Blog

慢雾安全团队建议使用钱包、交易所时请认准官方下载渠道并从多方进行验证。 原文：https://foresightnews.pro/article/h5Detail/31716 作者：山 & 耀 转自：Foresight News 背景 基于区块链技术的 Web3 正在驱动下一代技术革命，越来越多的人开始参与到这场加密浪潮中，但 Web3 与 Web2 是两个截然不同的世界。Web3 世界是一个充满着各种各样的机遇以及危险的黑暗森林，身处 Web3 世界中，钱包则是进入 Web3 世界的入口以及通行证。 当你通过钱包在 Web3 世界中探索体验诸多的区块链相关应用和网站的过程中，你会发现在一条公链上每个应用都是使用钱包「登录」；这与我们传统意义上的「登录」不同，在 Web2 世界中，每个应用之间的账户不全是互通的。但在 Web3 的世界中，所有应用都是统一使用钱包去进行「登录」，我们可以看到「登录」钱包时显示的不是「Login with Wallet」，取而代之的是「Connect Wallet」。而钱包是你在 Web3 世界中的唯一通行证。 俗话说高楼之下必有阴影，在如此火热的 Web3 世界里，钱包作为入口级应用，自然也被黑灰产业链盯上。 在 Android 环境下，由于很多手机不支持 Google Play 或者因为网络问题，很多人会从其他途径下载 Google Play 的应用，比如：apkcombo、apkpure 等第三方下载站，这些站点往往标榜自己 App 是从 Google Play 镜像下载的，但是其真实安全性如何呢？ 网站分析 鉴于下载途径众多，我们今天以 apkcombo 为例看看，apkcombo 是一个第三方应用市场，它提供的应用据官方说大部分来源于其他正规应用商店，但事实是否真如官方所说呢？ 我们先看下 apkcombo 的流量有多大： 据数据统计站点 similarweb 统计，apkcombo 站点： 全球排名：1,809 国家排名：7,370 品类排名：168 我们可以看到它的影响力和流量都非常大。它默认提供了一款 chrome APK 下载插件，我们发现这款插件的用户数达到了 10 W+： 那么回到我们关注的 Web3 领域中钱包方向，用户如果从这里下载的钱包应用安全性如何？我们拿知名的 imToken 钱包为例，其 Google Play 的正规下载途径为：https://play.google.com/store/apps/details?id=im.token.app 由于很多手机不支持 Google Play 或者因为网络问题，很多人会从这里下载 Google Play 的应用。而 apkcombo 镜像站的下载路径为：https://apkcombo.com/downloader/#package=im.token.app 上图我们可以发现，apkcombo 提供的版本为 24.9.11，经由 imToken 确认后，这是一个并不存在的版本！证实这是目前市面上假 imToken 钱包最多的一个版本。 在编写本文时 imToken 钱包的最新版本为 2.11.3，此款钱包的版本号很高，显然是为了伪装成一个最新版本而设置的。 如下图，我们在 apkcombo 上发现，此假钱包版本显示下载量较大，此处的下载量应该是爬取的 Google Play 的下载量信息，安全起见，我们觉得有必要披露这个恶意 App 的来源，防止更多的人下载到此款假钱包。 同时我们发现类似的下载站还有如：uptodown下载地址：https://imtoken.br.uptodown.com/android 我们发现 uptodown 任意注册即可发布 App，这导致钓鱼的成本变得极低： 钱包分析 在之前我们已经分析过不少假钱包的案例，如：2021-11-24 我们披露：《慢雾：假钱包 App 已致上万人被盗，损失高达十三亿美元》，所以在此不再赘述。 我们仅对 apkcombo 提供版本为 24.9.11 这款假钱包进行分析，在开始界面创建钱包或导入钱包助记词时，虚假钱包会将助记词等信息发送到钓鱼网站的服务端去，如下图： 根据逆向 APK 代码和实际分析流量包发现，助记词发送方式： https://api.funnel.rocks/api/trust?aid=10&wt=1&os=1&key=<助记词> 看下图，最早的「api.funnel.rocks」证书出现在 2022-06-03，也就是攻击开始的大概时间： 俗话说一图胜千言，最后我们画一个流程图： 总结 目前这种骗局活动不仅活跃，甚至有扩大范围的趋势，每天都有新的受害者受骗。用户作为安全体系最薄弱的环节，应时刻保持怀疑之心，增强安全意识与风险意识，当你使用钱包、交易所时请认准官方下载渠道并从多方进行验证；如果你的钱包从上述镜像站下载，请第一时间转移资产并卸载该软件，必要时可通过官方验证通道核实。 同时，如需使用钱包，请务必认准以下主流钱包 App 官方网址： imToken 钱包：https://token.im/ TokenPocket 钱包：https://www.tokenpocket.pro/ TronLink 钱包：https://www.tronlink.org/ 比特派钱包：https://bitpie.com/ MetaMask 钱包：https://metamask.io/ Trust Wallet：https://trustwallet.com/ 请持续关注慢雾安全团队，更多 Web3 安全风险分析与告警正在路上。 致谢：感谢在溯源过程中 imToken 官方提供的验证支持。 由于保密性和隐私性，本文只是冰山一角。慢雾在此建议，用户需加强对安全知识的了解，进一步强化甄别网络钓鱼攻击的能力等，避免遭遇此类攻击。更多的安全知识建议阅读慢雾出品的《区块链黑暗森林自救手册》。  

