搜尋此網誌

2022年3月27日星期日

[分析幣系列_5]:從Solana 智能合約被黑客入侵看中心化公司的深層問題

分析幣系列_5:從Solana 智能合約被黑客入侵看中心化公司的深層問題















Solana 又出事,但今次主要問題來自智能合約的漏洞令駭客有機可承,筆者將分析背後主要原因


之前分析過Solana 死機事件發生的原因,去年九月發生死機之後再發生丁三次,多次死機的解釋原因是太多交易流貴造成擠塞或被Ddos, 在一月那一次甚至死機3日,最大問題是死機後失去左一些數據,之後Solana做了一些提升, 不過我想評論Solana 除了技術方面,還有其他問題需要關注。


Solana最近發生丁兩次大型黑客事件,我們分析為何會發生


今年2月,Solana的跨鏈橋Wormhole 被黑客利用保安漏洞盜取等值3億7千5百萬美元的以太幣,成為五大加密貨幣黑客事件𥚃其中款項失竊最多的一宗,2月2日Wormhole 公司在其Twitter貼文公佈關閉wormhole 網絡維修,之後另一個貼文更承認被黑客入侵。


我簡單敘述件事。Wormhole 是Solana 的DAPP, 寫了一個智能合約一邊在以太坊平台上持以太幣作為抵押,然後另一邊在solana 區塊鏈上鑄造wormhole Eth (weth)智能合約兩邊操作就如一條橋,智能合約原本要求一邊必須要持有eth, 才可以在solana 鑄造weth , 然後鑄出的weth便可以在solana 區塊鏈上進行交易,過程中,eth轉wormhole eth 或掉轉weth 轉eth, 中間必須要有guardian signature 做認證,黑客利用wormhole 橋漏洞, 不知怎樣卻可以假冒guardian 簽名或繞過驗證步驟, 在無需持有eth 便鑄造了120000個weth , 黑客利用wormhole橋的漏洞在25分鐘內將12萬個weth兌換90000個eth,  這是wormhole 池擁有的eth, 因此wormhole 損失3億7千5百萬美元嘅eth。這事件引發defi失去抵押品問題,一部份借貸沒有抵押品,wormhole 公司需要自己填補eth。


Wormhole 是solana 的DAPP, 由於智能合約有漏洞導致黑客失事事件,而不是solana 區塊鏈的保安問題,我們必須弄清楚。


另一宗黑客事件在前日發生,Solana 鏈上的穩定幣協議 Cashio 遭黑客進行無限鑄造攻擊,事件係由一個未經核實嘅帳戶,鑄 造20 億枚 CASH代幣,然後轉ust 和usdc, 不法獲利約 5,000 萬美元。事件發生後一小時內,cash代幣價格由1美元下跌99.99%至零。這也是穩定幣智能合約寫得不好的問題,跟solana 區塊鏈保安沒有關係。


但我想指出solana 本身的問題,不是技術方面,而是收取多間知名嘅VC風投基金、創投基金、知名人士的巨額投資,當中包括Andreessen Horowitz、polychain capital, multi coin capital, FTX 創辦人 Sam bankman Fried 頂力支持及查馬斯·帕利哈皮提亞 (Chamath Palihapitiya)的支持及投資,亦獲得拳王泰神做宣傳,因而獲得數以億計的投資金額,由於獲得大金額投資,盡快令投資者賺錢的壓力便很大,因而需要短時間推高幣價令投資者獲利的壓力亦隨之而來。


他們利用獲得的投資金額以銀彈政策派錢給developers 做DAPP, 在區塊鏈未運行成熟而擴大區塊鏈使用量,去年一年內幣價從數美元升至歷史高位250美元,之後投資者紛紛獲利,今年年頭幣價由高位回落六成,同時間,區塊鏈分析反影DAPP 的用戶下降,可能是developer獲得資金後,盡快推出DAPP 之後就沒有其他活動,另一方面,過快推出項目,可能令項目質素參差,智能合約錯漏百出。我認為就是solana 區塊鏈主要存在的問題,這其實在很多收取巨額投資的中心化公司常見的問題。



以太幣錢包MetaMask 創辦人Lubin 向英國《Financial Times》指出,Solana向鏈上驗證者所支付的巨額獎勵金比交易產生實際帶來的收入還要多,認為solana 欠持續性的商業模式。


Solana 經歷多次停機事件之後,現時活躍用戶主要是NFT 、遊戲之類,這發展其實合理,因為停機令developer失去信心,而跨鏈橋黑客事件亦令人對solana 上的去中心化金融出去信心,遊戲卻是另一回事,交易時間快及便宜反而更重要,保安考慮較少。所以我認為solana 未來發展方針可能轉至保安要求轉低的發展例如Metaverse, NFT 之類,這亦是不錯的路向。














2022年3月20日星期日

市民出行增加是代表抗疫疲勞,定還是反影嚴厲抗疫措施的不合理?


