为去中心化应用分发大部分 Token 的主要方式,可以在非常短的时间内快速引来大量用户与社区参与者。
项目团队需要联合更广泛的加密货币&区块链社区,在充分利用新工具、新平台以及新协议的基础上让智能空投更有效,已达成最佳的实践效果。智能空投可以在加密社区中引领一波新的无许可创新浪潮,让许多偷懒的垃圾项目没有藏身之处。 查看全部
99% 的区块链项目都在用白名单验证的方式来投放空投,但他们没有发现这其实是效率最差的方式!
自从区块链创业团队发现可以用空投的方式来获取用户关注、壮大社区之后,几乎所有的区块链项目都会在项目启动之初利用空投来发福利。但是你有没有注意到,绝大多数空投对于接收者来说是没有意义的。而项目方也开始发现,Telegram 社群里的几万人对于他们来说没啥作用。
如何真正地利用好空投,是现在熊市里每一个区块链项目团队都必须慎重思考的一件事情,再像以前一样加群白名单认证白送 Token,这一套已经行不通了。那么对于项目方来说,现在还有必要做空投吗?如果有必要做,如何提高效率,让空投不再是盲目地行为。
区块律动 BlockBeats 的团队最近发现有不少项目开始着手空投模式的创新,比如在 Fomo3D 游戏火热的时候,EOS Button 这个游戏就利用空投的模式快速地启动了自己的产品,短时间内获得数千用户,远超其他 EOS 游戏竞品。
如果无法一次性地将空投做好,用户可能再也不会碰这个项目了。能否利用好空投这次冷启动项目的机会,对于区块链项目团队来说,至关重要。
注:本文所提到的智能空投模型以 Dapp 开发者、智能合约开发者、协议开发者为主要目标,公链开发者对于该模型的应用时需要做一些灵活变通。本文对原文翻译略有删减,原意不变,以下为翻译。
盲目空投已经成为过去式
在发行数字加密货币之前,如果技术人员想围绕产品或者新 App 建立一个社区,他们一般都得从头搭建。这就需要筹集资金,然后雇一个营销团队,再斥巨资在 Google 或者 Facebook 上投放广告,这通常需要花费很多时间才能让人们开始关注他们的新应用。
从公链早期开始,各类项目就在尝试赠与一些新的 Token 去促进社区增长。2017 年 OmiseGo 公司就为其 OMG 币推出了一款空投产品:只要用户账户中持有 0.1ETH 以上,他们就投放空投,最终 OMG 团队向 46 万人转去了 OMG 币。
这种广泛的、没有特定目标的赠币方案意味着能够让更多的人对 OmiseGo 平台产生兴趣,从这以后,数千个项目复制了这一做法,但是这一做法也存在缺陷。
广撒网的盲目空投是没有既定目标的,接收者看到钱包里有这么多没用的币,他们会为是垃圾。在某些情况下,用户花时间追踪盲目空投只是为了能够售出「免费」获取到的空投币,而不是真正地使用它们或者了解它们的用途。
这造成的结果就是,发出盲目空投的团队将他们的 Token 发送给了对使用 Token 或者是建立新社区根本不感兴趣的人。虽然团队的初衷是依靠盲目空投去建立社区并且促进网络增长,结果却是背道而驰。
简而言之,盲目空投就是在浪费 Token。
智能空投出现了
与传统的哑巴空投不同,智能空投利用已有公链上的链上数据来获取用户。因为区块链理论上都是免费且接口开源的,只要能掌握编程技术,就可以利用代码获得这些数据。于是乎,智能空投成为了一种更高效地获得新用户和打造社区的方式。
或许未来智能空投可以结合大数据和人工智能来分析区块链数据,从百万用户中筛选出合适的用户来精准地空投 DAPP 或者某个协议的 Token。我们预测未来大多数 DAPP 和新的协议会采用智能空投来进行市场营销,未来也将出现智能空投提供商提供类似于 Google Analytics 数据分析的的服务。
全新的方法来实现更智能的空投
Quantstamp(QSP):为了激励社区参与、社区贡献和新用户获取,Quantstamp 使用了「Proof of Care(关注即挖矿)」的营销活动。Quantstamp 团队将用户的参与程度进行了量化计算,「活跃项目贡献+社区参与程度+钱包追踪算法+支持历史」。用户将通过他们自己的参与来获得 POC(关注即挖矿)得分,然后根据得分获得相应的 QSP Token。
Polymath(POLY);Polymath 团队奖励早期参与 Telegram 群的用户,用户提供以太坊地址之后,再填一个问卷调查,就可以拿到空投奖励。很快,Polymath 的社群里就有 4 万多用户。
Dfinity(DFN):Dfinity 在项目开始的时候宣布他们将发出价值 3500 万美元的 DFN Token,能拿到 Token 的是未来的用户,尤其是早期用户。所有拿到 DFN Token 的用户,可以在 Dfinity 平台上测试、开发项目。
智能空投案例总结分析
1、受众为先,精心挑选空投接受者
空投成功的关键在于精心地挑选能够真正深度地参与到项目中,而且可以为社区带来附加价值的人。
如果你想做一个去中心化交易所,你的空投用户群就应该是持有 0x 协议(ZRX)的人;如果你希望开发一个商户社区,那么久应该考虑比特币现金、达世币、莱特币用户。
以 Polymath 为例,作为一个证券类 Token 的交易平台,他们会筛选其他交易所的用户来进行空投。区块链团队可以巧妙地将自己的空投币送给竞争对手持有者的以太坊地址来获取用户。因为这次的空投已经做做出了筛选,他们都是非常精准的用户,他们肯定也愿意持有你的空投币。
智能空投也要注意避免将币发给交易所、竞争对手的基金会、高频交易、洗币器等不能为项目团队带来长期利益的地址。
2、质量比数量更重要
为什么 Google 和 Facebook 的市值能高达数千亿美元,原因在于他们能为广告主找到正确的客户去推荐广告。区块链行业可以从传统的数字营销中学习到不少经验,然后在选择空投对象时做出更好的选择。
在做空投的时候,我们应该更注重质量,而不是注重数量,只有优质的持币者才能带来长期价值。
3、让空投更有价值
空投要做大,给用户送去真正的价值而不是一串数字。给用户投去有一定意义数量的 Token。比如 Polymath 给加入电报群的用户空投了数百美元价值的 Token(250 个 POLY),让拿到空投的人能够天天在群里交流。空投币的总价值应该上千万美元价值,并且能代表整个区块链网络的很大一部分价值。
所以如果精选用户群体的话,每个拿到空投的用户都能得到大量的利益。这样就可以直接投资早期参与者和早期用户,而不是把前烧在没意义的空投营销上。
4、 让空投变得简单可验证
为那些对加入你的社区感兴趣的人创造一个流畅的身份验证过程,让所涉及的步骤变得简单明了,选一些有用的、可验证信息的验证问题,如电子邮件的地址、Telegram 的用户名等等。
5、奖励那些与你的项目价值一致的用户
如果你的 Dapp 是关于隐私的,那么就盯住那些可能对隐私相关属性感兴趣的用户。设法从单一的项目小团体中跳脱出来,吸引那些支持具有相似价值观 Dapp 的人群。
6、打造分阶段激励的派发方式
这是一种为人所熟知的奖励方式,它可以成为智能空投的一部分,使用游戏化的、可编程的激励方式奖励新用户,比如下载 Dapp,推荐朋友、解锁特定的成就。
就其本质而言,这是一种类似于 Uber 曾经采用的新一代营销策略,即「推荐一个朋友使用可为你下次出行减去 5 美元」。
这种分阶段空投派发方式无需局限于特定的时间范围内,还能够使项目持续地吸引新用户,不断提升用户接受程度。分阶段派发还可以以使用时间为优先级进行延伸,比方说让早鸟用户获得更大的奖励。
充分利用现有区块链的优势
1、更快的创新周期
区块链创业团队可以利用这一通证经济模式为其新技术、新项目获取网络效应。当一个新特性如零知识证明、多重签名之类的被发明出来之时,创业团队就可以以此特性为卖点,利用智能空投将 Token 投放到共享利益或者原则一致的现有协议社区中去。
与 ICO 预售的方式相比,智能空投模式可以在几周内就完成,而不是耗费数月时间。
2、更少的市场波动
随着智能空投的增长,「蓝筹」潜力币的持有者也能获得「蓝筹」带来的好处:通过智能空投获得新的 Token、更稳定的价值以及更低的波动(相对市场波动而言)。智能空投可以激励那些长期持有「蓝筹」Token 的用户,因为持有者可从产品新功能中获益。
3、让社区拧成一股绳
如果一个社区接受了新的智能空投,它就有可能增加社区粘性,而不是使社区陷入无止境的分叉中。因为智能空投为现有项目带来了新创意与新技术,社区成员可能会很乐意为现有项目工作,因为他们能够通过智能空投接受并试验了新创意与技术。我们已经开始看到了这些新项目的实例,比如分布式业务加速器平台项目(DBA)。
简单 4 步做好智能空投的准备工作
1、向社区宣布项目已经选择了智能空投的方式来发行一部分 Token。
这样的话对其感兴趣的开发者以及其他社区成员就可以参与其中同时为项目做出贡献,他们的贡献奖变成一部分社区奖励。
2、为智能空投设定一个日期,为那些即将参与智能空投的用户提供详细信息。
3、识别智能空投接受者的传播网络。
4、与参与者交流智能空投的计划指南,包括为智能空投参与者列出一个分阶段激励的清单。
风险与不足
薅羊毛党
人们将会想法设法滥用这种分发系统,从中获得最大化的好处。为了利益人们会做出相应的计划,并且尽可能地扮演一个应该得到智能空投 tokens 的完美角色。
项目没有吸引力
这些项目有可能最终变成买东西送的玩具,很快就会被人们忘在脑后,也没人想要它们。如果能够很容易就获得空投 Token,那么就不会存在多少真正认可项目的新用户。
Token 价值不确定
因为智能空投分发并非一种销售方式,因此也就不存在定价,所以空投发放时缺乏一个确定的价格。Token 的定价将不得不从二级市场中产生,而二级市场交易的 Token 是空投拿到的,很容易导致价格波动。.
尚不明确的监管规则
这里主要是关于 Token 的价值以及资产分类:要注意了,即使是赠送的 Token 也不意味着能够免受证券、货币以及其他相关法律的审查监管。如果你的市场是国际市场,就必须瞄准遵守相关法律法规了。
只有垃圾项目才做简单的空投
智能空投有潜力成为去中心化应用分发大部分 Token 的主要方式,可以在非常短的时间内快速引来大量用户与社区参与者。
项目团队需要联合更广泛的加密货币&区块链社区,在充分利用新工具、新平台以及新协议的基础上让智能空投更有效,已达成最佳的实践效果。智能空投可以在加密社区中引领一波新的无许可创新浪潮,让许多偷懒的垃圾项目没有藏身之处。
顶级风投机构是如何入局区块链投资的?
leek 发表了文章 • 2018-07-30 16:52
Marc Andreessen, his wife, Laura, and Zuckerberg. Paul Sakuma / AP Images
一直以来,风险投资和区块链之间,总是有那么一点「天作之合」的感觉。在机构投资加密资产的路上,风投走在了最前头。早在 2013 年,就有像 Union Square Ventures 以下简称 USV 和 Andreessen Horowitz 等公司在这一领域进行过大笔投资,时间远远早于去年涌现的加密资产投资热潮。
如果你是个乐观主义者,你可能会说,这是因为加密资产爆炸式的增长,刚好与风投公司的策略非常吻合——他们倾向于投资那种高风险、高回报的项目。
当然,如果你对此持怀疑态度的话,你可能又会说,代币的发行给人们提供了一种具有吸引力的可替代融资方式,这其实给风投带来了非常激烈的竞争。
而真相,真如我们经常看到的那样,很可能夹杂在这两种观点之间。本文想要探讨的是,就目前来说,风投似乎对区块链 / 加密领域非常感兴趣。那么,他们当中哪些是主要的投资方?他们又是如何做出投资决策的呢 ?