「Shapella 网络升级」完成后，以太坊信标链质押提取功能被激活，这标志着以太坊即将进入一个新的发展时期。对于数字资产持有者而言，以太坊信标链质押提取功能被激活后，有哪些假信息需要甄别明晰，又能做些什么抓住这次升级的机遇？ 甄别假信息一：以太坊会出现新的交易类型 以太坊信标链质押提取功能激活，并不代表着以太坊上将出现新的交易类型。在本次包含 「上海升级」的「Shapella 网络升级」中，以太坊改进协议 EIP-4895 是在技术角度设置了新的操作对象「withdrawals」，让信标链具备质押提取的操作功能，为信标链上的验证者提供了一种进入以太坊虚拟机新提取方式，但不是创建了一种新的交易类型。  甄别假信息二：以太坊生态数字资产的价值前景将下降 以太坊信标链质押提取功能激活，使验证者能够访问此前被锁定的资产，是区块链技术上的变化，这个技术变革同时也是 2022 年 9 月 15 日以太坊从 PoW 共识机制转化成 PoS 共识机制后必须要经历的变化，只有完成此项技术变革，PoS 共识机制下的以太坊才具备整体功能。 此外，以太坊信标链质押提取功能激活，也是以太坊未来实施 「分片升级」的前奏和必要步骤。技术上的升级并不意味着会直接对整个生态数字资产的价值展现施加影响。因此，不能直接去推断或者认定以太坊生态的数字资产价值前景会因信标链的变化而发生下降。 甄别假信息三：质押提取会向用户收取高额 Gas fee 质押提取不会向数字资产用户收取 Gas fee。一方面，质押提取是来自以太坊系统的操作，不是像常见的有关数字资产的链上操作那样，是用户发起的操作，比如获得质押奖励是自动化进行的。另一方面，以太坊在共识机制里限制了在既定时间里的最大提取数量，因有了这个技术上的限制，执行层的操作成本非常之小，并不存在高额的操作费用。 那么，当以太坊信标链质押提取功能被激活后。数字资产持有者又可以做些什么，抓住这次升级的机遇？ Layer2 生态项目 「Shapella 网络升级 」是以太坊技术变革上的「承前启后 」，而以太坊的下一次升级将带来 Layer2 生态项目真正的突破。在接下来的「分片升级 」完成之后， Layer2 生态将变得更具有竞争力和发展潜力。 成为以太坊验证者 以太坊数字资产用户的日常链上操作不会受到「Shapella 网络升级」的影响，信标链质押提取功能被激活后，其实在一定程度上降低了成为以太坊验证者的准入门槛和条件。 了解成为验证者，请查阅：imToken 支持以太坊 Shapella 升级公告

近期，随着以太坊上海升级以及 Layer2 生态热点的崛起，数字资产市场再次焕发生机。新老用户纷纷通过 Telegram、Discord 等社交平台与其他人交流，以获取最新的行业新闻、项目信息和市场动态。然而，市场的繁荣也为不法分子提供了可乘之机。 为了帮助广大用户防范风险，我们在本期钱包安全月报中总结了几种近期在 Telegram 上常见的骗局及其应对策略。我们希望这些信息能帮助你更好地识别并防范潜在的网络安全风险。 骗局一：假冒 imToken App 及假 imToken 官方客服骗局 在 Telegram 上创建伪造的 imToken 粉丝群，引导用户添加虚假 imToken 客服好友，企图诱骗用户提供助记词、私钥等敏感信息； 在群聊中抄袭 imToken 官方通知风格，制作并传播假的 imToken 通知信息； 在宣传海报上附加假 imToken 官网下载二维码或链接，诱导用户下载虚假 imToken App。 破解手法 请注意，imToken 在 Telegram 上并无任何官方粉丝群。imToken 官方客服也不会主动向任何用户索要助记词、私钥等敏感信息。 不要将助记词、私钥输入到骗子客服发给你的网站或者应用中。如需联系 imToken 官方客服，请通过 [email protected] 与我们联系。 imToken 的官方通知将第一时间在 imToken 官网：https://token.im 的「帮助中心」发布。若你在其他渠道看到关于 imToken 的活动信息，请前往官网的帮助中心进行核实。 除了前往官网下载 imToken 外，你还可以发送标题为「下载」的邮件至官方邮箱 [email protected] 获取最新版的 imToken 应用。 骗局二：Telegram 验证码截图骗局 骗子会伪装成你的好友，以各种看似合理的理由要求你提供聊天页面截图。虽然这看起来似乎无害，但实际上，骗子正试图利用你的手机号码登录 Telegram。一旦你发送的截图页面包含了官方发送的登录验证码（Login code），骗子便能够成功登录你的 Telegram 账号向通讯录中的好友骗钱。以下是骗子实施诈骗的详细流程： 获取手机号码：如果你的 Telegram 账号隐私设置成任何人可见，则会被骗子看到手机号码或者骗子首先获取到你好友的账号，然后查询到你的手机号。 以各种理由骗取聊天截图：骗子冒充好友，通过多种话术骗取用户聊天页面截图，比如解封账号或聊天界面异常。 利用截图中的登录验证码：骗子在新设备上输入用户手机号尝试登录，若截图包含登录验证码，骗子可以直接登录用户账号。 接管账号并继续诈骗：骗子登录后，删除所有已登录设备，更改密码，并利用用户账号继续诈骗通讯录中的其他人。 