近日來,多位傳染病專家指出香港已接近全民免疫,事實上,根據現有數據看,82%的總人口即552萬人已接種兩針疫苗,接種了三針疫苗亦已達245萬人(圖一),再加上已有102萬人(PCR檢測+RAT檢測)已經染疫,內地數據顯示有症狀者和無症狀感染者的比例大概是1:1.3,所以如果已經有102萬有症狀者,估計有132.6萬 (102萬x 1.3 )是無症狀感染者,因此筆者估計香港已感染Covid 的人總數為232.6萬(102萬+132.6萬),佔總人口30%,再加上82%的人口已接種兩劑疫苗,根據專家指出,感染後康復的人的記憶細胞比接種疫苗的還要好,所以估計香港起碼有20%的人口已經是「超級無敵掌門人」,人數達100萬人,三個月內再感染而變重症的機會很低,怎樣叫人仍然要留家抗疫?這些為數達100萬的超級人類會問:「我還要抗什麼疫?」所以,無怪乎特首觀察到市民八達通的出行記錄增加。





其實,看到身邊染疫的朋友,有些打了三針疫苗的朋友,,九成正常健康的人都只是輕微咳嗽,喉嚨痛(有些喉嚨痛較為嚴重),如果頭一天開始吃內地的中成藥(免爭抝還是不提名字),第三天便開始好轉,第五天的RAT檢測已轉陰性,七天已經可以出關,有些去年打了兩針疫苗的市民,由於疫苗效用已過半年,病情比較嚴重,有發燒和嚴重喉嚨痛,要大概到第七日RAT才轉陰性,大部份都是自我隔離一星期,吃必理痛和中成藥、喝檸檬水,便能自行康復,市民不是盲目的。現在的疫情嚴重,死亡率高的原因都是安老院舍沒接種疫苗的老人家。


疫情變化得很快,兩星期前,感染確診Covid 的人數,每天達四至五萬人,即使不用看數據,我們身邊總有認識確診Covid 的親人、朋友、同事,今天,他們都陸續復工,返回工作崗位。現在才說疫情嚴峻,要人繼續留家抗疫?


另外,關閉沙灘的科學理據為何?猛烈的太陽,亦即是強烈的紫外光線,在電視上看到,酒店清潔廁所也是先用UV light照射殺菌消毒,沙灘的陽光照耀也是相同道理吧,飛沫一出,數秒已被殺菌,而且從電視或報紙相片看到,大部份人都帶了口罩,只有小部份人沒帶口罩, 從新聞片段目測,沙灘上的市民都坐的距離亦很遠,有些超過兩米,有些甚至超過200尺距離才見到一個市民,如何認定播疫風險高?







如果說封閉沙灘的原因是避免人羣聚集,商場內聚集的人羣更多,超市內、優品360內搶購物品,排長龍付款,也不見他們有一米距離,檢測排隊人龍的人羣也密集過沙灘,在食肆內除下口罩進食,播疫風險不高嗎?


舉另一個例子,在海中心有一個人坐在艇上,一公里外有另一隻艇,亦是坐了一個人,再有另外一隻艇在300尺以外,艇上有兩個人,海面上有四人聚集?他們都要帶口罩嗎?法例規定任何地方都要帶口罩,但他們距離相差一公里,何來染疫風險?如果他們都打了三針,全部都染過Covid, 帶口罩的道理為何?不帶口罩便犯法?


我意思是如果一公里以外都冇人,你行過來之前,身邊還是沒有人,帶口罩的意義何在?抗疫政策要服眾,首先要合理!




2022年3月19日星期六

俄烏戰爭的反思 戰爭背後的另一戰場

戰爭反思,戰爭背後另一個戰場?