大型玩家
就这个问题来说,其实答案都在意料之中。你会发现,风险投资领域的那头「800 磅的大猩猩」意指强大到无需有任何顾忌的人或物,也有计划想要成为区块链领域中的「800 磅的大猩猩」。Andreessen Horowitz 公司已经宣布成立一个 3 亿美元的基金,专门投资新兴的密码资产和区块链技术。该基金的负责人将由曾在美国司法部任职的前联邦检察官 Katie Huan 和公司现在的普通合伙人 Chris Dixon 一起负责管理。
这个基金能带来多大的影响力目前还很难说清,不过,对加密货币领域来说,这家拥有 9 年历史的风投巨头并不陌生。它早期曾投资的项目包括有 Coinbase、Ripple 和 Cryptokitties,可谓是迄今为止最早、规模最大的、专门投资加密资产的风投公司基金之一。的确,这个基金意味着,将有一大笔机构资金注入加密资产领域,为那些很有发展前景的项目和企业家提供支持。而在我看来,更重要的是,这个基金还把给加密资产这个急需要认同的领域带来了一种可信度。当机构资金越早将这一领域视为合法的、高增长的投资机会,加密货币的未来发展前景就会越好。
USV 在这方面的表现非常值得称赞。作为其联合创始人之一的 Fred Wilson 就是我心目中的一个英雄。他很早就支持加密货币的发展,可以说,他和许多早期的区块链设计师和先锋人物一样,引领了这个领域的发展。Fred
一直都明确地表示,他对区块链技术和加密资产的风发展前景有信心。USV 也在早期投资过一些加密界的巨头,如 Coinbase 和 OpenBazaar 等,他们还常常与 Andreessen Horowitz 公司携手一起投资。
Andreessen Horowitz 和 USV 的区块链投资
我个人也喜欢 USV 在加密资产领域的投资方式,他们非常注重强调监管在区块链中扮演的角色和 DApp 的价值。Wilson 在最近发布的一篇博客中就强调了这一点,他说:「如果 2016 年下半年和 2017 年全年的重心都是围绕筹集资金用来资助发展项目的话,那么 2018 年肯定会令人觉得,这是我们开始拥有能使用的去中心化应用的一年。」就监管方面来说,我不想聊到太遥远的话题,但一般的理论是,更好的监管结构,将能吸引优秀的开发人员,从而创造出更一流的区块链。
Andreessen Horowitz 和 USV 并不是仅有的两家涉足加密技术投资的风投公司。现在有很多基金,如 Lightspeed 和 Draper Associates,都在加密货币和区块链有大笔投资,而且,还出现了一批专为投资区块链而设立的风投公司。
在这里,我想特别提到的是 Placeholder Ventures,这家公司由曾任职于 USV 的 Joel Joel Monegro 和 Chris Burniske 领导 后者著有《Cryptoassets: The Innovative Investor’s Guide to Bitcoin》一书。Laura Shin 著名的播客「Unchained」有几期就专门提到了这两个人,如果你还没听过,我建议你去听听。此外,我这里还有一份截至今年 3 月投资加密资产的前八大基金清单括号内为投资项目数量:
聪明人的投资术
要详细研究区块链这个投资主题,其实可以有很多种方式。在 Laura Shin 最近的某一期播客中,Multicoin Capital 公司的 Kyle Samami 归纳出了风投进行加密资产投资的三种方式:
1、设立独立基金,专门投资加密技术
Andreessen Horowitz 公司新设的 3 亿美元的基金采用的就是这种方式。要进行加密资产投资,风投公司需要做一个「做 vs 买」的决定。也就是说,我是 要开发公司内部的实力去投资区块链和加密资产,还是要把这些技能「外包」出去?Andreessen Horowitz 选择的是前者,对他们来说这或许是很合适的。他们已经在加密技术领域有大量的投资,而新增的投资则能加大其商业协同效应的可能性。
Andreessen Horowitz 还认为,加密技术最终将成为主流,所以从他们的角度来看,尽早地开发这一特定领域的专业知识是有意义的。最后,他们的加密技术基金构建方式也很有优势。Andreessen Horowitz 有一队专门的 LP
为这个基金提供资金支持,也就是说,他们了解这个领域具有的波动性,也懂得用长期发展的眼光来看待投资。而另一种基金,只是从现有的基金中抽取一部分资金出来,但这种基金可能会有对加密资产并不熟悉的投资者,或者是他们不喜欢你拿他们的钱去冒险。Andreessen 的基金传递的信息也很直接:他们已经设想到可能出现的诸多风险。3 亿美元不是一个小数,如果区块链最终只是昙花一现,或者是价值在未来 10 年如果没有出现显著增长的话,那么他们就得需要面对一些非常不满的投资者。
2、投资其它「专头资区块链」的风投公司
这是 USV 采取的主要方法,不过,他们自己也有直接面向区块链公司的投资。自 2014 年以来,USV 的资本投到了好几家专投区块链的风投公司 其中就包括 Multicoin Capital 和 Polychain Capital 公司。也就是说,前文我们提到的「做 vs 买」选择中,USV 似乎暂时倾向选择的是「购买」区块链和加密技术能力。投资像 Multicoin 这样的基金,可以让 USV 从那些谨慎的投资者那里获得最大的信息流和利润,而这些投资者的业务重点完全集中在区块链或加密资产上。这种间接投资的形式,也使 USV 能够加强对其区块链和加密资产投资的风险敞口限制,积极地管理风险。他们还可以尽可能地多接触那些只关注这一领域的投资者。在我看来,这种方式很有意义。不过我猜,有些投资者可能也会产生疑问,他们为什么不干脆直接投资 Multicoin Capital 呢 如果他们不想通过 USV 间接进行投资的话。
3、从现有基金中分割出一部分
Lightspeed 的区块链投资采取的是第三种方式。这一方法介于前面的两种方法之间,它不属于专为区块链和加密资产投资募集基金,而是从现有基金中分割出一部分来。这种方法的优势在于,它给了基金可以「试水」的机会,也就是说,同时也能亲自体验和面对这一投资的风险。坦白说,我并不喜欢这种投资框架模式。虽然你确实可以避开 Andreessen Horowitz 假设会出现的那些风险,你的公司内部实力可能也可以强过 USV,但是,在我看来,它的问题让人感觉不像前两种那样考虑周全和完善,前面两种方式明显具有策略方面的优势。
谁更胜一筹?
围绕区块链的火热话题讨论,让我想起了中国首任总理周恩来的名言。周总理在被问及他对法国大革命的看法时,他的回答是:「下结论还为时过早。」现实情况是,我们现在仍然身处这样的初期阶段,只有时间才能告诉我们,哪种投资方式和基金结构能带来最佳回报。Andressen Horowitz 的基金也是不过是才刚刚成立。不过,话虽如此,我并不打算以这样敷衍的结论草草结束此文,我的观点是:能在这个生态系统中获得成功的基金,将会是那些懂得维护纪律并能抵御极端波动性带来风险重击的基金。
这种观点在加密社区中是很不受欢迎的,但是,你们知道事实是什么?目前,加密货币有 99% 都是无用的。以太坊也只有寥寥几个应用程序,月活跃用户也只有大概 1000 人——1000 人!这样的关注度还不如某些八年级学生的科学项目关注度高。没错,我知道它还有潜力等待人们开发,我们都知道有潜力,但实际上,Coinmarketcap 前 100 强的代币,其价格都是疯狂估值的结果。
市场终将意识到它所犯下的错误,这是它一贯以来的作风。而等到这一天来临的时候,很多人都将损失惨重。投资者将会恐慌,投资规模将大幅缩减。不过,那些严格遵循自己的投资方式,保持坚定信念并持续用战略方式进行资本配置的基金,最终将获得属于他们的奖赏。
原文作者:Michael Ippolito
编译:Lynn Lee
查看全部
一直以来,风险投资和区块链之间,总是有那么一点「天作之合」的感觉。在机构投资加密资产的路上,风投走在了最前头。早在 2013 年,就有像 Union Square Ventures 以下简称 USV 和 Andreessen Horowitz 等公司在这一领域进行过大笔投资,时间远远早于去年涌现的加密资产投资热潮。
如果你是个乐观主义者,你可能会说,这是因为加密资产爆炸式的增长,刚好与风投公司的策略非常吻合——他们倾向于投资那种高风险、高回报的项目。
当然,如果你对此持怀疑态度的话,你可能又会说,代币的发行给人们提供了一种具有吸引力的可替代融资方式,这其实给风投带来了非常激烈的竞争。
而真相,真如我们经常看到的那样,很可能夹杂在这两种观点之间。本文想要探讨的是,就目前来说,风投似乎对区块链 / 加密领域非常感兴趣。那么,他们当中哪些是主要的投资方?他们又是如何做出投资决策的呢 ?
大型玩家
就这个问题来说,其实答案都在意料之中。你会发现,风险投资领域的那头「800 磅的大猩猩」意指强大到无需有任何顾忌的人或物,也有计划想要成为区块链领域中的「800 磅的大猩猩」。Andreessen Horowitz 公司已经宣布成立一个 3 亿美元的基金,专门投资新兴的密码资产和区块链技术。该基金的负责人将由曾在美国司法部任职的前联邦检察官 Katie Huan 和公司现在的普通合伙人 Chris Dixon 一起负责管理。
这个基金能带来多大的影响力目前还很难说清,不过,对加密货币领域来说,这家拥有 9 年历史的风投巨头并不陌生。它早期曾投资的项目包括有 Coinbase、Ripple 和 Cryptokitties,可谓是迄今为止最早、规模最大的、专门投资加密资产的风投公司基金之一。的确,这个基金意味着,将有一大笔机构资金注入加密资产领域,为那些很有发展前景的项目和企业家提供支持。而在我看来,更重要的是,这个基金还把给加密资产这个急需要认同的领域带来了一种可信度。当机构资金越早将这一领域视为合法的、高增长的投资机会,加密货币的未来发展前景就会越好。
USV 在这方面的表现非常值得称赞。作为其联合创始人之一的 Fred Wilson 就是我心目中的一个英雄。他很早就支持加密货币的发展,可以说,他和许多早期的区块链设计师和先锋人物一样,引领了这个领域的发展。Fred
一直都明确地表示,他对区块链技术和加密资产的风发展前景有信心。USV 也在早期投资过一些加密界的巨头,如 Coinbase 和 OpenBazaar 等,他们还常常与 Andreessen Horowitz 公司携手一起投资。
Andreessen Horowitz 和 USV 的区块链投资
我个人也喜欢 USV 在加密资产领域的投资方式,他们非常注重强调监管在区块链中扮演的角色和 DApp 的价值。Wilson 在最近发布的一篇博客中就强调了这一点,他说:「如果 2016 年下半年和 2017 年全年的重心都是围绕筹集资金用来资助发展项目的话,那么 2018 年肯定会令人觉得,这是我们开始拥有能使用的去中心化应用的一年。」就监管方面来说,我不想聊到太遥远的话题,但一般的理论是,更好的监管结构,将能吸引优秀的开发人员,从而创造出更一流的区块链。
Andreessen Horowitz 和 USV 并不是仅有的两家涉足加密技术投资的风投公司。现在有很多基金,如 Lightspeed 和 Draper Associates,都在加密货币和区块链有大笔投资,而且,还出现了一批专为投资区块链而设立的风投公司。
在这里,我想特别提到的是 Placeholder Ventures,这家公司由曾任职于 USV 的 Joel Joel Monegro 和 Chris Burniske 领导 后者著有《Cryptoassets: The Innovative Investor’s Guide to Bitcoin》一书。Laura Shin 著名的播客「Unchained」有几期就专门提到了这两个人,如果你还没听过,我建议你去听听。此外,我这里还有一份截至今年 3 月投资加密资产的前八大基金清单括号内为投资项目数量:
聪明人的投资术
要详细研究区块链这个投资主题,其实可以有很多种方式。在 Laura Shin 最近的某一期播客中,Multicoin Capital 公司的 Kyle Samami 归纳出了风投进行加密资产投资的三种方式:
1、设立独立基金,专门投资加密技术
Andreessen Horowitz 公司新设的 3 亿美元的基金采用的就是这种方式。要进行加密资产投资,风投公司需要做一个「做 vs 买」的决定。也就是说,我是 要开发公司内部的实力去投资区块链和加密资产,还是要把这些技能「外包」出去?Andreessen Horowitz 选择的是前者,对他们来说这或许是很合适的。他们已经在加密技术领域有大量的投资,而新增的投资则能加大其商业协同效应的可能性。
Andreessen Horowitz 还认为,加密技术最终将成为主流,所以从他们的角度来看,尽早地开发这一特定领域的专业知识是有意义的。最后,他们的加密技术基金构建方式也很有优势。Andreessen Horowitz 有一队专门的 LP
为这个基金提供资金支持,也就是说,他们了解这个领域具有的波动性,也懂得用长期发展的眼光来看待投资。而另一种基金,只是从现有的基金中抽取一部分资金出来,但这种基金可能会有对加密资产并不熟悉的投资者,或者是他们不喜欢你拿他们的钱去冒险。Andreessen 的基金传递的信息也很直接:他们已经设想到可能出现的诸多风险。3 亿美元不是一个小数,如果区块链最终只是昙花一现,或者是价值在未来 10 年如果没有出现显著增长的话,那么他们就得需要面对一些非常不满的投资者。
2、投资其它「专头资区块链」的风投公司
这是 USV 采取的主要方法,不过,他们自己也有直接面向区块链公司的投资。自 2014 年以来,USV 的资本投到了好几家专投区块链的风投公司 其中就包括 Multicoin Capital 和 Polychain Capital 公司。也就是说,前文我们提到的「做 vs 买」选择中,USV 似乎暂时倾向选择的是「购买」区块链和加密技术能力。投资像 Multicoin 这样的基金,可以让 USV 从那些谨慎的投资者那里获得最大的信息流和利润,而这些投资者的业务重点完全集中在区块链或加密资产上。这种间接投资的形式,也使 USV 能够加强对其区块链和加密资产投资的风险敞口限制,积极地管理风险。他们还可以尽可能地多接触那些只关注这一领域的投资者。在我看来,这种方式很有意义。不过我猜,有些投资者可能也会产生疑问,他们为什么不干脆直接投资 Multicoin Capital 呢 如果他们不想通过 USV 间接进行投资的话。
3、从现有基金中分割出一部分
Lightspeed 的区块链投资采取的是第三种方式。这一方法介于前面的两种方法之间,它不属于专为区块链和加密资产投资募集基金,而是从现有基金中分割出一部分来。这种方法的优势在于,它给了基金可以「试水」的机会,也就是说,同时也能亲自体验和面对这一投资的风险。坦白说,我并不喜欢这种投资框架模式。虽然你确实可以避开 Andreessen Horowitz 假设会出现的那些风险,你的公司内部实力可能也可以强过 USV,但是,在我看来,它的问题让人感觉不像前两种那样考虑周全和完善,前面两种方式明显具有策略方面的优势。
谁更胜一筹?
围绕区块链的火热话题讨论,让我想起了中国首任总理周恩来的名言。周总理在被问及他对法国大革命的看法时,他的回答是:「下结论还为时过早。」现实情况是,我们现在仍然身处这样的初期阶段,只有时间才能告诉我们,哪种投资方式和基金结构能带来最佳回报。Andressen Horowitz 的基金也是不过是才刚刚成立。不过,话虽如此,我并不打算以这样敷衍的结论草草结束此文,我的观点是:能在这个生态系统中获得成功的基金,将会是那些懂得维护纪律并能抵御极端波动性带来风险重击的基金。
这种观点在加密社区中是很不受欢迎的,但是,你们知道事实是什么?目前,加密货币有 99% 都是无用的。以太坊也只有寥寥几个应用程序,月活跃用户也只有大概 1000 人——1000 人!这样的关注度还不如某些八年级学生的科学项目关注度高。没错,我知道它还有潜力等待人们开发,我们都知道有潜力,但实际上,Coinmarketcap 前 100 强的代币,其价格都是疯狂估值的结果。
市场终将意识到它所犯下的错误,这是它一贯以来的作风。而等到这一天来临的时候,很多人都将损失惨重。投资者将会恐慌,投资规模将大幅缩减。不过,那些严格遵循自己的投资方式,保持坚定信念并持续用战略方式进行资本配置的基金,最终将获得属于他们的奖赏。
原文作者:Michael Ippolito
编译:Lynn Lee
查看全部
Marc Andreessen, his wife, Laura, and Zuckerberg. Paul Sakuma / AP Images
一直以来,风险投资和区块链之间,总是有那么一点「天作之合」的感觉。在机构投资加密资产的路上,风投走在了最前头。早在 2013 年,就有像 Union Square Ventures 以下简称 USV 和 Andreessen Horowitz 等公司在这一领域进行过大笔投资,时间远远早于去年涌现的加密资产投资热潮。
如果你是个乐观主义者,你可能会说,这是因为加密资产爆炸式的增长,刚好与风投公司的策略非常吻合——他们倾向于投资那种高风险、高回报的项目。
当然,如果你对此持怀疑态度的话,你可能又会说,代币的发行给人们提供了一种具有吸引力的可替代融资方式,这其实给风投带来了非常激烈的竞争。
而真相,真如我们经常看到的那样,很可能夹杂在这两种观点之间。本文想要探讨的是,就目前来说,风投似乎对区块链 / 加密领域非常感兴趣。那么,他们当中哪些是主要的投资方?他们又是如何做出投资决策的呢 ?