破解手法 开启 Telegram 两步验证：打开 Setting（设置）> Privacy and Security（隐私和安全）> Two-step Verification（两步验证）进行设置，并建议在后续步骤中设置安全邮箱，目的是在忘记两步验证密码的情况下，可以通过安全邮箱重置密码。 隐藏手机号和打开加群限制：打开 Setting（设置）> Privacy and Security（隐私和安全），设置隐藏手机号、上线状态、头像、转发消息等；设置账号不被非好友拉入陌生群，减少被骗概率；不使用 Telegram 附近的人功能。 骗局三：假 Telegram 骗局 由于 Telegram 没有中文安装包，骗子通常会制作假的带有恶意插件的 Telegram 中文版 App，在在谷歌、百度等搜索引擎购买关键词及广告位，诱导用户访问下载。 当用户下载并使用带有恶意插件的 Telegram App 时，可能面临资金损失的风险：假 Telegram 在运行时会自动检测聊天中的区块链地址，并在检测到用户聊天消息中的钱包地址时，将其替换为骗子的地址。 若用户从假 Telegram 中复制地址进行转账时，只核对了部分，则很容易错误复制成骗子的地址，不小心转账后就会造成资产损失。 破解手法 检查自己的软件下载途径，如果是网页搜索下载的安装包，建议直接卸载后去官网重装。第三方恶意客户端有能力获取和控制你的账户，读取你全部的聊天记录，收集你设备的可识别信息，安全起见，务必通过 Telegram 官网：https://telegram.org/ 下载使用软件。 转账前请务必仔细核对地址， imToken 推荐你使用地址本功能，保存常用地址，防止转错地址。 骗局四：高收益网站诈骗 骗子在 Telegram 上冒充加密货币专家，利用高收益诱饵诱导用户投资。其通常在私聊或群聊中引导用户使用 imToken 的 DApp 浏览器访问第三方诈骗网站，并要求用户充值资产。在用户成功充值后，骗子会展示看似投资收益增加的图表，让用户误以为投资正在盈利。然而，当用户试图提款时，骗子及其控制的账户将会消失，导致用户资金损失。 这些诈骗网站的特点如下： 以高额收益为诱饵 「皮包公司」模式，难以封禁 网站粗制滥造，页面设计水平低 打着「去中心化、安全透明」的旗号 虚假宣传，冒用知名公司的名义 带有明显推广、拉人头行为的传销资金盘项目 破解手法 谨慎判断遇到的高收益项目，如果你无法辨别，请通过 [email protected] 联系 imToken 官方客服获取协助。 为了帮助用户防范诈骗类 DApp，imToken 会对一些已知的高风险 DApp 进行风险提示或直接封禁，如果遇到网址被封禁，请勿参与该项目！ 骗局五：虚拟平台充值诈骗 骗子利用人们贪图便宜的心态，以低价购买加油卡、礼品卡、使用一些验证码平台充值为诱饵，引导用户使用他们提供的恶意网站进行充值。当用户在这些恶意网站上点击充值按钮时，imToken 会弹出安全提醒，提示用户注意权限更改。 一旦用户确认并输入密码签名，地址权限便发生变更，导致用户失去对钱包内资产的控制权。在这种情况下，用户仅能将代币转入钱包，却无法转出。 破解手法 请勿相信网络上虚假宣传的各类礼品卡、加油卡、验证码等网站，并避免参与其充值活动，尤其要警惕提供充值跳转服务的链接。一般情况下，正常的充值服务仅需使用收款方地址进行转账即可完成操作。 若你在判断充值网站的真实性方面存在疑虑，请通过 [email protected] 联系 imToken 官方客服获取协助，确保你的资金安全。 imToken 一直在行动 安全警示｜警惕 ETH 钱包新型骗局 你的钱包地址中是否有出现过未经你本人许可的代币名称为 USDT 的转出记录？近期骗子通过在区块链上创造假 USDT 的交易记录，让其在 Etherscan 和钱包历史记录中显示，这导致用户的钱包中出现非本人操作的假 USDT 转账记录。那么这些交易到底是如何发生的呢？点击查看警惕 ETH 钱包新型骗局！ imToken 安全团队提醒，当你看到 ETH 钱包中出现未经你本人许可的 USDT 转出记录时，请先检查该笔记录中的 USDT 是否为真币。由于区块链技术不可篡改的特性，链上转账一旦成功，则无法进行取消、撤回等操作，所以转账前请务必仔细核对地址！ 安全提醒｜警惕 Data 授权骗局 近期，多名用户前来咨询：有人让我给他转账 0 金额，但是转账时，需要点开高级模式并在 Data 中输入一串数字，声称是测试我钱包地址的可用性，这是否会影响我的钱包安全呢？ imToken 安全团队提醒：这是骗子最新的一种盗取大家代币转账权限的手法，他们凭借你不经意间给他的转账权限，就可以不需要你的同意将你钱包内的资产转走。在之前的文章中，我们剖析了这类骗局的具体行骗手法并为大家提供对应的防骗贴士。点击查看详情。 安全风控 三月份，imToken 共标记风险代币 6108 个；封禁风险 DApp 网站 137 个；标记风险地址 113232 个。 详见风控数据。 另外，如果你发现了疑似风险的代币或者 DApp，请及时反馈给我们：[email protected]，帮助更多用户避免资产损失。 最后 imToken 一直关注数字资产及钱包安全问题，其实骗局都是利用人性的贪婪，在你麻痹大意时，给予致命一击。所以我们还是呼吁大家，切勿贪小便宜吃大亏，赚钱时，不忘保持理智和冷静。 如果你认为本文对你有帮助，请发给你身边从事数字资产投资的朋友，以防更多的人上当受骗。