俄烏戰事背後一啲嘅反思:


1)加密貨幣係俄烏戰爭嘅角色


2)戰爭的背後另一個戰場


3)我在這場戰爭的體會


最近「The tragedy of great power politics 」的作者Professor Mearsheimer,芝加哥大學政治學教授,提出一個問題,誰應該負上俄烏戰爭的責任,結論竟然是圍繞美國和俄羅斯之間的問題!卻沒有談及澤連斯基!


香港的傳媒都是西方傳媒的影片和直接翻譯西方的新聞,因此我們的資訊並不全面,大概在2021年10月,俄軍不斷在烏克蘭邊境軍事演習,實彈演習,但從傳媒得到的消息(即西方同烏克蘭傳媒),一直都認為烏克蘭甚至整個歐洲都並不認為普京會向烏克蘭開戦,直至12月,俄羅斯大軍壓境烏克蘭,美國不斷說收到消息俄羅斯將會入侵烏克蘭,不斷在試探俄羅斯,多次狼來了之後,令人更信以為真,俄羅斯只是威嚇,直至二月美國撤走公民外交人員,真的戰爭了,我有種感覺像一直被誤導。


好多人都未必估到普京真的揮軍攻打烏克蘭,在普京奪得親俄的烏東,並承認烏東為獨立國家,我以為局勢這時應該告一段落,但在2月24日,俄羅斯真的攻打烏克蘭了。


今次戰事令更多人開始關注加密貨幣在戰爭中的角色,首先全世界任何一個地方和任何人都可以捐錢給烏克蘭作為軍事援助和幫助有需要的人,全世界任何地方無分國界都可以捐錢,不用理會各國兌換匯率,亦不用在每個地方設立銀行戶口來收捐款。


另一方面,俄羅斯政府會否用加密貨幣繞過歐美經濟制裁。俄羅斯準備開戰之前,俄羅斯中央銀行曾經話批準銀行可以向客戶開戶口處理加密貨幣,前提是要交易實名,我的理解是銀行就像交易所,但我是質疑有沒有俄羅斯人用這途徑買加密貨幣,因為這途徑讓政府追蹤所有交易,通常用加密貨幣的人都不會想政府跟蹤交易,這涉及保留私隱,我認為一般人未必會用,而俄羅斯經濟規模之大,使用加密貨幣來繞過制裁必定會被察覺到,因為量太大,很難不影響市場,所以我認為應該俄政府不會用加密貨幣繞過制裁。


但一般商人,不止俄羅斯人,其實是有方法繞過美元做生意,要做的人總有方法。


我特別想提出,戰事一開始的時候,我們見到烏克蘭平民百姓這時侯才去銀行排隊提走積蓄,但這時侯才去銀行提錢,可以想像,一是不許提,一是限制你提走的金額,這時侯你的錢已不屬於你的錢。所以這個情況(當然不想見到有這一日)但政治好難講,第一時間把你錢包十二組字記入腦袋,踩著單車就離開,不用到銀行排長龍提錢,也不用排長龍等入油。


另一方面,美國歐洲經濟制裁俄羅斯,將俄羅斯剔出swift 系統,制裁有如核彈,但都只是對七間銀行,卻說恐俄羅斯用加密貨幣繞過制裁,所以要加強監管,喂!喂!喂!你們的制裁還有很多未用盡,例如歐洲還在輸入俄羅斯石油和天然氣,也沒有禁止俄羅斯出口大麥!大國恐影響自己利益,所以還是留有一手,卻強行要加密貨幣平台配合他們!


不過,即使實施所有禁運,通脹嚴重,還只是害到平民百姓,油價貴到一個點,我們買不起油,唯有不開車,轉坐交通工具,麵包貴到一個點,只有吃少一點,拜登、普京仍然會是最後受影響的人,到時真的影響他們,他們才會講和,又可能換了Trump上台當總統,他們可能當粉筆字抹走,中間死卻好多人。


今次俄烏戰爭,烏克蘭死好多平民百姓,烏克蘭經濟受到嚴重破壞,土地一片頹垣敗瓦,經濟受到破壞、土地價值便零,另外俄羅斯經濟被受打擊、俄羅斯人民受到擠壓,歐美國家想透過擠壓俄羅斯平民百姓生活來迫令他們推普京落台,不過要等這件事發生,過程和時間肯定好漫長,伊朗、北韓、古巴,制裁亦沒有令政權倒台!