大型玩家
就这个问题来说,其实答案都在意料之中。你会发现,风险投资领域的那头「800 磅的大猩猩」意指强大到无需有任何顾忌的人或物,也有计划想要成为区块链领域中的「800 磅的大猩猩」。Andreessen Horowitz 公司已经宣布成立一个 3 亿美元的基金,专门投资新兴的密码资产和区块链技术。该基金的负责人将由曾在美国司法部任职的前联邦检察官 Katie Huan 和公司现在的普通合伙人 Chris Dixon 一起负责管理。
这个基金能带来多大的影响力目前还很难说清,不过,对加密货币领域来说,这家拥有 9 年历史的风投巨头并不陌生。它早期曾投资的项目包括有 Coinbase、Ripple 和 Cryptokitties,可谓是迄今为止最早、规模最大的、专门投资加密资产的风投公司基金之一。的确,这个基金意味着,将有一大笔机构资金注入加密资产领域,为那些很有发展前景的项目和企业家提供支持。而在我看来,更重要的是,这个基金还把给加密资产这个急需要认同的领域带来了一种可信度。当机构资金越早将这一领域视为合法的、高增长的投资机会,加密货币的未来发展前景就会越好。
USV 在这方面的表现非常值得称赞。作为其联合创始人之一的 Fred Wilson 就是我心目中的一个英雄。他很早就支持加密货币的发展,可以说,他和许多早期的区块链设计师和先锋人物一样,引领了这个领域的发展。Fred
一直都明确地表示,他对区块链技术和加密资产的风发展前景有信心。USV 也在早期投资过一些加密界的巨头,如 Coinbase 和 OpenBazaar 等,他们还常常与 Andreessen Horowitz 公司携手一起投资。
Andreessen Horowitz 和 USV 的区块链投资
我个人也喜欢 USV 在加密资产领域的投资方式,他们非常注重强调监管在区块链中扮演的角色和 DApp 的价值。Wilson 在最近发布的一篇博客中就强调了这一点,他说:「如果 2016 年下半年和 2017 年全年的重心都是围绕筹集资金用来资助发展项目的话,那么 2018 年肯定会令人觉得,这是我们开始拥有能使用的去中心化应用的一年。」就监管方面来说,我不想聊到太遥远的话题,但一般的理论是,更好的监管结构,将能吸引优秀的开发人员,从而创造出更一流的区块链。
Andreessen Horowitz 和 USV 并不是仅有的两家涉足加密技术投资的风投公司。现在有很多基金,如 Lightspeed 和 Draper Associates,都在加密货币和区块链有大笔投资,而且,还出现了一批专为投资区块链而设立的风投公司。
在这里,我想特别提到的是 Placeholder Ventures,这家公司由曾任职于 USV 的 Joel Joel Monegro 和 Chris Burniske 领导 后者著有《Cryptoassets: The Innovative Investor’s Guide to Bitcoin》一书。Laura Shin 著名的播客「Unchained」有几期就专门提到了这两个人,如果你还没听过,我建议你去听听。此外,我这里还有一份截至今年 3 月投资加密资产的前八大基金清单括号内为投资项目数量:
聪明人的投资术
要详细研究区块链这个投资主题,其实可以有很多种方式。在 Laura Shin 最近的某一期播客中,Multicoin Capital 公司的 Kyle Samami 归纳出了风投进行加密资产投资的三种方式:
1、设立独立基金,专门投资加密技术
Andreessen Horowitz 公司新设的 3 亿美元的基金采用的就是这种方式。要进行加密资产投资,风投公司需要做一个「做 vs 买」的决定。也就是说,我是 要开发公司内部的实力去投资区块链和加密资产,还是要把这些技能「外包」出去?Andreessen Horowitz 选择的是前者,对他们来说这或许是很合适的。他们已经在加密技术领域有大量的投资,而新增的投资则能加大其商业协同效应的可能性。
Andreessen Horowitz 还认为,加密技术最终将成为主流,所以从他们的角度来看,尽早地开发这一特定领域的专业知识是有意义的。最后,他们的加密技术基金构建方式也很有优势。Andreessen Horowitz 有一队专门的 LP
为这个基金提供资金支持,也就是说,他们了解这个领域具有的波动性,也懂得用长期发展的眼光来看待投资。而另一种基金,只是从现有的基金中抽取一部分资金出来,但这种基金可能会有对加密资产并不熟悉的投资者,或者是他们不喜欢你拿他们的钱去冒险。Andreessen 的基金传递的信息也很直接:他们已经设想到可能出现的诸多风险。3 亿美元不是一个小数,如果区块链最终只是昙花一现,或者是价值在未来 10 年如果没有出现显著增长的话,那么他们就得需要面对一些非常不满的投资者。
2、投资其它「专头资区块链」的风投公司
这是 USV 采取的主要方法,不过,他们自己也有直接面向区块链公司的投资。自 2014 年以来,USV 的资本投到了好几家专投区块链的风投公司 其中就包括 Multicoin Capital 和 Polychain Capital 公司。也就是说,前文我们提到的「做 vs 买」选择中,USV 似乎暂时倾向选择的是「购买」区块链和加密技术能力。投资像 Multicoin 这样的基金,可以让 USV 从那些谨慎的投资者那里获得最大的信息流和利润,而这些投资者的业务重点完全集中在区块链或加密资产上。这种间接投资的形式,也使 USV 能够加强对其区块链和加密资产投资的风险敞口限制,积极地管理风险。他们还可以尽可能地多接触那些只关注这一领域的投资者。在我看来,这种方式很有意义。不过我猜,有些投资者可能也会产生疑问,他们为什么不干脆直接投资 Multicoin Capital 呢 如果他们不想通过 USV 间接进行投资的话。
3、从现有基金中分割出一部分
Lightspeed 的区块链投资采取的是第三种方式。这一方法介于前面的两种方法之间,它不属于专为区块链和加密资产投资募集基金,而是从现有基金中分割出一部分来。这种方法的优势在于,它给了基金可以「试水」的机会,也就是说,同时也能亲自体验和面对这一投资的风险。坦白说,我并不喜欢这种投资框架模式。虽然你确实可以避开 Andreessen Horowitz 假设会出现的那些风险,你的公司内部实力可能也可以强过 USV,但是,在我看来,它的问题让人感觉不像前两种那样考虑周全和完善,前面两种方式明显具有策略方面的优势。
谁更胜一筹?
围绕区块链的火热话题讨论,让我想起了中国首任总理周恩来的名言。周总理在被问及他对法国大革命的看法时,他的回答是:「下结论还为时过早。」现实情况是,我们现在仍然身处这样的初期阶段,只有时间才能告诉我们,哪种投资方式和基金结构能带来最佳回报。Andressen Horowitz 的基金也是不过是才刚刚成立。不过,话虽如此,我并不打算以这样敷衍的结论草草结束此文,我的观点是:能在这个生态系统中获得成功的基金,将会是那些懂得维护纪律并能抵御极端波动性带来风险重击的基金。
这种观点在加密社区中是很不受欢迎的,但是,你们知道事实是什么?目前,加密货币有 99% 都是无用的。以太坊也只有寥寥几个应用程序,月活跃用户也只有大概 1000 人——1000 人!这样的关注度还不如某些八年级学生的科学项目关注度高。没错,我知道它还有潜力等待人们开发,我们都知道有潜力,但实际上,Coinmarketcap 前 100 强的代币,其价格都是疯狂估值的结果。
市场终将意识到它所犯下的错误,这是它一贯以来的作风。而等到这一天来临的时候,很多人都将损失惨重。投资者将会恐慌,投资规模将大幅缩减。不过,那些严格遵循自己的投资方式,保持坚定信念并持续用战略方式进行资本配置的基金,最终将获得属于他们的奖赏。
原文作者:Michael Ippolito
编译:Lynn Lee
Tatiana Koffman 一文详解证券型代币全生态
leek 发表了文章 • 2018-07-28 15:47
证券资产代币化意味着上万亿美元的市场,这足够让人热血沸腾。今天,我们来了解一下资产代币化领域的先行者和关键的生态建设者。
新一代的代币正在不断涌现。如果 2017 年是功能型代币的春天,2018 年的标志毫无疑问意味着全新的平台、交易所和基金生态的诞生,而所有这一切,都瞄准「证券资产代币化」的上万亿美元市场。
在区块链技术的诱惑下,代币化在更为传统的发行商和投资者中愈来愈受追捧, 加密资产大鳄更不必说,他们都期待用这一途径来对冲波动性较大的资产仓位。
什么是证券型代币?
证券型代币、代币化的证券资产或者投资型代币,是符合美国证券交易委员会 SEC 监管规定的金融证券。这些第二代代币可以为投资者带来一系列的金融权益,融合了证券、股息、利润分红、股东投票权、回购权利等等。
通常这些代币代表了对标的资产的权益,标的资产通常包括了房地产、现金流或者持有的其他基金。这些权益被写入智能合约,代币可以在区块链支持的交易所进行交易。
部分鼓吹者声称此类债券很快将大行其道,传统股票市场和场外交易所将在未来 10 年被完全取代。
为什么搞代币化?
代币化的好处包括 可以将大型资产碎片化,实现更强的流动性,可以实现较低的保险费用和更高的市场效率。
不过,证券型代币最大的好处是让发行者可以接纳来自全球的资本。这些代币可以在符合监管的前提下,在全球交易流通,从而得到更公允的定价,这在投资者眼中更具吸引力。
符合 SEC 监管对于机构投资者而言是更容易接受的组织架构,而对加密资产投资者而言是技术创新,对这两支投资力量都颇具吸引力。
学个新词: STO ,证券代币发行,与功能型代币的 ICO 类似。
如何代币化?
如果你想把贵公司下一轮融资代币化,请先花上 六个月时间聘用融资顾问、律师,与部分平台接触。一切步入正轨后,贵公司还要花上两个月与融资顾问和法律顾问打造代币化具体架构,编制营销材料,花一个月时间与技术平台磨合上币,花三个月面向传统投资机构和加密货币投资者进行路演。
以下清单可以作为平台和融资顾问的参考名单,也是其他发行活动的详实蓝图。我们先具体了解一下。
发币平台
这些发币平台既有对发币团队技术要求较高的开源区块链协议,也有提供一站式解决方案和顾问服务的专业机构
Polymath
https://www.polymath.network/
Polymath 是一个融合法律合规的代币化证券的发起和发行区块链协议。该协议在新的证券型代币设计时就嵌入金融监管要求,可以在区块链上无缝打造金融产品。
发币公司或团队可以通过 Polymath 平台交易证券型代币、认证投资者、与司法顾问牵线搭桥,并连接开发者市场。
该平台使用 ERC20 原生代币,作为连接客户认证、法律服务和开发者服务的标的商品计价单位。
已融资金额:$5,900 万美元 ICO
管理层:Trevor Koverko CEO,企业家,区块链演讲家和加密货币投资者
顾问:Anthony Diiorio 以太坊联合创始人,JAXX 钱包 CEO、Steven Nerayoff、供职于知名加速器和风投机构 Alchemist Ventures、Patrick Byrne 美国大型电商平台 Overstock 的 CEO
Harbor
https://harbor.com/
Harbor 是可以让传统投资机构无缝接入区块链的一个开源平台。
Harbor 的一套标准化流程,可以保障标的企业将传统投资资产在合规条件下按部就班的转移至区块链。通过一种被称为「私募 ICO Private Placement ICO, PICO」的方式, Harbor 可提供符合美国证券交易委员会 D 条例的私募销售,并融合新的代币 R-Token 许可技术。其标准化流程包括了包括 KYC/AML 了解你的客户 / 反洗钱 合规服务、纳税原则、信息披露和通过该系统生成的每一种代币的评估状态等等。
已融资金额:1,000 万美元 A 轮融资
管理层:David Sacks CEO,知名风投 Craft Ventures 普通合伙人,之前担任 Paypal 的 COO,Yammer
的创始人,Zenefits 的 CEO、Bob Remeika CTO,曾担任 Zenefits 的副总裁、Arisa Amano CPO,曾担任 Zenefits 的副总裁
Securitize
https://www.securitize.io/
Securitize 对证券代币化提供监管合规的云服务解决方案,让基金、公司或其他经济实体成功实现代币化。
该公司提供多项服务,包括为发行企业及其法律团队提供司法和监管合规准备,帮助投资者合规 KYC/AML 认证和其他司法规则,定制智能合约,匹配发币者独特的需求,并保障相关证券型代币存续期间的所有数据。
Securitize 是从风投机构 SPiCE VC 分拆出的新公司,已与多家公司达成 ICO 发币承诺,总价值超过 5 亿美元,包括 CryptoOracle、Kairos.com、 Lottery.com 和 22X Fund。
管理层:Carlos Domingo CEO 兼董事长,Spice VC 管理合伙人,曾担任西班牙电信研发部门 CEO、Jamie Finn 总裁,曾在 Aki、通信巨头 AT&T;、Kontera 和西班牙电信担任负责商务拓展的执行副总裁 、Shay Finkelstein CTO,SPiCE VC CTO
Swarm Fund
https://swarm.fund/
Swarm 利用 SRC20 协议对现实世界资产进行代币化。代币化的标的变成可以在 Swarm 区块链上被容易管理、治理和交易的「资产」。
成立于 2018 年 1 月的 Swarm Invest,为外部投资者提供投资证券化资产的机会。个人投资者可以用 SWM、比特币 BTC 和 ETH 投资现实世界资产,投资者拿到 SRC20 代币,获取了所有权和治理权,这些权益使他们可以合法分享相关资产所产生的收益,并以监管合规方式合法交易这些代币。该项目也计划很快实现可以用法币投资。
标的资产主要包括房地产、可再生能源企业、科技公司、加密货币投资基金、影响力投资 开发项目及灾后重建、基础设施以及其它项目等。
已筹资金额:通过 ICO 筹资 550 万美元
管理层:Philipp Pieper CEO、Timo Lehes 首席投资官、Chris Eberle 首席运营官
知名顾问:Anthony Di Iorio 加密货币钱包企业 Jaxx 以及 Decentral 的创始人兼 CEO、以太坊的联合创始人、Chris Kitze 数字货币投资基金 Alphabit 董事长、David Drake 多家族财富管理公司 LDJ Capital 创始人兼董事长
混合解决方案
Templum
https://www.tradetemplum.com/