原文：https://foresightnews.pro/article/detail/31283作者：HashKey Capital 制作的《Hash Out 42》首期播客节目转自：ForesightNews DVT 分布式验证器技术、提升 BLS 签名效率将有效降低以太坊质押门槛 主持人：Siya（HashKey Capital） 嘉宾：陈昶吾（imToken 首席科学家）、Zeqing Guo（HashKey Capital 高级技术研究员）整理：Peng SUN，Foresight News 在 HashKey Capital 制作的《Hash Out 42》首期播客节目中，imToken 首席科学家陈昶吾和 HashKey Capital 高级技术研究员 Zeqing Guo 将继续围绕上海升级，结合此次升级的背景、目的和技术路线，深度思考上海升级可能会对以太坊生态带来的影响。 Siya：上海升级对质押者或 stETH 质押代币的持有者有什么风险？在此期间需要注意哪些方面？ Zeqing Guo：我就是一个质押者，所以也很关注上海升级可能会造成的影响。我认为大多数质押者最关注的是提款地址的更新。在上海升级之前，以太坊质押协议的质押地址使用 BLS 地址，它跟以太坊地址完全不同，需要手动保存对应的公私钥对。但是以太坊经过几轮迭代后，产生另一种地址，质押者可以把质押的以太坊解除质押提款到一个以太坊正式存在的地址，即 0xAA 类型地址。 因此，现在以太坊的质押协议上存在这两种地址。第一种 BLS 的地址现在已经不建议使用，如果当时质押填的是 BLS 地址，那么有一次机会把它从 BLS 地址升级成一个正常以太坊地址，如果不升级，可能无法提币。如果升级时输错以太坊地址，那么币也会丢失。当然，这并不是必须要在上海升级前完成，随时都可以升级，但只有一次机会，这个是我作为质押者最关心的一件事。 其次，作为质押者，要及时更新客户端。如果没有升级到最新的客户端，可能会造成一些比较严重的后果，譬如跟不上网络等等。其三，对于 stETH 持有者还有一层风险，一些 stETH 大户担心解除质押之后，很多人提币会导致以太坊价格下跌，因此他们会选择在这个时间点把自己手上的 stETH 全部卖成以太坊，这就可能导致 stETH 汇率下跌很多。这对小散户可能没有什么影响，但如果对一些持有 stETH 的机构来讲，实际上就相当于它的代币在浮亏。这就是价格方面的风险。 陈昶吾：我同意郭老师的观点。首先，我认为对于所有的质押者来讲，上海升级之后提款地址更新是最重要的一件事。从整个系统实现来看，这叫做 BTEC（BLS To Execution Change）message。那么，为什么会有地址需要改变？在当年以太坊生态的路线图中，以太坊 2.0 当时被认为是一个新的网络，所以在设置这个地址时有两个不同的方向，因为未来究竟如何并不确定，所以设置的不是 EOA 地址。回到当下，The Merge 之后，以太坊主网与过去以太坊 2.0 现在是同一个网络，并且执行层上又是一个 EOA 地址，所以这时我们需要把地址重新设回到 EOA 可提领的地址，因此导致了这次的升级。 关于提款地址，大家接下来要小心三个方面。第一是刚刚郭老师提到的，整个设置只有一次。由于刚刚提到 BTEC message 不需要支出任何的交易手续费，所以如果允许任何人都可以任意更改地址或允许无限次更改地址，网络可能会面临被二次攻击的风险，基于这一原因，地址设置只有一次。其次，提款地址设置好以后，可以在 beaconcha.in 等浏览器上看到提款地址，地址开头是 0x01，如果开头是 0x00，需要从 BLS 当年派生的这个地址更换成 EOA 地址。第三是可以观察的现象点。以太坊 PoS 质押中包含 Withdrawal Key 与 Validator Key。 Withdrawal Key 最重要，因为这是质押者真正用来提取本金与奖励的密钥。Validator Key 主要是客户端用来参与共识机制（不管是投票还是出块）签署链上操作所需要的密钥。两年多以来，一定会有用户遗忘密钥，或当初保管密钥的方式不够好，而这次 BTEC 信息只有一次设置机会，因此有些黑客在 Epoch 生效之后会比原先质押的用户更快地升级地址。因此，如果当年密钥没有保管好，或者认为自己密钥的助记词可能遗失或泄露，建议在 Epoch 之后尽可能快地更换地址，因为只能换一次，如果被黑客换了，风险就会在自己身上。 Siya：自从上海升级这个概念出来以后，很多人都在讨论 Staking、LSD 这些新风向。两位认为上海升级是否会催生出更多的新项目或新生态？ 陈昶吾：上海升级之后会催生出一些新项目和新生态，这是毋庸置疑的。对比一下过去 PoW 网络与现在 PoS 网络，PoW 网络有矿池、矿机，有很多围绕着 PoW 共识算法衍生出来的项目、生态或角色。同样，在 PoS 之后，一定也会衍生出一些围绕着 PoS 的新项目、新生态。从共识奖励来看，假设上线率或客户端的可用性基本上都正常的情况下，目前一个稳定质押者的年报酬率大概是 4%，这是基于目前 56、57 万左右的质押人数计算而成的。回到 PoS 共识算法的经济模型，要思考的问题是如何提高区块奖励或质押奖励。 第一种情况是 MEV 机器人，在 MEV 状态下，出块者有权对交易进行排序，产生 MEV 收益，这些中间的交易手续费会归于质押者所有。换言之，质押者不仅可以获得原本 4% 的收益，还可以因出块而获得额外的交易手续费奖励。所以，围绕 MEV 的模型，未来一些专业的套利者与区块构造者 Builder 可能会组成联盟，大家相互合作，在对交易进行排序之外，榨取出利益。 