戰爭背後的另一個戰場,最近一些制裁,似乎對歐洲經濟影響更大,美國率先對俄羅斯航空公司實施制裁,禁止俄飛機經過美國上空、加拿大、歐洲亦都跟隨,結果俄羅斯反制,對所有制裁俄羅斯的國家做出相同航空制裁,禁止飛機越過俄羅斯上空。


俄羅斯國土橫跨歐亞大陸,歐洲和東亞航線之間最短路線,都要飛越西伯利亞上空,因此禁飛措施迫使原本在歐亞之間的主要航線繞道,意味飛機需要花費更多時間和燃油成本增加,內媒《每日經濟新聞》統計,由東京直飛巴黎的航班,飛行時間從原來的12小時27分鐘,增至16小時7分鐘,較原本航道多三個多小時,源油成本多20萬港元。


又例如首爾飛往巴黎需12小時9分鐘,繞道要14小時22分鐘,增加了2小時13分鐘,耗油量為18.18噸,油費支出增加約13.5萬港元。


另外,美國上星期突然提出即時禁止輸入俄羅斯石油同天然氣,英國即時跟隨,同時呼籲歐洲跟隨,但美國是世界石油出口排第二,俄羅斯僅跟美國,石油出口量為全球排第三,每日出口石油500萬桶,超過一半運往歐洲,禁運即時令源油價格飆升,布蘭特油價每桶曾升至130美元,打仗導致所有供應鏈受阻、繞道,都令糧食物價格飆升,看來歐洲受源油、糧食、供應鏈通脹影響最大,EU還未走出疫情帶來的經濟衰退,未可以減少買債和加息, 但已經遇上嚴重通脹,讓我覺得美國的真正目標可能是打擊歐洲和歐羅?


我們番一些舊帳,之前法國總統馬克龍倡議建立歐洲人自己的軍隊稱為歐洲軍,已經惹起美國不滿,2021年9月,美國一方面藉口話要圍堵中國,美英澳結盟,但締約後的第一件重大宣佈卻是澳洲將從美英購買8艘「核動力攻擊潛艇」,並同步取消與法國海軍集團購買的12艘柴電潛艇,合約價值約500億歐元,事件引發史無前例法國徹走駐美大使,美法外交交惡。我認為這是藉口圍堵中國,卻實質懲罰法國,令法國受損,另外,歐洲過份依賴俄羅斯石油同天然氣亦可能是令美國想教訓歐洲的其中因素。


無論如何、今次的戰爭結果,即是俄烏達成協議,烏克蘭一定是最傷,但歐洲不遑多讓,烏克蘭數百萬難民逃到歐洲,之前敘利亞難民,歐洲國家的財政負擔相信好大,經濟差,通脹升溫,供應鏈受阻引發通脹、亦不會在短時間內可以解決,滯脹機會好大,對歐羅的打擊不少,我認為這才是重點!


我們在今次事件亦看到,兩個國家打仗,烏克蘭人民流離失所,貨幣貶值,土地價值變零。另一邊,俄羅斯廂,人民受災, 首先盧布貶值,股市停市,買了股票的投資者血本無歸,經濟制裁,多間外國公司撤走,人民失業,而俄羅斯反制裁,充公外國公司資產,美國烏克蘭政府要求加密貨幣交易所充公俄羅斯用戶的加密貨幣,呢啲都係中心化嘅交易所,雖然交易所拒絕了,但我們看到政府可以要求交易所為他們做事,如果政府加大厭力,交易所便必須要服從政府,另外,所有中心化的公司、政府、都可以一念之差,失驚無神割散戶韭菜,全球股市在今次戰爭跌了至少10%至20%,如果戰爭持續,傷害何止股市,其實我們每個人都在付出代價。



https://youtu.be/BQkZJ_o6eUU



2022年3月6日星期日

全民檢測十一問




我想趁機呼籲大家打疫苗,從全世界的數據看,打三針疫苗是有助減少重症,而我自己朋友亦證實三針疫苗是可以減低omicron 病徵情度,我自己打的是復必泰,但從近日政府發放長者因染疫而死亡的數據看到,打了兩針的死亡率大大降低,我相信大部份接種了疫苗的長者都是打科興,因為它的技術比較傳統,而此間接反映科興的保護力其實是不錯的。


前日在新聞上看到立法會議員梁美芬在質詢食衛局官員抗疫工作緩慢,無法按照國家要求盡所有力量壓止疫情時,她大大聲説:「我們即將要用國安法來對待你們,不要以為不會發生….」我在想,阿爺聽到會不會暈一暈?國安法不是隨便用來威嚇辦事缓慢的官員,起碼我的理解不是這樣用吧!網上經常看到一些影片,一些業主與租客出現紛爭的時候,業主恐嚇租客,如果不交租便以國安法侍侯!