Templum 是一家为证券型代币的发行和二级市场交易提供合规解决方案的机构。Templum Markets 之前曾叫 Liquid M Capital,是被 Templum 以 130 万美元收购的一家有合规资质的替代性交易系统 ATS 暨券商经纪机构。
在 Templum 平台,既可以进行证券型代币发币,也可以由发币方及投资者进行二级市场投资。与其它解决方案一样,Templum 内置了 AML/KYC
认证服务,以保障该平台符合监管规定。
已募资金额的:270 万美元 个人投资
管理层:Christopher Pallotta CEO,曾在 Raptor Capital 担任董事总经理、Josef Schaible 首席运营官,曾在 Salt Lending 担任总监
Securrency
https://securrency.com/
成立于 2015 的 Securrency 提供了一个可扩容、受保护的平台,为之前不具流动性的资产做市。
该公司的平台包括几个产品:
Securrency™ :帮助发币方实现监管合规,实现代币化证券的交易或转移;
RegTex™:提供 KYC/AML 等监管合规、信息披露、投资者资质认证和税务缴纳等服务;
SmartContraX™ : 区块链智能合约开发服务;
InfinXchange™ :提供支付、交易、资产定价和其他交易行为等标准界面 。
已募集金额:1,000 万美元
管理层:Dan Doney CEO,曾任美国国防情报局 DIA 首席创新官、Ron Poe 合规官员,美国海军陆战队上尉、John Hensel 首席运营官,退役美国海军上尉,管理过价值超过 150 亿美元的航空资产
交易所
tZERO
https://www.tzero.com/
tZERO 隶属美国最大网上零售商之一的 Overstock.com 旗下,专注于研发各种区块链技术支持的资本市场解决方案。
该公司目前的产品涵盖证券经纪服务、入货及存储管理系统, 涵盖逾 100 家经纪机构、24 小时交易平台的智能合约路由解决方案,以及其他服务。
该公司处理传统证券业务,但也计划扩大运营,整合进一套加密货币交易系统。该公司拿出调整后总收入的 10%,每个季度向其代币 tZERO 的持币者分红。
已筹集金额:1.14 亿美元 进行中的 ICO
管理层:Patrick Byrne CEO,Overstock.com 创始人兼 CEO,Medici Ventures 创始人、Joe Cammarata 总裁,SpeedRoute (tZERO 旗下分支) CEO,Sonic Trading 创始人兼 CEO、Ralph Daiuto 首席运营官,总法律顾问、John Gilchrist 首席信息官,前美林证券副总裁 VP
OpenFinance Network
https://www.openfinance.io/
OpenFinance Network OFN 是一家专门服务替代性资产二级市场的开源平台。
OFN 团队自 2014 年以来一直携手合作,推出了交易、清算和结算服务。近期该团队重点转向区块链解决方案,已研发出一套代币化证券能在区块链网络发行和进行交易的合规标准。OFN 上月帮助实现了最早的经批准通过的合规证券型代币交易之一,目前正接受上币申请,将交易更多证券型代币。
已募集金额:220 万美元 A 轮
管理层:Juan M. Hernandez CEO,美国中西部最大不动产股权众筹平台 PeerRealty 以及 Pop Stock Exchange 的创始人、Ian Shipman 研发负责人
AmbiSafe/Orderbook
https://www.ambisafe.co/
Orderbook 是一个去中心化交易所,通过一种特定的代币 RAP 自动完成投资者认证过程 。通过交叉验证当地的法律法规与 RAP 持币者个人信息数据库的契合度,保障 ICO 及其他加密货币相关交易的合规。
譬如,某位不符合监管规定的投资者试图通过交易所买币,这一系统会将投资者的许可级别与内部数据库进行匹配,阻止这些不符合资质的购买。
管理层:Andrii Zamovsky 创始人、Stephen Pettibone 首席运营官,前纳斯达克负责合规事宜的副总裁 VP
流动层
Bancor
https://www.bancor.network/
Bancor
提供了一种流动性模式,将多个币种与一个资金池挂钩,能实现价格发现,即使在交易量极低情况下也能确保流动性。涉及到证券时,这种模式在现有最好方法基础上,提供替代性途径来实现流动性,提高证券资产转移到区块链网络的收益。
Bancor 也经常被称为价值创造的长尾,即低需求、低数量产品的长尾。
在代币化证券市场,一个此类应用案例是 Bancor 与代币化风投基金 SPiCE VC 合作建立的。按照协议,SPiCE VC 承诺在 Bancor 网络持有不超过 5% 的资本金,这样代币持有者可以从其他激活流动性的方法中获益。
已募集金额:1.52 亿美元 ICO
管理层:Guy Benartzi 联合创始人,曾担任社交游戏先锋 Mytopia CEO,Particle Code 公司总裁、Galia Benartzi 联合创始人,曾担任硅谷创业投资基金 Founders Fund 风投合伙人,Particle Code 公司 CEO、Eyal Hertzog 产品架构师
Airswap
https://www.airswap.io/
证券资产代币化的好处包括为全球资本的涌入开启闸门,消除孤立需求,以及激活受到地域和基础设施限制的供应动态。
Airswap 是一个去中心化交易所,能实现全球化交易,连接不同市场的单个主体。在证券型代币市场,会带来更强大的流动性和更为稳定、减少动荡性的市场环境。
已融资金额:3,600 万美元 ICO
管理层:Michael Oved 联合创始人,是算法交易员,也是高频交易巨头和做市商 Virtu-Financial 合伙人、Don Mosites 联合创始人
现有的代币化证券
欢迎来到新世界。现在证券型代币发行商还只是屈指可数,目前仅有约十几种在流通中,这属于金融创新的前沿 。
BCap Blockchain Capital
http://blockchain.capital/
在比特币基金会董事局主席、EOS 合伙人 Brock Pierce 的创新领导下,Blockchain Capital 成为第一家推出证券型代币公开销售的机构。
Blockchain Capital 希望通过其 ICO,在多个层面推动这一新型代币的销售。这一 ICO 创建了未来证券型代币的蓝图,投资了其它一些采取了最佳方式、只接受合格投资者的 ICO 融资。
该代币销售六个小时就触及 1,000 万美元封顶值。ICO 融到的资金转到比特币基金会旗下的基金。据发币白皮书称,该基金会管理合伙人收取 2.5% 管理费及 25% 业绩奖金。其余盈利将分给代币持币者。
募集金额:1,000 万美元
管理层:Brock Pierce 比特币基金会、DNA.fund 和 EOS 等等联合创始人、Bart Stephens 联合创始人兼管理合伙人、Bradford Stephens 联合创始人兼管理合伙人
Science Blockchain
https://science.tokenhub.com/
Science Blockchain 是一个专注于区块链投资的基金和孵化器。因此,这一基金的资本是通过证券型代币 ICO 募集而来就很合逻辑了。
这种证券型代币赋予其持币者对其孵化企业所带来的新的代币拥有多达 70% 的所有权。另外,该基金流动性收益将被用于回购机制,让投资者能享受到证券的升值。
募集金额:1,230 万美元
管理层:Peter Pham 创始人、Mike Jones 和 Greg Gilman 最初 Science 孵化器 incubator 创始人和投资者
Lottery.com
https://tokensale.lottery.com/
Lottery.com,之前名为 AutoLotto,是一个移动互联网平台的博彩项目。该公司计划采用区块链技术,改善其支付、透明度、灵活性和在国际市场的扩展性等。
该公司的证券型代币私募销售临近落幕,据称募集高达九位数美元金额。该网站将依据博彩销售总额向这一证券型代币的持币者派息分红。
Securitize 和 Cashbet 已经与 Lottery.com 结盟,帮助其将这一代币推向市场。
募集金额:仍在进行中
管理层:Tony Dimatteo CEO、Matt Clemenson 总裁,加密创意负责人、Zach Goldberg CTO,曾就职于谷歌及腾讯微信
知名顾问:Miguel Forbes Forbes.com 创始人、Joey Krug 知名风投 Pantera Capital 首席投资官、Miko Matsamura 美国加密货币交易所 Evercoin 联合创始人
SPiCE VC
https://www.spicevc.com/
风投 VC 几乎是我们这个时代所有伟大变革的幕后推手,不过风投产业几乎一直是一成不变的。SPiCE VC 则计划通过证券型代币来改变这一局面,为投资者提供即时流动性。
在传统型风投基金中,有限合伙人普遍得等上 7-12 年才能全部拿回其本金,而 SPiCE 证券型代币持有人在可以享受可交易资产的同时,也可以选择瞬间拿回其投资尽管该公司计划投资部分功能型代币,不过他们的首要重心在于证券型代币,Securitize 是他们投资的第一家此类公司。
募集金额:4000 万美元
管理层:Carlos Domingo 管理合伙人,前西班牙电信研发部门 CEO、Tal Elyashiv 管理合伙人,Capital One 前首席投资官,曾供职于美国银行、Ami Ben David 管理合伙人
22X Fund
https://www.22xfund.com/
初创企业融资难,这就是为什么近期美国著名加速器 500 Startups 第 22 期初创公司携手组建了一个全新的证券型代币基金 「22X Fund」。
500 Startups 2017 年创业营毕业的企业中,不超过 30 家优胜者将得到 22X Fund 的投资。该基金将持有每家初创企业 2.5%-10% 的股权。22X Fund 所发代币的持币者可以通过交易所买卖代币或者回购机制来获取回报。
管理层和顾问:Jamie Finn 基金投资经理、Tim Reynders 投资顾问
PropertyCoin
https://propertycoin.re/en/
PropertyCoin 是证券型代币能如何改变现有市场的另一个鲜活例证。PropertyCoin 通过一种 100% 得到资产支持的代币,撬动房地产市场。
该代币背后的运营商 Aperture 计划将募集资金投入两大板块:1、居民住宅价格洼地;2、向其他房地产投资者放贷。通过再投资,该代币持有者分享基金盈利的
50%。
管理层和顾问:Andrew Jewett 联合 CEO,曾在瑞银证券担任高管、Matt Miles 联合 CEO,曾在瑞银证券担任高管
Siafunds
https://siafunds.tech/
Sia 是一个基于区块链的去中心化云存储平台,租赁企业可以从主机提供商租赁相应服务。
Sia 设计了两种代币:Siacoin 和__Siafunds。租赁企业使用 Siacoin,主机提供商使用 Siafunds,在该平台上达成合约。租赁企业和主机提供商需要向 Sia 支付在平台上所有支出的 3.9%,作为网络服务费。服务费对 Siafunds 持币者按比例分成。
Sia 平台的运营商 Nebulous 将一万个 Siafunds 代币中的 750 个作为符合 SEC 条例的证券型代币。这是代币「二层发行」的例子之一,即发行方同时发行证券型代币和功能型代币。
管理层:David Vorick CEO 兼核心开发者,曾就职于 IBM 和仁斯利尔理工大学、Luke Champine 联合创始人兼核心开发者,曾就职于仁斯利尔理工大学
Slice
https://slice.market/
Slice 是一家面向跨境投资者的商业房地产投资平台。它的职能类似优质地产证券的承销商、发行商和配售代理。
Slice 为常规房地产证券类投资提供了流动性,也为高净值投资者创造了新的投资选择。Slice 的投资人可以选择从产生现金流的房地产取得稳定的季度分红,也可以选择从高收益附加值项目取得较高额但时间不规律的股息。
合格投资者可以利用 Slice 享受收税优惠的架构,将投资直接投向机构级商业房地产。
Slice 融合了 Bancor 协议和 Stellar 公链的内嵌去中心化交易所,保障在 Slice 平台上发行的商业房地产支持的代币的高流动性。
管理层:Ari Shpanya CEO、Tomer Ravid 首席投资官、Yevgeniy Spektor CTO
顾问:Eyal Herzog Bancor 产品架构师
原文作者:Tatiana Koffman,证券型代币专家,风险投资人
编译:Perry Wang, 链闻
查看全部
证券资产代币化意味着上万亿美元的市场,这足够让人热血沸腾。今天,我们来了解一下资产代币化领域的先行者和关键的生态建设者。
新一代的代币正在不断涌现。如果 2017 年是功能型代币的春天,2018 年的标志毫无疑问意味着全新的平台、交易所和基金生态的诞生,而所有这一切,都瞄准「证券资产代币化」的上万亿美元市场。
在区块链技术的诱惑下,代币化在更为传统的发行商和投资者中愈来愈受追捧, 加密资产大鳄更不必说,他们都期待用这一途径来对冲波动性较大的资产仓位。
什么是证券型代币?
证券型代币、代币化的证券资产或者投资型代币,是符合美国证券交易委员会 SEC 监管规定的金融证券。这些第二代代币可以为投资者带来一系列的金融权益,融合了证券、股息、利润分红、股东投票权、回购权利等等。
通常这些代币代表了对标的资产的权益,标的资产通常包括了房地产、现金流或者持有的其他基金。这些权益被写入智能合约,代币可以在区块链支持的交易所进行交易。
部分鼓吹者声称此类债券很快将大行其道,传统股票市场和场外交易所将在未来 10 年被完全取代。
为什么搞代币化?
代币化的好处包括 可以将大型资产碎片化,实现更强的流动性,可以实现较低的保险费用和更高的市场效率。
不过,证券型代币最大的好处是让发行者可以接纳来自全球的资本。这些代币可以在符合监管的前提下,在全球交易流通,从而得到更公允的定价,这在投资者眼中更具吸引力。
符合 SEC 监管对于机构投资者而言是更容易接受的组织架构,而对加密资产投资者而言是技术创新,对这两支投资力量都颇具吸引力。
学个新词: STO ,证券代币发行,与功能型代币的 ICO 类似。
如何代币化?