其次是如何让客户端的稳定性变得更好。假设你本来就是一个开发者，你也很熟悉如何跑这个软件，但如果服务器无法稳定出块或投票时，就会遇到我们刚刚谈到的一些惩罚性的行为。就此而论，除了让小散户可以用更少的 ETH 参与到 PoS 网络的机制之外，还要确保客户端的稳定性，所以我们认为未来会出现很多实现去中心化验证节点的机制。在 The Merge 之后，Vitalik 所提到的路线图也有提及这一点。 其三是再次提升 BLS 效率。因为 BLS 签名方案的最优点是能够支持签名聚合，而聚合的好处是假设有 100 个签名，过去每一个签名都要验证一次，其实这是非常耗费时间与机器运算的。但是如果能够把 100 个签名聚合成一个签名，相较于原本要验 100 次而言，现在只需要验一次，而且这一次的背后代表是 100 张的投票，实际上处理信息的效率就提高了，信息效率的提高会影响到共识层信息的交换或验证的效率。为什么过去设置 32 枚 ETH 限制？ 因为出块时间是 12 秒，但是用来构造区块与用来验证每一笔交易里的签名都需要时间，譬如网络传输的时间、签名校验的时间、验证交易的时间等等。从物理时间来看，出块时间必须要小于 12 秒。如果效率不高，100 个签名会消耗 1 秒，也就无法提升能够处理的信息数量。因此，如果能够提升 BLS 签名的效率，我们就可以把 32 枚 ETH 准入往下再降一级，这样就有助于提升更好的门槛。 Zeqing Guo：我从两个方面来分享我的看法。第一个方面就是从以太坊的集体收益来讲，集体收益是什么意思？如果大家经历过 DeFi Summer，可以意识到过去整个以太坊上 DeFi 的创新，其基底很大程度上都是 Curve 的稳定币收益。什么是 Curve 的稳定币收益？这里有两个点，其一是 Curve 代币经济模型会不断地给 Curve 稳定币的池子空投代币奖励。譬如，在里面存入 1 万美元代币，每一个区块会得到 0.001 个 Curve，奖励会随着区块往上增加，这是一个很稳定的收益奖励，当时的收益率至少有 10%。 其二，因为这是一个稳定币池子的收益奖励，稳定币都是 USDT、USDC，相比一些高波动的资产，收益非常安全。这两个点决定了后面 DeFi Summer 之后各种各样的创新，它们的底层基本上都是 Curve 的稳定币收益。因为在别的协议做一些创新时，会考虑协议的安全，以及协议如何给用户更多的收益，这两点考虑下来能选的协议只有 Curve。因为 Curve 既安全，又有一个基底很稳定的固定收益。 举例而言，开启 DeFi Summer 黄金时期的协议 YFI 就是在 Curve 上在做了一层，2021 年最出名的几个协议，譬如 Mean、Convex、Olympus 等实际上都跟 Curve 息息相关。后来 DeFi 创新的熄火主要也是因为 Curve 的熄火，Curve 的币价一直涨不上去，增发也在慢慢减少。目前，Curve 上持有的稳定币收益可能已经在 1% 以下，再在上面做创新也给不了用户很高的收益率，从而导致整个 DeFi 的熄火。 以太坊的上海升级之后有什么好处呢？我们可以对比一下 Curve。其一是稳定的集体收益。包括 3.5% 左右的共识层收益与 1% 左右的 MEV 收益，总计 4.5% 左右的集体收益比现在 Curve 高很多。这还是熊市期间的收益，牛市时可能会更高。其二是足够安全，像当年 Curve 的稳定币池子一样，由以太坊共识来保证以太坊的存取，用户可以存入以太坊，上海升级之后又可以取出来。因此，我认为以太坊上海升级具有与当时 Curve 诞生 DeFi Summer 进行对比的意义，在这上面会出现很多的套娃和增强收益的产品。 除了收益端，还有如何保证以太坊网络的去中心化，它可能催生什么新项目，这一点刚刚昶吾老师也提到了很多。我们认为，现在以太坊的质押模型不够去中心化。其一是 Lido、Coinbase 等大的质押商，无论是公司还是 DAO，都是将用户的资金拿去链上质押，用户资金的调配由 Lido 和 Coinbase 控制。 其次，Rocket Pool 这类去中心化协议存在很大的资金利用率问题，即每个 Rocket 运维节点都需要存入 16 枚 ETH 与 10% 的 LP，这样才可以运行一个节点。可能整个地球上有质押运维能力的人很多，但是有 16 枚 ETH 与对应数量 LP 的人并不多，因此很难实现网络扩容以满足用户在该协议中进行质押的需求。除了这两种路线的话，暂时还没有看到第三种。那么，这里就存在很大的问题，即如何能够降低运维节点的成本，譬如一个持有 1、2 枚 ETH 的小码农可以运行一个节点参与共识，并且能够给 Lido 提供质押服务。如果能够实现，网络的去中心化能力会比现在大大增强。 这不仅对以太坊网络有好处，同时对 Lido 或者 Coinbase 这些协议本身也有好处。因为不是去中心化的协议首先会受到很大的监管压力，其次还会面临很强的社区压力，因为社区会质疑这种将用户资金聚集起来的像矿池一样的中心化模式。这些协议其实面临着双方的压力。 因此，无论从网络安全方面的需求还是项目方本身的压力，我都觉得这个方向会产生很多新的项目。现在有两个能够看到的方向，一个是 DVT 分布式验证器技术，这是一个可以帮助持有 1、2 枚 ETH 的用户完成质押的关键技术。还有一个很重要的点是 BSL 聚合签名，能够让每一个质押节点不用再存入 32 个以太坊。 Siya：最后，可以展望一下以太坊下一次重大升级——坎昆升级，两位老师认为有哪些值得我们留意的看点？ 