鬧人容易,挑剔人容易,可否多做實際的事情,我們看到的是,現在問題不是官員不作為,而是甚麼都欠,欠缺資源、欠缺人手,現在情況是將多過兵,不要只懂批評,多想想,我是一個只想如何解決問題的人,所以,以下是我的提問,希望記者們可以幫忙問問官員!


問題(1):

如果全民檢測,給你找出十幾二十萬隱形病患者,你如何有足夠地方隔離他們?(我相信如果政府可以短時間內建成二十萬隔離病房,相信香港不再有房屋問題!好事來的!🥳)


問題(2):

即使現在竹篙灣檢疫中心只是三千幾個隔離房,已經暴露人手管理不足的問題,幾萬人入住了現在建的方艙醫院,有沒有足夠人手做清潔、洗廁所、派飯、跟進PCR檢測結果,保證精準放人離開?


問題(3):

如果全面禁足,相信一定很多獨居老人、行動不便的人將受最大影響,如何找出他們和幫助他們?


問題(4):

這是有關檢測時如何保證不受感染!我曾路過檢測中心,看見一些人被檢測的人被了完鼻,未幹及帶回口罩已經打乞嗤,如果這個人是Covid 感染者,在附近排隊的人真的凍過水!如何保證不在檢測時或等待檢測不受感染?


問題5:

首先我要說一單新聞:早兩日,有一個律師傻傻的,自己中了新冠後,非常有心地親身走去法院通知法官説:「我感染了Covid 」,法庭內的人都擔心受感染,法官亦譴責律師不顧其他人健康安全!我想指出,任何sensible 的人都會擔心自己會有機會跟感染者同室,起碼我們都盡量避免,不知者另論,否則我們都想避免,但全民檢測,是法例規定要檢測,否則罰款一萬元,如果在檢測時受感染,會否賠償一萬元?其實,連去到法庭帶了口罩説句「我感染了」,你們都怕得要命,為何市民不可以怕?


問題6:

以現時接種疫苗的中心都看到,無論如何人們都會同一些人共處同一空間,現在每日都有幾萬人在pcr 檢測下確診,衛生署醫生Albert Au昨天亦指出,還有很多經快速測試包確診者未被計入,因為通報網頁未造好,如果將快速測試的確診者計入,應該每日有十幾萬人確診,如是者,我們未被感染的人,出來跟一班人共處同一空間,中招的機會不小,如何避免未中的人會遇上中了的人?每日有一百萬人出街做檢測,檢測會否等同將未中的人跟中了Covid 的隱形患者來一次大兜亂?


問題7:

預期全民檢測是網上預約,我自己在接種疫苗的經驗,我在網上預約,會選擇哪一區不太多人排隊或聚集,即使跨區也在所不惜,例如我知深水埗區已經full咗,又認為深水埗可能很多人中了,而估計淺水灣會比較少人中招,這樣想都是正常吧,因為該區居住環境沒那麼密集,中的人的機會率都較低吧,這會不會做成跨區感染?


問題8:


其實現在八成半的市民已經打了針,很多人都有疫苗保護,所以很多人可能是感染了但病情輕微,甚至不自知,但這是打疫苗本身最佳結果,為何這樣也要被送去方艙醫院?如果對待沒分別,為何要打疫苗?


問題9:


其實我最擔心的是老人家、癌症病人、幼童、和有其他病患的兒童等等免疫力低的人,打了針與否,出來大檢測,感染風險還是很高的,感染了之後,命危的風險也存在,他們不出街,風險大減,有沒有考慮他們的風險?如何處理?


問題10:

現在問題不是檢測,而是沒有停市,人流沒有減少,沒有病徵或病徵輕微的人可能在正常返工,地盤不是必要吧?去商場買名牌不是必要吧?為何沒有停工?


問題11:

其實,隱形患者完全沒病徵,或輕症患者,如果禁足一星期,他們不出街行來行去,理論上應該會自己痊愈,冇需挖他們出來把他們送去醫院(我意思是方艙醫院),有沒有考慮這方面?




以上是我暫時想到的,你們還有什麼問題,請在下面留言,希望記者們看到及代我們問!