如果你想把贵公司下一轮融资代币化,请先花上 六个月时间聘用融资顾问、律师,与部分平台接触。一切步入正轨后,贵公司还要花上两个月与融资顾问和法律顾问打造代币化具体架构,编制营销材料,花一个月时间与技术平台磨合上币,花三个月面向传统投资机构和加密货币投资者进行路演。
以下清单可以作为平台和融资顾问的参考名单,也是其他发行活动的详实蓝图。我们先具体了解一下。
发币平台
这些发币平台既有对发币团队技术要求较高的开源区块链协议,也有提供一站式解决方案和顾问服务的专业机构
Polymath
https://www.polymath.network/
Polymath 是一个融合法律合规的代币化证券的发起和发行区块链协议。该协议在新的证券型代币设计时就嵌入金融监管要求,可以在区块链上无缝打造金融产品。
发币公司或团队可以通过 Polymath 平台交易证券型代币、认证投资者、与司法顾问牵线搭桥,并连接开发者市场。
该平台使用 ERC20 原生代币,作为连接客户认证、法律服务和开发者服务的标的商品计价单位。
已融资金额:$5,900 万美元 ICO
管理层:Trevor Koverko CEO,企业家,区块链演讲家和加密货币投资者
顾问:Anthony Diiorio 以太坊联合创始人,JAXX 钱包 CEO、Steven Nerayoff、供职于知名加速器和风投机构 Alchemist Ventures、Patrick Byrne 美国大型电商平台 Overstock 的 CEO
Harbor
https://harbor.com/
Harbor 是可以让传统投资机构无缝接入区块链的一个开源平台。
Harbor 的一套标准化流程,可以保障标的企业将传统投资资产在合规条件下按部就班的转移至区块链。通过一种被称为「私募 ICO Private Placement ICO, PICO」的方式, Harbor 可提供符合美国证券交易委员会 D 条例的私募销售,并融合新的代币 R-Token 许可技术。其标准化流程包括了包括 KYC/AML 了解你的客户 / 反洗钱 合规服务、纳税原则、信息披露和通过该系统生成的每一种代币的评估状态等等。
已融资金额:1,000 万美元 A 轮融资
管理层:David Sacks CEO,知名风投 Craft Ventures 普通合伙人,之前担任 Paypal 的 COO,Yammer
的创始人,Zenefits 的 CEO、Bob Remeika CTO,曾担任 Zenefits 的副总裁、Arisa Amano CPO,曾担任 Zenefits 的副总裁
Securitize
https://www.securitize.io/
Securitize 对证券代币化提供监管合规的云服务解决方案,让基金、公司或其他经济实体成功实现代币化。
该公司提供多项服务,包括为发行企业及其法律团队提供司法和监管合规准备,帮助投资者合规 KYC/AML 认证和其他司法规则,定制智能合约,匹配发币者独特的需求,并保障相关证券型代币存续期间的所有数据。
Securitize 是从风投机构 SPiCE VC 分拆出的新公司,已与多家公司达成 ICO 发币承诺,总价值超过 5 亿美元,包括 CryptoOracle、Kairos.com、 Lottery.com 和 22X Fund。
管理层:Carlos Domingo CEO 兼董事长,Spice VC 管理合伙人,曾担任西班牙电信研发部门 CEO、Jamie Finn 总裁,曾在 Aki、通信巨头 AT&T;、Kontera 和西班牙电信担任负责商务拓展的执行副总裁 、Shay Finkelstein CTO,SPiCE VC CTO
Swarm Fund
https://swarm.fund/
Swarm 利用 SRC20 协议对现实世界资产进行代币化。代币化的标的变成可以在 Swarm 区块链上被容易管理、治理和交易的「资产」。
成立于 2018 年 1 月的 Swarm Invest,为外部投资者提供投资证券化资产的机会。个人投资者可以用 SWM、比特币 BTC 和 ETH 投资现实世界资产,投资者拿到 SRC20 代币,获取了所有权和治理权,这些权益使他们可以合法分享相关资产所产生的收益,并以监管合规方式合法交易这些代币。该项目也计划很快实现可以用法币投资。
标的资产主要包括房地产、可再生能源企业、科技公司、加密货币投资基金、影响力投资 开发项目及灾后重建、基础设施以及其它项目等。
已筹资金额:通过 ICO 筹资 550 万美元
管理层:Philipp Pieper CEO、Timo Lehes 首席投资官、Chris Eberle 首席运营官
知名顾问:Anthony Di Iorio 加密货币钱包企业 Jaxx 以及 Decentral 的创始人兼 CEO、以太坊的联合创始人、Chris Kitze 数字货币投资基金 Alphabit 董事长、David Drake 多家族财富管理公司 LDJ Capital 创始人兼董事长
混合解决方案
Templum
https://www.tradetemplum.com/
Templum 是一家为证券型代币的发行和二级市场交易提供合规解决方案的机构。Templum Markets 之前曾叫 Liquid M Capital,是被 Templum 以 130 万美元收购的一家有合规资质的替代性交易系统 ATS 暨券商经纪机构。
在 Templum 平台,既可以进行证券型代币发币,也可以由发币方及投资者进行二级市场投资。与其它解决方案一样,Templum 内置了 AML/KYC
认证服务,以保障该平台符合监管规定。
已募资金额的:270 万美元 个人投资
管理层:Christopher Pallotta CEO,曾在 Raptor Capital 担任董事总经理、Josef Schaible 首席运营官,曾在 Salt Lending 担任总监
Securrency
https://securrency.com/
成立于 2015 的 Securrency 提供了一个可扩容、受保护的平台,为之前不具流动性的资产做市。
该公司的平台包括几个产品:
Securrency™ :帮助发币方实现监管合规,实现代币化证券的交易或转移;
RegTex™:提供 KYC/AML 等监管合规、信息披露、投资者资质认证和税务缴纳等服务;
SmartContraX™ : 区块链智能合约开发服务;
InfinXchange™ :提供支付、交易、资产定价和其他交易行为等标准界面 。
已募集金额:1,000 万美元
管理层:Dan Doney CEO,曾任美国国防情报局 DIA 首席创新官、Ron Poe 合规官员,美国海军陆战队上尉、John Hensel 首席运营官,退役美国海军上尉,管理过价值超过 150 亿美元的航空资产
交易所
tZERO
https://www.tzero.com/
tZERO 隶属美国最大网上零售商之一的 Overstock.com 旗下,专注于研发各种区块链技术支持的资本市场解决方案。
该公司目前的产品涵盖证券经纪服务、入货及存储管理系统, 涵盖逾 100 家经纪机构、24 小时交易平台的智能合约路由解决方案,以及其他服务。
该公司处理传统证券业务,但也计划扩大运营,整合进一套加密货币交易系统。该公司拿出调整后总收入的 10%,每个季度向其代币 tZERO 的持币者分红。
已筹集金额:1.14 亿美元 进行中的 ICO
管理层:Patrick Byrne CEO,Overstock.com 创始人兼 CEO,Medici Ventures 创始人、Joe Cammarata 总裁,SpeedRoute (tZERO 旗下分支) CEO,Sonic Trading 创始人兼 CEO、Ralph Daiuto 首席运营官,总法律顾问、John Gilchrist 首席信息官,前美林证券副总裁 VP
OpenFinance Network
https://www.openfinance.io/
OpenFinance Network OFN 是一家专门服务替代性资产二级市场的开源平台。
OFN 团队自 2014 年以来一直携手合作,推出了交易、清算和结算服务。近期该团队重点转向区块链解决方案,已研发出一套代币化证券能在区块链网络发行和进行交易的合规标准。OFN 上月帮助实现了最早的经批准通过的合规证券型代币交易之一,目前正接受上币申请,将交易更多证券型代币。
已募集金额:220 万美元 A 轮
管理层:Juan M. Hernandez CEO,美国中西部最大不动产股权众筹平台 PeerRealty 以及 Pop Stock Exchange 的创始人、Ian Shipman 研发负责人
AmbiSafe/Orderbook
https://www.ambisafe.co/
Orderbook 是一个去中心化交易所,通过一种特定的代币 RAP 自动完成投资者认证过程 。通过交叉验证当地的法律法规与 RAP 持币者个人信息数据库的契合度,保障 ICO 及其他加密货币相关交易的合规。
譬如,某位不符合监管规定的投资者试图通过交易所买币,这一系统会将投资者的许可级别与内部数据库进行匹配,阻止这些不符合资质的购买。
管理层:Andrii Zamovsky 创始人、Stephen Pettibone 首席运营官,前纳斯达克负责合规事宜的副总裁 VP
流动层
Bancor
https://www.bancor.network/
Bancor
提供了一种流动性模式,将多个币种与一个资金池挂钩,能实现价格发现,即使在交易量极低情况下也能确保流动性。涉及到证券时,这种模式在现有最好方法基础上,提供替代性途径来实现流动性,提高证券资产转移到区块链网络的收益。
Bancor 也经常被称为价值创造的长尾,即低需求、低数量产品的长尾。
在代币化证券市场,一个此类应用案例是 Bancor 与代币化风投基金 SPiCE VC 合作建立的。按照协议,SPiCE VC 承诺在 Bancor 网络持有不超过 5% 的资本金,这样代币持有者可以从其他激活流动性的方法中获益。
已募集金额:1.52 亿美元 ICO
管理层:Guy Benartzi 联合创始人,曾担任社交游戏先锋 Mytopia CEO,Particle Code 公司总裁、Galia Benartzi 联合创始人,曾担任硅谷创业投资基金 Founders Fund 风投合伙人,Particle Code 公司 CEO、Eyal Hertzog 产品架构师
Airswap
https://www.airswap.io/
证券资产代币化的好处包括为全球资本的涌入开启闸门,消除孤立需求,以及激活受到地域和基础设施限制的供应动态。
Airswap 是一个去中心化交易所,能实现全球化交易,连接不同市场的单个主体。在证券型代币市场,会带来更强大的流动性和更为稳定、减少动荡性的市场环境。
已融资金额:3,600 万美元 ICO
管理层:Michael Oved 联合创始人,是算法交易员,也是高频交易巨头和做市商 Virtu-Financial 合伙人、Don Mosites 联合创始人
现有的代币化证券
欢迎来到新世界。现在证券型代币发行商还只是屈指可数,目前仅有约十几种在流通中,这属于金融创新的前沿 。
BCap Blockchain Capital
http://blockchain.capital/
在比特币基金会董事局主席、EOS 合伙人 Brock Pierce 的创新领导下,Blockchain Capital 成为第一家推出证券型代币公开销售的机构。
Blockchain Capital 希望通过其 ICO,在多个层面推动这一新型代币的销售。这一 ICO 创建了未来证券型代币的蓝图,投资了其它一些采取了最佳方式、只接受合格投资者的 ICO 融资。
该代币销售六个小时就触及 1,000 万美元封顶值。ICO 融到的资金转到比特币基金会旗下的基金。据发币白皮书称,该基金会管理合伙人收取 2.5% 管理费及 25% 业绩奖金。其余盈利将分给代币持币者。
募集金额:1,000 万美元
管理层:Brock Pierce 比特币基金会、DNA.fund 和 EOS 等等联合创始人、Bart Stephens 联合创始人兼管理合伙人、Bradford Stephens 联合创始人兼管理合伙人
Science Blockchain
https://science.tokenhub.com/
Science Blockchain 是一个专注于区块链投资的基金和孵化器。因此,这一基金的资本是通过证券型代币 ICO 募集而来就很合逻辑了。
这种证券型代币赋予其持币者对其孵化企业所带来的新的代币拥有多达 70% 的所有权。另外,该基金流动性收益将被用于回购机制,让投资者能享受到证券的升值。
募集金额:1,230 万美元
管理层:Peter Pham 创始人、Mike Jones 和 Greg Gilman 最初 Science 孵化器 incubator 创始人和投资者
Lottery.com
https://tokensale.lottery.com/
Lottery.com,之前名为 AutoLotto,是一个移动互联网平台的博彩项目。该公司计划采用区块链技术,改善其支付、透明度、灵活性和在国际市场的扩展性等。
该公司的证券型代币私募销售临近落幕,据称募集高达九位数美元金额。该网站将依据博彩销售总额向这一证券型代币的持币者派息分红。
Securitize 和 Cashbet 已经与 Lottery.com 结盟,帮助其将这一代币推向市场。
募集金额:仍在进行中
管理层:Tony Dimatteo CEO、Matt Clemenson 总裁,加密创意负责人、Zach Goldberg CTO,曾就职于谷歌及腾讯微信
知名顾问:Miguel Forbes Forbes.com 创始人、Joey Krug 知名风投 Pantera Capital 首席投资官、Miko Matsamura 美国加密货币交易所 Evercoin 联合创始人
SPiCE VC
https://www.spicevc.com/
风投 VC 几乎是我们这个时代所有伟大变革的幕后推手,不过风投产业几乎一直是一成不变的。SPiCE VC 则计划通过证券型代币来改变这一局面,为投资者提供即时流动性。
在传统型风投基金中,有限合伙人普遍得等上 7-12 年才能全部拿回其本金,而 SPiCE 证券型代币持有人在可以享受可交易资产的同时,也可以选择瞬间拿回其投资尽管该公司计划投资部分功能型代币,不过他们的首要重心在于证券型代币,Securitize 是他们投资的第一家此类公司。
募集金额:4000 万美元
管理层:Carlos Domingo 管理合伙人,前西班牙电信研发部门 CEO、Tal Elyashiv 管理合伙人,Capital One 前首席投资官,曾供职于美国银行、Ami Ben David 管理合伙人
22X Fund
https://www.22xfund.com/
初创企业融资难,这就是为什么近期美国著名加速器 500 Startups 第 22 期初创公司携手组建了一个全新的证券型代币基金 「22X Fund」。
500 Startups 2017 年创业营毕业的企业中,不超过 30 家优胜者将得到 22X Fund 的投资。该基金将持有每家初创企业 2.5%-10% 的股权。22X Fund 所发代币的持币者可以通过交易所买卖代币或者回购机制来获取回报。
管理层和顾问:Jamie Finn 基金投资经理、Tim Reynders 投资顾问
PropertyCoin
https://propertycoin.re/en/
PropertyCoin 是证券型代币能如何改变现有市场的另一个鲜活例证。PropertyCoin 通过一种 100% 得到资产支持的代币,撬动房地产市场。
该代币背后的运营商 Aperture 计划将募集资金投入两大板块:1、居民住宅价格洼地;2、向其他房地产投资者放贷。通过再投资,该代币持有者分享基金盈利的
50%。
管理层和顾问:Andrew Jewett 联合 CEO,曾在瑞银证券担任高管、Matt Miles 联合 CEO,曾在瑞银证券担任高管
Siafunds
https://siafunds.tech/
Sia 是一个基于区块链的去中心化云存储平台,租赁企业可以从主机提供商租赁相应服务。
Sia 设计了两种代币:Siacoin 和__Siafunds。租赁企业使用 Siacoin,主机提供商使用 Siafunds,在该平台上达成合约。租赁企业和主机提供商需要向 Sia 支付在平台上所有支出的 3.9%,作为网络服务费。服务费对 Siafunds 持币者按比例分成。
Sia 平台的运营商 Nebulous 将一万个 Siafunds 代币中的 750 个作为符合 SEC 条例的证券型代币。这是代币「二层发行」的例子之一,即发行方同时发行证券型代币和功能型代币。
管理层:David Vorick CEO 兼核心开发者,曾就职于 IBM 和仁斯利尔理工大学、Luke Champine 联合创始人兼核心开发者,曾就职于仁斯利尔理工大学
Slice
https://slice.market/
Slice 是一家面向跨境投资者的商业房地产投资平台。它的职能类似优质地产证券的承销商、发行商和配售代理。
Slice 为常规房地产证券类投资提供了流动性,也为高净值投资者创造了新的投资选择。Slice 的投资人可以选择从产生现金流的房地产取得稳定的季度分红,也可以选择从高收益附加值项目取得较高额但时间不规律的股息。
合格投资者可以利用 Slice 享受收税优惠的架构,将投资直接投向机构级商业房地产。
Slice 融合了 Bancor 协议和 Stellar 公链的内嵌去中心化交易所,保障在 Slice 平台上发行的商业房地产支持的代币的高流动性。
管理层:Ari Shpanya CEO、Tomer Ravid 首席投资官、Yevgeniy Spektor CTO
顾问:Eyal Herzog Bancor 产品架构师