陈昶吾：我觉得坎昆升级中比较重大的应该是 EIP-4844，它主要是针对接下来的 Layer2、特别是 Rollup。Rollup 分为 ZK Rollup 与 Optimism Rollup。Optimism Rollup 需要把二层网络的数据写回到主网上，ZK Rollup 也是一样，但是在 calldata 上的成本还是相对比较高，因为过去的主网不是为了写这些数据而使用的。EIP-4844 会引入一种新的 Blob transaction，这是一种新类型的 data，主要就是存放由 Layer2 特别是 Rollup 存入的一些 data，如果未来要去校验整个状态的一些计算时，有资料可以使用。 这会带来一些改变，这些改动可能就包含 Layer2，可能大家会认为 Layer2 交易已经足够便宜，可是相较于主网，整体成本还是不够低。如果 Rollup 要更普及，或是让大家更容易接受，势必就要像过去的网络一样，当频宽越高、成本越低时，才会加速普及。因此，我们认为 EIP-4844 引入后会降低 Layer2 成本，成本的降低就会反映在接下来的生态运行中。 譬如，大家最近经常听到 EIP-4337 账户抽象，账户抽象在引入新的 Rollup 之后，因为账户抽象本身属于合约账户，而每个智能合约最主要的开销就是合约上计算的这些计算量的 Gas 有多少，相较于原本一般的交易，也就是 21000 gas，合约交易一定是比较高的。但是在引入 EIP-4844 以及 data 成本大小降低之后，合约账户的成本就更低。 这不是指它在主网上会变得更好，而是指在 Layer2 上，从钱包或账户上来看，或从 Layer2 接下来的整体生态以及整个系统的元件构建来看，它都会变得比以前更好。因为 Layer2 过去的成本还可以，不是太好，只能说合理，但有了 EIP-4844 之后，如果可以实现大幅度降低成本，接下来 Layer2 上面的生态普及与落地会变得更加简单。 Zeqing Guo：我主要关注的也是 EIP-4844，可以补充一下这方面的内容。刚才讲的内容总结一下，EIP-4844 最重要的点就在于它让 Rollup 成本可能会降到现在的 1/4，这个数字是随口说的，但确实可以大幅度降低成本。 它是如何降低成本的？首先，Rollup 往链上传的数据实际上是 Rollup 在 Layer2 网络上压缩完的交易数据，这些压缩的交易数据存放在 Layer1 网络可以做一些验证工作。因为如果这是一个实时需要使用的数据，它不仅仅需要做验证，而且下一个区块都要根据整个 Rollup 中的交易数据来计算出哈希值。如果高频使用，则不能压缩数据。 之所以可以压缩，就是因为这个数据不常使用，可能写上去一次之后，在很久远的时间点，如果大家要去做一个验证，再把这个数据解压缩去验证一下。所以，EIP-4844 认为，反正这个数据在读取它的时候是个不平凡的事件，那么不仅可以做压缩，还可以做绝一点，把它存入一个开销很小的存储单元中。 譬如，能不能把它存在硬盘内而不是内存里，尽管之后访问这个数据会变得很慢，但同时存储成本也会降低很多。想象一下，电脑内存只有 16G，但是打个游戏，笔记本电脑的存储空间可能有 1T，1T 相比 16G，至少有 16 倍以上的增长空间。 因此，如果我们不把压缩过的交易数据放在内存，而是放在硬盘中，那么整个存储成本就会大大降低。这样做的主要原因就是读取这个数据时是不平凡的，既然已经把它压缩了，那么存放在慢点的地方也无所谓。 这就是 EIP-4844 的基础想法，个人认为这个想法还是挺巧妙的，确实是对整个以太坊协议的很大改进，现在主要是给 Rollup 使用，但我认为未来会给一些跨链桥使用，甚至做一些更加复杂的生态应用。总体来说，我觉得 EIP-4844 升级的意义非常大，可能不亚于以太坊支持提款的意义。

imToken 很高兴参与并与万向区块链实验室和 HashKey Group 联合举办 2023 香港 Web3 嘉年华的「Web3 金融基础设施：数字钱包和 DID」专场。 Web3 嘉年华是全新的 Web3 活动品牌，本次活动在香港进行，旨在围绕 Web3 各赛道核心议题，邀请全球优质项目和投资机构分享前沿技术和观点，同时也邀请了监管机构代表深度解析监管政策，明晰发展边界。 > 香港特首在香港 Web 3.0 协会成立典礼的发言：「为了让香港成为虚拟资产企业的最佳立足点，我们同时需要为市场提供适切的监管，释放 Web3 以及相关技术的潜力。」 imToken 钱包在本次嘉年华共进行了 3 场主旨演讲，核心内容如下： Web3 钱包的不可能三角：如何在去中心化世界平衡用户体验、安全性和可拓展性 该演讲由 imToken CEO Ben 进行。 当前 Web3 钱包面临三大难题：用户体验、安全和拓展性。用户体验方面，新技术带来新概念、引入新的行为模式；安全方面，区块链承载价值，不论是协议层还是应用层，对于安全都有不同程度的要求；可拓展性方面，当下区块链的性能和费用无法满足亿级用户的需求。这三个问题，形成一个「不可能三角」的关系。 在相当长的一段时间内，这个问题是无解的，我们可以突破一点或两点，但必然会牺牲其他点。因此，我们努力在这三者间寻找平衡，同时寻求技术突破。 随着区块链生态不断演进，在体验、拓展性和安全性方面都有了长足的进步。其中，Rollup、数据分片、模块应用链等在拓展性和操作性上有所突破；MPC、TSS 等技术则为整体账户安全提供了更大的保障；ENS、.bit、DID 等账户抽象技术在改善用户体验的同时，也为定制化提供了更多可能。 然而，这些技术仍存在局限性，如 ENS 在用户体验和安全风险方面仍有待提升，Rollup 仍有中心化问题。那么，除了同时拉伸三角，争取平衡空间外，我们是否还有更优选择？ 从七年钱包经验出发，imToken 提出了一种分层架构的解决方案，不妨将「二维」问题放到三维视角，将私钥作为核心层，将链作为网络层，将账户作为接入层，并通过设立一系列指导原则，对不同用户场景进行权衡和取舍，以取得更大的平衡空间。 针对不同场景： 1. 新进入 Web3 的用户：他们希望快速创建钱包并免费开始使用。在这种情况下，用户体验层面非常重要，我们可以通过隐藏私钥、免矿工费等方式提升体验。网络层面则可以让用户直接接入 Layer2 或 Layer3 网络。核心层可以采用成熟的 WebAuthn 技术，实现无感知的安全保障。 2. 深度探索 DApps 的用户：他们最需要方便、快速、低成本的网络。在这种情况下，核心层可以通过社交恢复和风险控制来保障用户账户安全。用户体验层面可以提供便利的操作，如多步执行、多个 Providers 接入等。网络层可以继续采用多链多网络的方式，给用户带来便利性。 3. 资产管理用户：他们需要隔离的多签账户，最关注资产安全。在这种情况下，往往主要活动发生在 Layer1 网络，同时用户对矿工费并不是特别敏感。最需确保的是在安全层面提供最高等级的保障。 4. 支付场景：需要丝滑体验，与实际场景相结合。在这种情况下，不需要网络矿工费支付，并且需要在 Layer3 网络上实现大规模扩展性。 同时，为了解决不同场景下账户割裂的问题，imToken 提出了统一的账户体系，通过引入 Universal Account（通用账户）的概念，消除多链多网络之间的差异，改善用户体验割裂的状态。通过整合各类技术方案并隐藏复杂性，为用户提供一个友好且易于使用的系统。 Web3 支付：迈进用户和商家货币管理及交易新时代拓展下一代钱包：加密支付如何引领未来 两场演讲分别由 imToken 副总裁 & RIVO 总经理 Chuck、imToken 首席架构师 Kai 进行。 imToken 认为支付场景是拓展下一代钱包的关键用例。而支付对可拓展性有极高要求，参考多级火箭思路，层层加速，从 LayerN…到 Layer3、Layer2，最终上传数据至 Layer1，以满足支付对于区块链网络性能的要求。 RIVO 是 imToken 正在孵化的全新品牌，它将专注于支付领域。在一定程度上，使用数字资产支付不完全等于 Web3 支付。Web3 支付由所有权证明、支付授权、交易媒介和支付网络四个基本元素，加成去中心化特性、智能合约和代币化而来。借助这些属性，RIVO 将帮助消费者和商家迈入货币管理和交易的新时代。 最后 imToken 相信，随着技术的不断发展和成熟，在明确的框架原则指导下，钱包的不可能三角问题有望突破。让用户在各类生活场景中，尤其是日常支付中，都可以借助区块链技术，随时随地无门槛地接入 Web3 世界。 同时，我们也十分期待 Web3 能够在香港政府的支持和适切监管下稳健有序发展。

以太坊 Shapella 网络升级将于 Epoch 194048 时激活，对应的新加坡时间为 2023 年 4 月 13 日 06:27:35（UTC 时间 4 月 12 日 22:27:35）。（网络升级是对以太坊底层协议的调整，增加新规则以改善系统） imToken 用户需要做什么 imToken 会支持此次升级，用户无需进行任何操作。 我们会在即将发布的 imToken 新版本中支持 ETH 质押提款功能，为了获得更好的体验，请关注我们的公告并及时更新。 Shapella 升级有哪些优化 Shapella 升级主要包括执行层的升级（Shanghai upgrade）和共识层的升级（Capella upgrade）。（Shapella 是 Shanghai 与 Capella 的合并词汇） 执行层的升级变化 执行层的升级（Shanghai upgrade）共包含五个 EIP，分别是：EIP-4895、EIP-3651、EIP-3855、EIP-3860、EIP-6049： EIP-4895：让共识层具有提款功能（本次升级的关注重点）。 EIP-3651：解决访问 COINBASE 地址操作成本过高的问题。 EIP-3855：引入PUSH0（0x5f）指令，能够减少智能合约代码大小。 EIP-3860：为 initcode 引入了代码大小上限标准，确保维持操作成本的合理。 EIP-6049：发布弃用 SELFDESTRUCT 操作码的警告。 （EIP：Ethereum Improvement Proposal，即以太坊改进提案） 共识层的升级变化 共识层的升级（Capella upgrade) 计划包括： 验证人的提款功能（完全或部分） 确定提款功能的先决条件 用独立的区块状态和区块历史累加器取代原有的、单一的历史根目录。 使用 imToken 参与 ETH 质押 imToken 支持 ETH 质押，无论你持有的 ETH 是否达到 32 枚，都可以找到适合自己的质押方式，成为验证者并获取质押收益。 如果你持有 32 个及以上的 ETH，即可选择非托管质押方案。详情可查看：如何在 imToken 中参与非托管 ETH 质押。 如果你持有少于 32 个的 ETH，可以在 imToken 首页点击「质押」进入 ETH 质押界面，然后点击「Eth2 DApps」选择你喜欢的质押方案。

点此👇下载 PDF 版本加密钱包报告