原文作者:Tatiana Koffman,证券型代币专家,风险投资人
编译:Perry Wang, 链闻
谷歌 Chrome 商店移除 MetaMask 插件,或导致钓鱼骗局风险
leek 发表了文章 • 2018-07-28 09:59
以太坊初创公司和孵化器 ConsenSys 的员工 Kevin Serrano 在最近发表的一篇博客文章中,这样描述了 MetaMask 已从谷歌 Chrome 商店删除的消息。
MetaMask 是 Consensys 推出的以太坊钱包产品,也是网络浏览器和以太坊区块链之间的桥梁。美国东部时间周三上午 10 点过后,MetaMask 团队在 Twitter 上宣布该扩展程序已从 Chrome 商店中删除。
根据 Serrano 的说法,该团队没有收到谷歌方面的任何解释,甚至没有收到这件事的通知,虽然他补充说这可能是电子邮件过多的问题。扩展程序在大约五小时后恢复到网上商店中。Serrano 表示,谷歌方面解释说由于系统「错误」导致 MetaMask 被删除。
因此,Serrano 表示很明显:
像 MetaMask 这样去中心化的产品,也具有中心化的错误。
自业界首次开始测试类似想法,企业家们就一直在努力解决这个问题。
区块链技术和基于区块链的分散应用程序的基本优点之一,就是没有任何一方可以对其删除或进行审查。然而,在区块链网络使用传统网络或金融系统的情况下,这种理论经常会变的没有实际意义。
法币兑换加密货币的中心化交易所是最常被引用的例子,中心化交易所经常会抵制审查和去中心化实践失败。
但是这一事件也凸显了另一个瓶颈:应用商店。
Serrano 表示,要让用户可以使用该应用程序,「需要」信任浏览器、GitHub 以及部署人员,以保持系统正常运行。
网络钓鱼狂潮
向大多数用户开放这一扩展程序需要足够的信任(精通技术的用户仍然可以将其下载到 Chrome 上),而这样也为诈骗者提供了机会,这也是加密货币领域的一大问题。
MetaMask 被删除时,Serrano 写道:
当人们在商店搜索「MetaMask」时,只能找到一些模仿 MetaMask 的分叉产品和模糊的品牌外观。
事实上,这种情况带来了网络钓鱼的风险,攻击者会欺骗潜在用户下载包含恶意软件的虚假文件。
有一次,另一个以太坊项目 Augur 发布了一条警告,不要下载名为「MetaMask by Kupi.net」的扩展程序,该扩展程序在 Chrome 商店中可用(目前已被删除)。该应用程序「是一个假的,网络钓鱼应用程序,」Augur 团队写道,并附上一张图片:
Serrano 在电子邮件中表示,试图窃取用户信息的电子邮件也出现在 Telegram 上,这是一个受加密货币爱好者欢迎的消息传递平台,攻击者「冒充替代支持服务台」。他说,似乎有些用户受到了这个骗局的影响,谷歌 Play 商店中也有一个类似的程序,该商店列出了谷歌 Android 操作系统的应用程序。
谷歌发言人拒绝就这些网络钓鱼企图发表评论。
Serrano 表示,虽然 MetaMask 可以继续在 Brave、Opera 和 Firefox 浏览器上运行,已经下载 Chrome 版本的人仍然可以使用,但该团队正在研究更加去中心化的替代品,如 IPFS。
该团队还发布了手动安装指南。
原文: Google yanked metamask from the chrome store left a phishing scam up
作者:Conor Maloney, CoinDesk
编译:Apatheticco, 区块链铅笔 查看全部
以太坊初创公司和孵化器 ConsenSys 的员工 Kevin Serrano 在最近发表的一篇博客文章中,这样描述了 MetaMask 已从谷歌 Chrome 商店删除的消息。
MetaMask 是 Consensys 推出的以太坊钱包产品,也是网络浏览器和以太坊区块链之间的桥梁。美国东部时间周三上午 10 点过后,MetaMask 团队在 Twitter 上宣布该扩展程序已从 Chrome 商店中删除。
根据 Serrano 的说法,该团队没有收到谷歌方面的任何解释,甚至没有收到这件事的通知,虽然他补充说这可能是电子邮件过多的问题。扩展程序在大约五小时后恢复到网上商店中。Serrano 表示,谷歌方面解释说由于系统「错误」导致 MetaMask 被删除。
因此,Serrano 表示很明显:
像 MetaMask 这样去中心化的产品,也具有中心化的错误。
自业界首次开始测试类似想法,企业家们就一直在努力解决这个问题。
区块链技术和基于区块链的分散应用程序的基本优点之一,就是没有任何一方可以对其删除或进行审查。然而,在区块链网络使用传统网络或金融系统的情况下,这种理论经常会变的没有实际意义。
法币兑换加密货币的中心化交易所是最常被引用的例子,中心化交易所经常会抵制审查和去中心化实践失败。
但是这一事件也凸显了另一个瓶颈:应用商店。
Serrano 表示,要让用户可以使用该应用程序,「需要」信任浏览器、GitHub 以及部署人员,以保持系统正常运行。
网络钓鱼狂潮
向大多数用户开放这一扩展程序需要足够的信任(精通技术的用户仍然可以将其下载到 Chrome 上),而这样也为诈骗者提供了机会,这也是加密货币领域的一大问题。
MetaMask 被删除时,Serrano 写道:
当人们在商店搜索「MetaMask」时,只能找到一些模仿 MetaMask 的分叉产品和模糊的品牌外观。
事实上,这种情况带来了网络钓鱼的风险,攻击者会欺骗潜在用户下载包含恶意软件的虚假文件。
有一次,另一个以太坊项目 Augur 发布了一条警告,不要下载名为「MetaMask by Kupi.net」的扩展程序,该扩展程序在 Chrome 商店中可用(目前已被删除)。该应用程序「是一个假的,网络钓鱼应用程序,」Augur 团队写道,并附上一张图片:
Serrano 在电子邮件中表示,试图窃取用户信息的电子邮件也出现在 Telegram 上,这是一个受加密货币爱好者欢迎的消息传递平台,攻击者「冒充替代支持服务台」。他说,似乎有些用户受到了这个骗局的影响,谷歌 Play 商店中也有一个类似的程序,该商店列出了谷歌 Android 操作系统的应用程序。
谷歌发言人拒绝就这些网络钓鱼企图发表评论。
Serrano 表示,虽然 MetaMask 可以继续在 Brave、Opera 和 Firefox 浏览器上运行,已经下载 Chrome 版本的人仍然可以使用,但该团队正在研究更加去中心化的替代品,如 IPFS。
该团队还发布了手动安装指南。
原文: Google yanked metamask from the chrome store left a phishing scam up
作者:Conor Maloney, CoinDesk
编译:Apatheticco, 区块链铅笔
K线图看着是否很神奇,怎么画出来的呢?
leek 发表了文章 • 2018-07-26 16:26
对于几乎所有的数字加密货币投资者而言,每一次深思熟虑或者匆忙草率的下单,都需要看一个东西,那就是交易所的行情图。
投资者无法获得内幕消息,但他们可以获得市场大盘消息。在下单之前,他们一定会使用可视化的交易分析工具,通过查看 K 线、MACD、DMI 等数据曲线来作出判断。当你看行情图的时候,你会发现一个蓝色的 logo,写着 TradingView,没错目前绝大部分交易所都在使用这一家公司的技术来展示市场信息。
如果你以为这只是一家提供交易数据可视化分析工具的公司,那你就错了,TradingView 可能是全世界最大的数字加密货币投资者平台,它所拥有的交易数据量、投资者数量以及真实活跃度,远超市面上所有的交易所。
没有门头沟就没有 TradingView
成立于 2011 年的 TradingView,它不仅仅一个单纯的技术服务商,还是一个技术分析人员的交流社区。
根据 TradingView 最新数据显示,目前 TradingView 已经拥有 3040897 位投资者发表了 1865580 个观点以及制作了 11885033 个图表,是当之无愧的世界第一大可视化交易数据平台。
最初的 TradingView 并不是一个加密数字货币的分析工具,而是股票市场的分析工具。
作为股市的工具型社区,TradingView 曾将"2012 年加入欧洲股票市场"的事情列为自身发展史的重大事件,然而对于一个股票分析工具而言,TradingView 的创业历程并不顺利。
创立后后一直没有拿到融资,直到 4 年后才完成第一笔融资。
让 TradingView 拿到融资的原因并不是因为股票分析工具市场有起色,而是 TradingView 从 2013 年开始从 MtGox 交易所抓取数据并记录历史数据,为比特币投资者提供更好的交易图表。
这可解决了不少比特币投资者的交易难题,以往他们只能从订单数据里看到市场供需信息,现在有了 TradingView,他们可以看图表来做决定了。
股票分析工具出身的 TradingView,为比特币的交易引入了股票分析中的 K 线、蜡烛图、MACD 和 MDI 等技术指标,彻底改变了此前比特币交易所仅仅只是将比特币作一个价格显示,由用户自由买卖的阶段。
2015 年 7 月 TradingView 拿到 iTech Capital 360 万美元的 A 轮融资,TradingView 开始着重研发,并为比特币及股票交易提供了更好的可视化体验。
2015 年 10 月 23 日,CEX.IO 交易所使用了由 TradingView 提供的比特币交易系统。此后 Bitfince、Kraken、weex 等大大小小的交易所,都在比特币的交易中使用了来自 TradingView 的服务。
进入 2017 年,因为 ICO 的火爆和比特币价格的上扬,数字加密货币领域投资者也开始暴涨,交易所数量也从以前屈指可数变成了百家、千家。
对于新兴的交易所来说,与其花时间去研发自己的数据图表工具,不如直接使用行业内最普遍、最成熟的 TradingView 的解决方案,便宜又好用。
2018 年 5 月,TradingView 获得了 Insight Venture 领投的 3700 万美元的 B 轮融资。
为交易所服务的TradingView,如何成为画线哥社区
在成为资本的宠儿后,TradingView 也相续和 SeekingAlpha 及纳斯达克等币圈以外的企业建立了合作关系,但对于拥有众多重量级合作伙伴的 TradingView 来说,这些合作伙伴并没有为 TradingVie 的服务付过一分钱。
因为 TradingView 并不是一个技术服务提供商,而是一个技术分析人员的交流社区,而 TradingView 一半以上的收入也都来自社区用户的自主付费。
所以,TradingView 在和这些高流量平台提供免费服务时,TradingView 也要求这些平台为 TradingView 提供免费广告,这就是为什么我们在交易所的行情图上可以看到蓝色的 TradingView logo。
这一资源换资源的模式,根据其创始人回忆,曾给 TradingView 带来了每个月近 10% 的用户增长。
但是免费产品的高级增值功能付费使用如何盈利,在互联网行业内一直都是难题。
TradingView 敢向用户收费的原因,还要从 TradingView 使用的 JavaScript 编程语言说起,因为 JavaScript 允许任何开发者拿到代码之后定制开发。正是因为这个特性,在早期比特币缺乏有效分析工具的时代,TradingView 就成为了大部分交易分析师的首选工具。
但「免费」使用的 TradingView 软件只能让用户访问少数工具和图表,当用户习惯 TradingView 工具的使用方法后,想要访问更多图表、数据和实时服务器端时就需要为此付费。
TradingView 将付费等级分为三个,每月会员费从 10 美元到 40 美元不等,对于普通交易员来说,这个价格一点也不贵。
在今年 5 月 TradingView 完成 B 轮融资后,TradingView 的高管层透漏,目前 TradingView 75% 的收入都来自用户付费。而这些付费用户,同时又为 TradingView 提供了大量的自产内容。
凭借先发优势的 TradingView,在付费策略的定制上,可谓是双赢和多赢。
有了足够的用户,TradingView 也开始在内容细分上进行发力,目前拥有外汇、股票、指数、加密货币、期货、债券和差价合约 7 个领域的技术工具服务。
比特币虽然在七个类别中所占的位置并不突出,但在 TradingView 社区最火的五个技术分析人员中,比特币的内容贡献者独占了 3 个席位,其中,也足见比特币在 TradingView 所占的真实地位。
***不过,在 TradingView 上面,因为任何人都能随意划线和发表言论,所以区块律动 Blockbeats 也建议大家,虽然 TradingView 拥有很多大牛,但是为了钱包的安全,请不要轻易相信「比特币学员」的任何言论,毕竟画线哥没有几个靠谱的。
TradingView 的转型与隐忧
正如上面提到的,TradingView 虽然是从比特币起家,但现在在许多传统金融领域,比如股市、债券市场进行合作,因为相对于比特币、数字加密投资来讲,他们可以在传统金融领域获得十倍甚至数十倍的用户。
为了获得这些用户,TradingView 下足了功夫,以至于你去谷歌搜索 TradingView 的一些负面词汇,总是能看到用户在将 TradingView 和其他工具的对比中,如何夸奖 TradingView 是多么优秀。
TradingView 并非没有问题,甚至伴随着 TradingView 的壮大,目前所有的数字货币交易所已经开始出现过分依赖 TradingView 所提供免费服务的现象。
TradingView 的服务器经常性地发生故障,虽然不会影响到交易所用户,但是却可以影响到 TradingView 上的付费用户。因为在过去 90 天,TradingView 有 19 天发生了故障,有 1 天发生了严重故障并宕机。
而且 TradingView 的核心业务也在受到冲击,主要表现在技术门槛低和行业清洗数据上。
收集数据再加工处理的模式是没有门槛的。例如 TradingView 的竞争对手 HighChats,它除了提供与 TradingView 类似的服务之外,还可以帮助企业把数据可视化,在全球前 1 万名网站中,有 1.33% 的网站使用 HighChats 的服务,超过 TradingView。
上图为非小号网站数据,下图为币世界网站数据
数据被抓取后再打包在币圈也是常见的事情,比如区块律动 BlockBeats 经常使用的非小号就使用 Highchats。而非小号则把数据重新打包制作后,向币世界提供接口。
TradingView 也明白自己的弱点和优势,于是在内容上积极探索新的盈利方式。
比如目前在 TradingView 的官网,已经出现了投资专栏。而 TradingView 也在依据目前大量投资交易员的优势,选拔和打造一批具有头部效应的分析师。
为此,TradingView 在官网首页给出了一个分析师的排名名单,并在合适的位置给出了这些分析师以前的一些已经正确预测的交易观点。但 TradingView 作为一个既有工具又有三百万用户的社交平台,其实它能做的事还有更多。
例如,作者可以在信息流利里面投放广告,引导用户去查看他们的画线文章等。这样的内容有诱导投资者的嫌疑,但 TradingView 又表示这类内容不作为购买建议,这种立牌坊的行为是在让人难以置信。
原文作者:0x14, 区块律动BlockBeats 查看全部
对于几乎所有的数字加密货币投资者而言,每一次深思熟虑或者匆忙草率的下单,都需要看一个东西,那就是交易所的行情图。
投资者无法获得内幕消息,但他们可以获得市场大盘消息。在下单之前,他们一定会使用可视化的交易分析工具,通过查看 K 线、MACD、DMI 等数据曲线来作出判断。当你看行情图的时候,你会发现一个蓝色的 logo,写着 TradingView,没错目前绝大部分交易所都在使用这一家公司的技术来展示市场信息。
如果你以为这只是一家提供交易数据可视化分析工具的公司,那你就错了,TradingView 可能是全世界最大的数字加密货币投资者平台,它所拥有的交易数据量、投资者数量以及真实活跃度,远超市面上所有的交易所。
没有门头沟就没有 TradingView
成立于 2011 年的 TradingView,它不仅仅一个单纯的技术服务商,还是一个技术分析人员的交流社区。
根据 TradingView 最新数据显示,目前 TradingView 已经拥有 3040897 位投资者发表了 1865580 个观点以及制作了 11885033 个图表,是当之无愧的世界第一大可视化交易数据平台。
最初的 TradingView 并不是一个加密数字货币的分析工具,而是股票市场的分析工具。
作为股市的工具型社区,TradingView 曾将"2012 年加入欧洲股票市场"的事情列为自身发展史的重大事件,然而对于一个股票分析工具而言,TradingView 的创业历程并不顺利。
创立后后一直没有拿到融资,直到 4 年后才完成第一笔融资。
让 TradingView 拿到融资的原因并不是因为股票分析工具市场有起色,而是 TradingView 从 2013 年开始从 MtGox 交易所抓取数据并记录历史数据,为比特币投资者提供更好的交易图表。
这可解决了不少比特币投资者的交易难题,以往他们只能从订单数据里看到市场供需信息,现在有了 TradingView,他们可以看图表来做决定了。
股票分析工具出身的 TradingView,为比特币的交易引入了股票分析中的 K 线、蜡烛图、MACD 和 MDI 等技术指标,彻底改变了此前比特币交易所仅仅只是将比特币作一个价格显示,由用户自由买卖的阶段。
2015 年 7 月 TradingView 拿到 iTech Capital 360 万美元的 A 轮融资,TradingView 开始着重研发,并为比特币及股票交易提供了更好的可视化体验。
2015 年 10 月 23 日,CEX.IO 交易所使用了由 TradingView 提供的比特币交易系统。此后 Bitfince、Kraken、weex 等大大小小的交易所,都在比特币的交易中使用了来自 TradingView 的服务。
进入 2017 年,因为 ICO 的火爆和比特币价格的上扬,数字加密货币领域投资者也开始暴涨,交易所数量也从以前屈指可数变成了百家、千家。
对于新兴的交易所来说,与其花时间去研发自己的数据图表工具,不如直接使用行业内最普遍、最成熟的 TradingView 的解决方案,便宜又好用。
2018 年 5 月,TradingView 获得了 Insight Venture 领投的 3700 万美元的 B 轮融资。
为交易所服务的TradingView,如何成为画线哥社区
在成为资本的宠儿后,TradingView 也相续和 SeekingAlpha 及纳斯达克等币圈以外的企业建立了合作关系,但对于拥有众多重量级合作伙伴的 TradingView 来说,这些合作伙伴并没有为 TradingVie 的服务付过一分钱。
因为 TradingView 并不是一个技术服务提供商,而是一个技术分析人员的交流社区,而 TradingView 一半以上的收入也都来自社区用户的自主付费。
所以,TradingView 在和这些高流量平台提供免费服务时,TradingView 也要求这些平台为 TradingView 提供免费广告,这就是为什么我们在交易所的行情图上可以看到蓝色的 TradingView logo。
这一资源换资源的模式,根据其创始人回忆,曾给 TradingView 带来了每个月近 10% 的用户增长。
但是免费产品的高级增值功能付费使用如何盈利,在互联网行业内一直都是难题。
TradingView 敢向用户收费的原因,还要从 TradingView 使用的 JavaScript 编程语言说起,因为 JavaScript 允许任何开发者拿到代码之后定制开发。正是因为这个特性,在早期比特币缺乏有效分析工具的时代,TradingView 就成为了大部分交易分析师的首选工具。
但「免费」使用的 TradingView 软件只能让用户访问少数工具和图表,当用户习惯 TradingView 工具的使用方法后,想要访问更多图表、数据和实时服务器端时就需要为此付费。
TradingView 将付费等级分为三个,每月会员费从 10 美元到 40 美元不等,对于普通交易员来说,这个价格一点也不贵。
在今年 5 月 TradingView 完成 B 轮融资后,TradingView 的高管层透漏,目前 TradingView 75% 的收入都来自用户付费。而这些付费用户,同时又为 TradingView 提供了大量的自产内容。
凭借先发优势的 TradingView,在付费策略的定制上,可谓是双赢和多赢。
有了足够的用户,TradingView 也开始在内容细分上进行发力,目前拥有外汇、股票、指数、加密货币、期货、债券和差价合约 7 个领域的技术工具服务。
比特币虽然在七个类别中所占的位置并不突出,但在 TradingView 社区最火的五个技术分析人员中,比特币的内容贡献者独占了 3 个席位,其中,也足见比特币在 TradingView 所占的真实地位。
***不过,在 TradingView 上面,因为任何人都能随意划线和发表言论,所以区块律动 Blockbeats 也建议大家,虽然 TradingView 拥有很多大牛,但是为了钱包的安全,请不要轻易相信「比特币学员」的任何言论,毕竟画线哥没有几个靠谱的。
TradingView 的转型与隐忧
正如上面提到的,TradingView 虽然是从比特币起家,但现在在许多传统金融领域,比如股市、债券市场进行合作,因为相对于比特币、数字加密投资来讲,他们可以在传统金融领域获得十倍甚至数十倍的用户。
为了获得这些用户,TradingView 下足了功夫,以至于你去谷歌搜索 TradingView 的一些负面词汇,总是能看到用户在将 TradingView 和其他工具的对比中,如何夸奖 TradingView 是多么优秀。
TradingView 并非没有问题,甚至伴随着 TradingView 的壮大,目前所有的数字货币交易所已经开始出现过分依赖 TradingView 所提供免费服务的现象。
TradingView 的服务器经常性地发生故障,虽然不会影响到交易所用户,但是却可以影响到 TradingView 上的付费用户。因为在过去 90 天,TradingView 有 19 天发生了故障,有 1 天发生了严重故障并宕机。
而且 TradingView 的核心业务也在受到冲击,主要表现在技术门槛低和行业清洗数据上。
收集数据再加工处理的模式是没有门槛的。例如 TradingView 的竞争对手 HighChats,它除了提供与 TradingView 类似的服务之外,还可以帮助企业把数据可视化,在全球前 1 万名网站中,有 1.33% 的网站使用 HighChats 的服务,超过 TradingView。
上图为非小号网站数据,下图为币世界网站数据
数据被抓取后再打包在币圈也是常见的事情,比如区块律动 BlockBeats 经常使用的非小号就使用 Highchats。而非小号则把数据重新打包制作后,向币世界提供接口。
TradingView 也明白自己的弱点和优势,于是在内容上积极探索新的盈利方式。
比如目前在 TradingView 的官网,已经出现了投资专栏。而 TradingView 也在依据目前大量投资交易员的优势,选拔和打造一批具有头部效应的分析师。
为此,TradingView 在官网首页给出了一个分析师的排名名单,并在合适的位置给出了这些分析师以前的一些已经正确预测的交易观点。但 TradingView 作为一个既有工具又有三百万用户的社交平台,其实它能做的事还有更多。
例如,作者可以在信息流利里面投放广告,引导用户去查看他们的画线文章等。这样的内容有诱导投资者的嫌疑,但 TradingView 又表示这类内容不作为购买建议,这种立牌坊的行为是在让人难以置信。
原文作者:0x14, 区块律动BlockBeats
专业好用的加密博客和新闻网站
leek 发表了文章 • 2018-07-16 22:14
本文为你提供一份清单,列出能够辅助你了解加密货币,区块链技术,投资策略,ICO 和持续市场趋势的博客和新闻网站。
1. 比特币杂志
比特币杂志由以太坊项目的联合创始人 Mihai Alisie 和 Vitalik Buterin 创立,是最古老,最成熟的专注于比特币和区块链技术的网站。
基金会: 2012 年 BTC 媒体公司,BTC 公司 BTC 媒体的媒体和出版子公司还出版 yBitcoin,大家谈比特币,和分布式
团队: Christie Harkin 领导一个由五人组成的编辑团队,由设计师和开发人员进行补充
发布频率:每周约 25 个帖子
热门分类:新闻,指南,市场数据,专家意见
2. 比特币网站(Bitcoin.com)
Bitcoin.com 的新闻部分提供有关实时价格,挖掘和事件详细信息的见解。此外,您可以使用本网站购买,使用和存储您的比特币。他们还提供各种工具,帮助您做出更明智的加密投资决策。
他们还提供比特币游戏,一个专门使用加密货币的在线赌场。您可以匿名注册,根据经典的拉斯维加斯视频扑克机玩游戏。
基金会: 2008 年由不知名的人注册为域名
团队:首席执行官 Roger Ver 领导着一支由经验丰富的专业人士组成的团队
发布频率:每周约 85 个帖子
热门分类:新闻,论坛,游戏,钱包,买比特币
3. 比特币专家(Bitcoinist)
在这个不断发展的网站上,您会发现许多有价值的内容,以扩展您的数字货币知识库。查看他们的面试部分,了解行业顶级球员的观点。
基金会: 2014 年 由 Zoltan Tokay 撰写
团队:首席执行官诺伯特·拉多基(Norbert Radoki)监督运营,艾伦·斯科特(Allen Scott)担任主编,并领导内容方面
发布频率:每周约 85 个帖子
热门分类:比特币新闻,Altcoins,矿比特币,游戏,ICO,区块链,事件
4. Blockonomi
这个快速发展的博客涵盖了有关加密货币,金融科技和区块链经济的文章,新闻和教程。他们的目标是帮助群众获得这些主题。
基金会: 2017 年由 Oliver Dale,一位设计师,企业家和开源软件的长期支持者,他们相信每个人都能获得免费和公平的互联网
团队: Blockonomi 团队由加密专家组成,如 Carlos Terenzi,Daniel Dob,Jose Alvarez 等等
发布频率:每周 40-50 个帖子
热门分类:指南,钱包,采矿,ICO
5. CoinDesk
CoinDesk 提供有关顶级硬币的信息,如以太坊,比特币和涟漪。每月约有 1000 万独立读者重新访问该网站 5000 万次,以了解最新的区块链技术和加密货币。
基金会: 2013 年由连续企业家 Shakil Khan 完成
团队: CoinDesk 是一个由热情的编辑组成的团队,如 Jon Matonis,研究分析师,Kevin Worth (首席执行官)和技术专家 发布频率:每周 100 多个帖子
热门分类:区块链 101,技术,市场,数据和研究,事件,共识
6. CoinMarketCap
CoinMarketCap 是一个以易于消化的方式跟踪各种加密货币资本化的绝佳平台。您将获得有关几个列出的硬币的信息,例如它们的价格,过去 24 小时的交易量,可用供应量等。
基金会: 2013 年 由 Brandon Chez 完成
团队: CoinMarketCap 是一个专门的团队,总部设在纽约市,负责网站的日常运营
发布频率:常规文章由每 5 分钟更新一次的统计数据补充
热门分类:市值,交易量,趋势,工具
7. CoinStaker
除了一系列加密货币市场新闻,ICO 日历和各种其他内容,您还可以查看顶级硬币的价格。
基金会:2015 年在保加利亚
团队:首席执行官 Alexander Dimitrov 领导一支经验丰富的四人团队
发布频率:每周约 24 个帖子
热门分类:新闻,指南,顶级加密列表,ICO,交易,赌博
8. Cointelegraph
Cointelegraph 是最早的加密货币博客之一。除了专家意见和新闻,该网站还有一个 ICO 日历和目录。
基金会: 2013 年在美国成立
团队: Victoria Vaughan - 首席执行官,Igor Belkin-主编,以及 Amelia Tomasicchio 和 Darryn Pollock 等资深作家
发布频率:每周 84 个博客
热门分类:最新消息,价格分析,市场工具,加密,购买比特币
9. CCN
CCN (加密硬币新闻)提供定期新闻和见解,以便让交易者更新最新的比特币,以太坊,NEO,Litecoin,ICO 等。
基金会: 2013 年在挪威奥斯陆举行
团队:Jonas Borchgrevink 是 Hawkfish AS 的首席执行官,Hawkfish AS 是一家运营 CCN,Hacked 和 MoneyMakers 的媒体公司。CCN 团队还包括 Samburaj Das - 主编,Pankaj Upadhyay - 运营经理,Josiah Wilmoth--全职记者
发布频率:每周超过 100 个帖子
热门分类:市值,市场价格,ICO 日历,比特币,以太坊,Litecoin,Altcoin,Learn
10. CryptoHackers
您是否打算启动一个新的基于加密的企业,或者希望在这个增长最快的领域开始职业生涯?在任何一种情况下,CryptoHackers 服务器都是一个鼓舞人心的平台,它引入了区块链初创公司的激励故事。您将阅读 Blockchain 英雄的采访,ICO 的成功故事和其他基于加密货币的项目。
基金会: 2017 年在俄罗斯
团队:由 Alexander Isora 创立
发布频率:每周约 1-2 个帖子
热门分类: 2017 年最佳,博客
原文:21 Cryptocurrency Blogs and News Sitesf 查看全部
本文为你提供一份清单,列出能够辅助你了解加密货币,区块链技术,投资策略,ICO 和持续市场趋势的博客和新闻网站。
1. 比特币杂志
比特币杂志由以太坊项目的联合创始人 Mihai Alisie 和 Vitalik Buterin 创立,是最古老,最成熟的专注于比特币和区块链技术的网站。
基金会: 2012 年 BTC 媒体公司,BTC 公司 BTC 媒体的媒体和出版子公司还出版 yBitcoin,大家谈比特币,和分布式
团队: Christie Harkin 领导一个由五人组成的编辑团队,由设计师和开发人员进行补充
发布频率:每周约 25 个帖子
热门分类:新闻,指南,市场数据,专家意见
2. 比特币网站(Bitcoin.com)
Bitcoin.com 的新闻部分提供有关实时价格,挖掘和事件详细信息的见解。此外,您可以使用本网站购买,使用和存储您的比特币。他们还提供各种工具,帮助您做出更明智的加密投资决策。
他们还提供比特币游戏,一个专门使用加密货币的在线赌场。您可以匿名注册,根据经典的拉斯维加斯视频扑克机玩游戏。
基金会: 2008 年由不知名的人注册为域名
团队:首席执行官 Roger Ver 领导着一支由经验丰富的专业人士组成的团队
发布频率:每周约 85 个帖子
热门分类:新闻,论坛,游戏,钱包,买比特币
3. 比特币专家(Bitcoinist)
在这个不断发展的网站上,您会发现许多有价值的内容,以扩展您的数字货币知识库。查看他们的面试部分,了解行业顶级球员的观点。
基金会: 2014 年 由 Zoltan Tokay 撰写
团队:首席执行官诺伯特·拉多基(Norbert Radoki)监督运营,艾伦·斯科特(Allen Scott)担任主编,并领导内容方面
发布频率:每周约 85 个帖子
热门分类:比特币新闻,Altcoins,矿比特币,游戏,ICO,区块链,事件
4. Blockonomi
这个快速发展的博客涵盖了有关加密货币,金融科技和区块链经济的文章,新闻和教程。他们的目标是帮助群众获得这些主题。
基金会: 2017 年由 Oliver Dale,一位设计师,企业家和开源软件的长期支持者,他们相信每个人都能获得免费和公平的互联网
团队: Blockonomi 团队由加密专家组成,如 Carlos Terenzi,Daniel Dob,Jose Alvarez 等等
发布频率:每周 40-50 个帖子
热门分类:指南,钱包,采矿,ICO
5. CoinDesk
CoinDesk 提供有关顶级硬币的信息,如以太坊,比特币和涟漪。每月约有 1000 万独立读者重新访问该网站 5000 万次,以了解最新的区块链技术和加密货币。
基金会: 2013 年由连续企业家 Shakil Khan 完成
团队: CoinDesk 是一个由热情的编辑组成的团队,如 Jon Matonis,研究分析师,Kevin Worth (首席执行官)和技术专家 发布频率:每周 100 多个帖子
热门分类:区块链 101,技术,市场,数据和研究,事件,共识
6. CoinMarketCap
CoinMarketCap 是一个以易于消化的方式跟踪各种加密货币资本化的绝佳平台。您将获得有关几个列出的硬币的信息,例如它们的价格,过去 24 小时的交易量,可用供应量等。
基金会: 2013 年 由 Brandon Chez 完成
团队: CoinMarketCap 是一个专门的团队,总部设在纽约市,负责网站的日常运营
发布频率:常规文章由每 5 分钟更新一次的统计数据补充
热门分类:市值,交易量,趋势,工具
7. CoinStaker
除了一系列加密货币市场新闻,ICO 日历和各种其他内容,您还可以查看顶级硬币的价格。
基金会:2015 年在保加利亚
团队:首席执行官 Alexander Dimitrov 领导一支经验丰富的四人团队
发布频率:每周约 24 个帖子
热门分类:新闻,指南,顶级加密列表,ICO,交易,赌博
8. Cointelegraph
Cointelegraph 是最早的加密货币博客之一。除了专家意见和新闻,该网站还有一个 ICO 日历和目录。
基金会: 2013 年在美国成立
团队: Victoria Vaughan - 首席执行官,Igor Belkin-主编,以及 Amelia Tomasicchio 和 Darryn Pollock 等资深作家
发布频率:每周 84 个博客
热门分类:最新消息,价格分析,市场工具,加密,购买比特币
9. CCN
CCN (加密硬币新闻)提供定期新闻和见解,以便让交易者更新最新的比特币,以太坊,NEO,Litecoin,ICO 等。
基金会: 2013 年在挪威奥斯陆举行
团队:Jonas Borchgrevink 是 Hawkfish AS 的首席执行官,Hawkfish AS 是一家运营 CCN,Hacked 和 MoneyMakers 的媒体公司。CCN 团队还包括 Samburaj Das - 主编,Pankaj Upadhyay - 运营经理,Josiah Wilmoth--全职记者
发布频率:每周超过 100 个帖子
热门分类:市值,市场价格,ICO 日历,比特币,以太坊,Litecoin,Altcoin,Learn
10. CryptoHackers
您是否打算启动一个新的基于加密的企业,或者希望在这个增长最快的领域开始职业生涯?在任何一种情况下,CryptoHackers 服务器都是一个鼓舞人心的平台,它引入了区块链初创公司的激励故事。您将阅读 Blockchain 英雄的采访,ICO 的成功故事和其他基于加密货币的项目。
基金会: 2017 年在俄罗斯
团队:由 Alexander Isora 创立
发布频率:每周约 1-2 个帖子
热门分类: 2017 年最佳,博客
原文:21 Cryptocurrency Blogs and News Sitesf
区块链挖矿到底在挖什么?