透明、自由和公平是区块链带给我们的技术保障，也是未来数字生活的基础。而对此的认同和向往，让我们汇聚在一起，倾力打造一款安全放心、简单易用的数字钱包，让每个人平等自由地享受有意义的数字生活。 Layer2 以太坊生态繁荣。繁荣背后是大量涌入的新人和激增的需求。但由于以太坊网络性能限制，区块链的无门槛和自由竞争，反而让链上交易成本成为一道高高的门槛，拒人于链外。 Layer2 由此应运而生，通过将 Layer1 上多样丰富的需求转移到 Layer2，进一步拓展了以太坊的性能，且不失安全性。这让那些曾因为高企的矿工费望而生畏的人，能够重回或来到以太坊生态，自由参与其中，不因资产多少而被区别对待。 Rollup Rollup 是当下最为流行的 Layer2 方案。这类方案通过将以太坊主网（即 Layer1）上交易的计算和存储转移至 Layer2 处理并压缩，再将压缩后的数据上传至以太坊主网以拓展以太坊性能。 Rollup 主要可分为 ZK Rollup 和 Optimistic Rollup 两类。 ZK Rollup  优势：采用零知识证明确保数据有效性，在安全性上更有保障 劣势：与 EVM 兼容性欠佳，同时零知识证明的生成相对耗时 代表项目：zkSync、StarkWare Optimistic Rollup 优势：兼容 EVM，对于 DApp 开发者和用户来说更友好 劣势：采用欺诈性证明确保数据有效性，也因此当用户将资金提取回主网时，需要等待七天挑战期 代表项目：Arbitrum、Optimism    imToken & Layer2 imToken 作为最早期的以太坊钱包之一，长期致力于以太坊生态。而 Layer2 围绕以太坊生态提供解决方案，继承了以太坊的开发者和用户群体，无论是从生态发展角度或是从 imToken 使命视角，着力于 Layer2 都是更为自然和健康的选择。 因此，imToken 早早便参与到了 Layer2 生态之中。 zkSync 1.0 上线不久，imToken 即深度集成了 zkSync，为用户提供 Layer2 生态的第一站体验，即便当时离普及尚早。 而后，imToken 支持了自定义节点功能，让用户能够一键切换 Layer2 网络，并随着 Layer2 项目的测试网 / 主网的上线而持续跟进支持。现在，你可以随时切换 Optimism、Arbitrum 等主流 Layer2 网络。 我们同样也积极加入 Layer2 生态建设，参与 zkSync、Aztec、StarkWare 等优秀项目融资，从钱包角度，为 Layer2 项目发展提供支援。 未来 imToken 对于 Layer2 的支持将不止于此。 我们看到越来越多 Layer2 项目有更多进展，生态发展也日益加速。作为钱包，我们需要进一步深度参与，让每一个有 Layer2 需求的用户不仅能够使用 Layer2 网络，更有流畅、好用的 Layer2 体验。 在各类 Layer2 方案中，Optimistic Rollup 兼容 EVM 的优势使其脱颖而出，在基于以太坊安全性的前提下，成为最具落地可能性的方案。 来源：https://l2beat.com 与此同时，我们也看到，Layer2 虽然有着极大提升用户体验的潜力，但作为一个新概念，它也为用户带来了新的理解成本。为了抹平这一门槛，使 Layer2 真正好用好理解，我们投入长达数月的专注和精力，最新版 imToken 即将与大家见面。 这一版本中，我们不仅将 Layer2 的基础教育渗透在产品体验中，也将从当前最大的 Layer2 生态 Arbitrum 开始，上线全新功能，帮助你如流水一般、顺畅自然地体验 Layer2 世界。敬请期待！ 新版设计稿 同样基于 Optimistic Rollup 的 Optimism 也将是我们的关注点，此外，我们也会对 ZK Rollup 保持关注，尤其是 zkSync，对于其 2.0 测试网 zkEVM，我们有十分的兴趣成为第一批支持者。 从更长远的角度看，我们也期待 StarkEx（由 StarkWare 开发）可以在未来的钱包支付场景中有更广泛的应用。 最后 钱包作为区块链入口级的生态位，积极拥抱有益于生态发展的新技术、为用户提供更好的区块链钱包体验是我们持之以恒的追求。 通过更多更好地支持 Layer2 方案，我们希望真正帮助用户降低门槛。从更现实的角度考虑，当交易所普遍支持 Layer2 后，从交易所到钱包将成为用户从中心化到去中心化的第一步转变。 而当越多人得以进入区块链世界，体验更高速更规模化的 Layer2 生态，涌现更多创新想法也就成为必然，这将加速区块链发展的飞轮，让更多人能够进入这个由技术保障透明、自由、公平的区块链世界。 下载 imToken：https://token.im

各位以太坊质押用户： 以太坊 Shapella 网络升级已于 Epoch 194048 激活，当前以太坊网络已支持验证节点的提款和退出功能。 imToken 将对当前 ETH 非托管质押服务进行功能升级，包括但不限于以下内容： 支持验证节点部分提款功能，可周期性自动获取以太坊网络的共识层质押奖励 支持验证节点全额退出功能，可将质押在以太坊网络共识层的本金和质押奖励全额提取 更新质押服务收费模式，并支持验证节点获取以太坊网络执行层的区块奖励 我们预计在 5 月初发布下个版本，新版本上线后我们会第一时间通知大家，请关注我们的公告并及时更新。 感谢你使用 imToken 集成的 InfStones 非托管方案参与 ETH 质押，我们将持续关注跟踪以太坊社区进展，为用户提供安全稳定的质押服务。 如有任何问题，请通过 App 内「帮助与反馈」联系我们。 imToken 团队2023.04.14 SGT