leek 发表了文章 • 2018-07-15 10:00
2018年,数字货币交易所行业中出现了一个搅局者——这个搅局者是FCoin,它鼓励用户刷交易量,即使用“交易即挖矿”的概念,可以说FCoin继承了交易即挖矿的概念。
事实上,交易即挖矿最早是香港的龙网、CEO等数字货币交易平台提出的概念,但直到FCoin,交易即挖矿才得到了市场的广泛认知,此后便出现了大量交易即挖矿交易平台,当然都不如FCoin有影响力。
一些交易所的深度不够,采用交易即挖矿机制后,能够通过平台手续费分红的方式吸引用户主动交易,从而提高交易所的交易量和交易深度。
这里,细心的你可能很想知道,比特币挖矿、“交易即挖矿”以及由此衍生出来的XX即挖矿到底是什么东西?
比特币挖矿
2009年中本聪发明比特币,并且设定了比特币只有2100万个,加入到比特币网络中,通过参与到区块的生产中,提供工作量证明(PoW),即可获得比特币网络的奖励。这个过程即是挖矿。
”挖矿”的概念取自于我们现实经济生活中已有的概念,黄金挖矿、白银挖矿等,因为矿物是有价值的,所以才驱使人们去付出劳动力来挖“
比特币挖矿还有一个重要的点是因为参与挖矿的矿工认可比特币的价值,他们挖矿挖到的比特币市场上有人愿意花钱购买。所以,比特币的挖矿是有意义的。
其他挖矿方法
除了比特挖矿之外,我们还知道:
IPFS可以挖矿(通过提供存储证明和带宽证明,即可获得IPFS网络的奖励的币,FIL)。
celer可以挖矿(通过提供流动性承诺证明,PoLC,即可获得来自celer网络奖励的代币)。
IPFS挖矿炒得沸沸扬扬,市场上出现了大量的IPFS矿机,这些矿机实质上就是使用IPFS网络提供大量的存储空间和网络带宽,帮助IPFS网络正常运行。
我们预测celer挖矿的设备就是提供一些中继设备,这些设备中保护了可以推进流动性的中继软件,运营中继软件即可获得来自网络的奖励。
交易即挖矿
如果你了解一点传统的挖矿方法,那你第一次听到交易即挖矿时,你脑子里面想的第一句话应该是,“WTF(什么鬼)”,交易也可以挖矿?那提供什么证明呢?
实际上,交易即挖矿是中国人搞出来的东西。
大家都知道,如果比特币没有挖矿,比特币网络就得歇菜,我们的转账转不成功,甚至比特币将不复存在。
而交易即挖矿不是这样的,交易即挖矿仅仅只是一种激励,交易所取消交易即挖矿的机制,交易所不会歇菜,仍然可以正常运作。比特币挖矿本质上是对记账权的争夺,那交易即挖矿是在争夺什么呢?
交易即挖矿本质上是对交易权的争夺,完成一笔交易,即可获得相应的奖励。
实际上,交易即挖矿也需要提供某种“证明”,但只需要提供最简单的证明——“成交证明”——即可,就是只要订单完成即可。这是最简单的挖矿方式。因为交易是点对点的,不存在分布式交易,但已达成共识(通过资产转移本身即可达成确定共识),所以这种挖矿证明才是最简单的。
交易即挖矿更多的是在激励层面上给人提供了更多的思路。
挖矿到底在挖什么
看到交易即挖矿之后,便不难想到其他的激励方式,比如类似于币乎的“创作即挖矿”,鼓励知识的生产,甚至有可能抖音、西瓜视频、微视、快手等为了鼓励更多优质视频的创作,推出“拍视频即挖矿”概念,并且,这完全有可能。
交易即挖矿,本质上是在鼓励大家成为做市商!创作即挖矿,本质上是在鼓励大家成为文字内容生产者!拍视频即挖矿,本质上是在鼓励大家成为视频生产者!
任何需要激励的,大家认可的,有价值的东西都可以通过挖矿的方式来实现。挖矿,挖的实际上是在大家认可的东西。
本质上,如果信用卡的积分可以交易,那么刷信用卡即挖矿也是完全可以成立的。
什么是真正的挖矿
我们可以看看BTC的投入是如何运作起来的。
第一步:有人认可其价值;第二步:有人投入成本来挖矿,并卖出挖到的比特币;第三步:有人使用比特币,从而进一步加强比特币的价值,且使用量越来越大。
这三步中,底层的价值价值支撑有两个——效用和投入成本。获得一个token是需要花费不低的成本的,当然,收益到的token又确实是有效用,那么这个供需关系就完整了。
现在的类似于币乎等创作平台,经济设计上,只要分享和点赞即可获得相应的token奖励。这样的token设计完全无法避免羊毛党,这会使得整个经济体运作失灵。
挖矿挖出的token必须要流通!
刷信用卡获得积分本质上也属于挖矿激励,信用卡积分是实实在在有效用的——可以兑换机票、可以兑换礼品。
信用卡积分无法流通使得信用卡的积分的作用范围大大受限。
同样的,如果挖出来的token在效用上(流通上)受限的话,那么整个的作用的token的经济机制就会完全失效。完全流通也是有问题的,必要的时候,需要限制token的流动性。只有这样的经济机制才是健康的、良性的。
总结
挖矿是一个极富场景感的词,听到挖矿的时候,是一群人淘金的样子。我们讲“搬砖”,就是自己在写字楼,付出自己的劳动,获得相应的奖励,这和挖矿一样的。搬砖是一个价值生产的过程,挖矿也是一样。
对比特币网络而言,挖矿不仅是发币还是维持比特币系统运行的基础保障;对交易即挖矿而言,挖矿也等于发币。他们都是在打造一台新型的印钞机。
原文作者:Adam, 深链财经
查看全部
2018年,数字货币交易所行业中出现了一个搅局者——这个搅局者是FCoin,它鼓励用户刷交易量,即使用“交易即挖矿”的概念,可以说FCoin继承了交易即挖矿的概念。
事实上,交易即挖矿最早是香港的龙网、CEO等数字货币交易平台提出的概念,但直到FCoin,交易即挖矿才得到了市场的广泛认知,此后便出现了大量交易即挖矿交易平台,当然都不如FCoin有影响力。
一些交易所的深度不够,采用交易即挖矿机制后,能够通过平台手续费分红的方式吸引用户主动交易,从而提高交易所的交易量和交易深度。
这里,细心的你可能很想知道,比特币挖矿、“交易即挖矿”以及由此衍生出来的XX即挖矿到底是什么东西?
比特币挖矿
2009年中本聪发明比特币,并且设定了比特币只有2100万个,加入到比特币网络中,通过参与到区块的生产中,提供工作量证明(PoW),即可获得比特币网络的奖励。这个过程即是挖矿。
”挖矿”的概念取自于我们现实经济生活中已有的概念,黄金挖矿、白银挖矿等,因为矿物是有价值的,所以才驱使人们去付出劳动力来挖“
比特币挖矿还有一个重要的点是因为参与挖矿的矿工认可比特币的价值,他们挖矿挖到的比特币市场上有人愿意花钱购买。所以,比特币的挖矿是有意义的。
其他挖矿方法
除了比特挖矿之外,我们还知道:
IPFS可以挖矿(通过提供存储证明和带宽证明,即可获得IPFS网络的奖励的币,FIL)。
celer可以挖矿(通过提供流动性承诺证明,PoLC,即可获得来自celer网络奖励的代币)。
IPFS挖矿炒得沸沸扬扬,市场上出现了大量的IPFS矿机,这些矿机实质上就是使用IPFS网络提供大量的存储空间和网络带宽,帮助IPFS网络正常运行。
我们预测celer挖矿的设备就是提供一些中继设备,这些设备中保护了可以推进流动性的中继软件,运营中继软件即可获得来自网络的奖励。
交易即挖矿
如果你了解一点传统的挖矿方法,那你第一次听到交易即挖矿时,你脑子里面想的第一句话应该是,“WTF(什么鬼)”,交易也可以挖矿?那提供什么证明呢?
实际上,交易即挖矿是中国人搞出来的东西。
大家都知道,如果比特币没有挖矿,比特币网络就得歇菜,我们的转账转不成功,甚至比特币将不复存在。
而交易即挖矿不是这样的,交易即挖矿仅仅只是一种激励,交易所取消交易即挖矿的机制,交易所不会歇菜,仍然可以正常运作。比特币挖矿本质上是对记账权的争夺,那交易即挖矿是在争夺什么呢?
交易即挖矿本质上是对交易权的争夺,完成一笔交易,即可获得相应的奖励。
实际上,交易即挖矿也需要提供某种“证明”,但只需要提供最简单的证明——“成交证明”——即可,就是只要订单完成即可。这是最简单的挖矿方式。因为交易是点对点的,不存在分布式交易,但已达成共识(通过资产转移本身即可达成确定共识),所以这种挖矿证明才是最简单的。
交易即挖矿更多的是在激励层面上给人提供了更多的思路。
挖矿到底在挖什么
看到交易即挖矿之后,便不难想到其他的激励方式,比如类似于币乎的“创作即挖矿”,鼓励知识的生产,甚至有可能抖音、西瓜视频、微视、快手等为了鼓励更多优质视频的创作,推出“拍视频即挖矿”概念,并且,这完全有可能。
交易即挖矿,本质上是在鼓励大家成为做市商!创作即挖矿,本质上是在鼓励大家成为文字内容生产者!拍视频即挖矿,本质上是在鼓励大家成为视频生产者!
任何需要激励的,大家认可的,有价值的东西都可以通过挖矿的方式来实现。挖矿,挖的实际上是在大家认可的东西。
本质上,如果信用卡的积分可以交易,那么刷信用卡即挖矿也是完全可以成立的。
什么是真正的挖矿
我们可以看看BTC的投入是如何运作起来的。
第一步:有人认可其价值;第二步:有人投入成本来挖矿,并卖出挖到的比特币;第三步:有人使用比特币,从而进一步加强比特币的价值,且使用量越来越大。
这三步中,底层的价值价值支撑有两个——效用和投入成本。获得一个token是需要花费不低的成本的,当然,收益到的token又确实是有效用,那么这个供需关系就完整了。
现在的类似于币乎等创作平台,经济设计上,只要分享和点赞即可获得相应的token奖励。这样的token设计完全无法避免羊毛党,这会使得整个经济体运作失灵。
挖矿挖出的token必须要流通!
刷信用卡获得积分本质上也属于挖矿激励,信用卡积分是实实在在有效用的——可以兑换机票、可以兑换礼品。
信用卡积分无法流通使得信用卡的积分的作用范围大大受限。
同样的,如果挖出来的token在效用上(流通上)受限的话,那么整个的作用的token的经济机制就会完全失效。完全流通也是有问题的,必要的时候,需要限制token的流动性。只有这样的经济机制才是健康的、良性的。
总结
挖矿是一个极富场景感的词,听到挖矿的时候,是一群人淘金的样子。我们讲“搬砖”,就是自己在写字楼,付出自己的劳动,获得相应的奖励,这和挖矿一样的。搬砖是一个价值生产的过程,挖矿也是一样。
对比特币网络而言,挖矿不仅是发币还是维持比特币系统运行的基础保障;对交易即挖矿而言,挖矿也等于发币。他们都是在打造一台新型的印钞机。
原文作者:Adam, 深链财经