关于 Solv Protocol
Solv protocol 是一个全链收益和流动性分配层，致力于为主流资产提供一站式收益入口并打造高效的流动性分配层。受益于去中心化资管框架， Solv 可以通证化各网络质押收益，再质押收益、交易策略收益等，而以 SolvBTC 为代表的核心资产将通过参与不同生态建设分配流动性。通过将闲置的基础资产转化成生息资产和促进跨协议、跨生态的乐高组合，Solv 将刺激整个网络的流动性活力，打造高效的流动性分配层。

截至 6 月 12 日，Solv 平台总 TVL 已经超过 12 亿美金，成为全网络 Top30 的 DeFi 协议。比特币TVL 已超越 Arbitrum、Polygon 等公链。
Solv Protocol 是全链收益和流动性分配层。SolvBTC 作为流动性收益 token，拥有丰富的收益来源，包括 交易策略收益、质押收益和再质押收益。BTCFi 统一流动性门户：SolvBTC已集成多个网络，包括 Linea、ZkLink Nova、Core 链等，将比特币流动性高效输送到这些网络，助力生态发展。已有 20+ 公链和 DeFi 协议接受 SolvBTC，包括 Ethena Labs、Core 链、linea 链等，SolvBTC 已经成为 BTCFi 生态共识度最强的资产之一。Solv 与币安 Web3 钱包发起联合空投活动，150,000 SOLV Token 奖励。Solv Protocol 的投资人包括 Binance Labs、Blockchain Capital、野村证券等知名机构。
链接
官网：https://solv.finance/官推：https://x.com/SolvProtocol/Medium：https://solvprotocol.medium.com/官方文档：https://docs.solv.finance/solv-documentation
Solv Protocol x 币安 Web3 钱包空投介绍
奖励池：参与者有机会瓜分 15 万枚 SOLV 代币，占 Solv 治理代币总供应量的 0.15%。活动时间：2024 年 6 月 4 日 06:00 (UTC) 至 6 月 17 日 23:59 (UTC)

参与步骤
创建币安 Web3 钱包，按步骤操作，最后务必记得备份。先注册币安账号：https://www.suitechsui.io/cn/join?ref=HYERS7S4在币安 Web3 钱包中存入 BTCB 和 BNB：Web3 钱包中至少有 0.0001 BTCB(BNB Smart Chain)，另外还要有一点 BNB 做 gas。都可以从交易所划转过去。记得选对网络（BNB Smart Chain）。在钱包首页参与活动，点「发现」—「空投」，点 Solv 那块的立即参与。点进去，然后点「参与活动」，再点「开始做任务」

点「立即质押」
点「Connect Wallet」
存入 BNB 链的 BTCB，点 「Approve」
批准权限最后按 Deposit就完成了存款点 Portfolio 可以看到自己的仓位
完成之后，回去点「验证任务状态」出现「任务已完成」就完成了交互。

Solv 路线图
Q1 2024：在 Arbitrum、BNB Chain、Merlin Chain 等网络发布 SolvBTC；Q2 2024：Solv Point System 正式启动，SolvBTC 集成各生态头部 DeFi，并推出乐高玩法；Q3 2024：SolvBTC 将扩展到更多网络，包括 stacks，zklink 等，TGE；Q4 2024：多网络发布 SolvETH、SolvUSD，引入 Solv Studio。

参考资料：
https://www.binance.com/en/support/faq/what-is-binance-web3-wallet-and-how-does-it-work-048ee79532494c03918dc4004214ad11?hl=en 币安 Web3 钱包https://www.binance.com/en/support/faq/why-do-i-need-to-backup-my-binance-web3-wallet-and-how-to-do-it-4efebcb9a937417ca31baa2f7754c50f ：备份币安 Web3 钱包

目录

写在前面事实的真相是什么被盗原因分析一些 KOL 分析的分析我们该怎么做我们该吸取什么教训写在最后
写在前面

本篇文章不为任何交易所站台，纯粹是我个人观察，然后结合这些教训，提出一些可能可以保护自己的建议。
我也做了一些分析，虽然这些分析也有可能是错的。但是希望提供一个不同的视角，除了 fud，我们可以做些什么。
事实的真相是什么
最近两大主流交易所都不太平，特别是 OKX，几起大额财产被盗。推特上也出现了几篇令人潸然泪下的小作文，让人对交易所的安全性产生了极大的怀疑，动手能力强的朋友，甚至连夜把资产转走。
但是这是真相吗？你看到的就是真相吗？
很久之前我就发现如下现象：
所有的事情责任都在别人，如果我有责任，那肯定是你没做好。本来你可以做的更好的，因为你没有做好，所以我受害都怪你。
还有一个问题，他们说了真相，但是只说了部分真相，有些真相有意无意的忽略了。比如有人中招了，但是没提自己助记词是保存在微信收藏。有人点了钓鱼链接了，只说自己点了链接钱包，但是没说他还授权了。有人说自己手机短信和邮箱被盗了，但是他有没有设置谷歌二次验证，是不是有可能是熟人作案，都没有提。
我们来分析一下，按照发生的事情，钱包被盗了。有几种可能。
第一，受害者自己被钓鱼了
第二，钱包安全有问题

第三，以上二者的累加。
我把最近几个小作文拿来拜读了一下，发现有一个典型的问题。就是自身安全意识严重欠缺，然后出事了，把责任一股脑推给钱包。

比如，拿 OKX Web3 钱包点了钓鱼网站去授权，然后资金被盗了，事后怪钱包团队有问题。我想起有个网友举的例子：你喝酒开车出了车祸，然后怪车厂没做好酒精检测。或者要车厂第一时间给你开个证明，与车厂无关。怎么看都觉得有点幽默。话说，不是不愿做，实在臣妾做不到啊。

另外一个看到的评论也很幽默：「这行为就像老太太在街上摔倒了，必须要找个人出来讹一下，找得到就找，找不到硬就找生产水泥的」。
而且从评论区的描述看，也不是点开链接钱包这么简单，受害者做了交易的签名，自己亲手交出了对钱包的控制权，而这个事实，在长文中并没有说明。

试问
如果你对钓鱼链接没有警惕。如果你没有一些安全的插件去做一个初级防卫如果你交易所、邮箱、推特等连谷歌认证都没有做
那你被盗不是迟早的事情吗？除了换得别人的一丝丝同情，还能收获什么？如果你不能为自己负责，又怎么指望别人为你负责？
结论：这件事结果让人同情，过程不值得同情。即使这次不出事，以后也肯定会出事。
第二件，说实话这个攻击我也看不明白。大概就是 OKX 中心化钱包里的钱被通过邮箱和短信的方式全部转走。从截图看，感觉是邮箱被盗，然后谷歌二次验证也泄露了。
第三件：只说了资产被盗，SMS 应该也被盗了，整个过程不是很清楚，唯一让我印象深刻的是用了华为手机。
被盗原因分析
第一个，点了链接，然后被盗了。具体原理我也不是很懂，有个网友解释如下：

在 Solana 中，账户的权限和所有权可以通过合约代码动态更改，这是与以太坊不同的一个重要特性。也就是说，你如果点了钓鱼网站的一个链接并签名了，由于不是授权操作，钱包不会有任何提示，但是代码能动态修改钱包权限，这就是为什么失去了控制权。
所以使用 Solana 的钱包需要更小心，因为以上的操作在以太智能合约层面是无法实现的。所有的 Solana 钱包都防不住这种，这是 Solana 链的帐号权限的一个机制，除非 Solana 进行修改。
钱包权限被改，是受害者交互了并支付了 gas。所有链上操作，钱包都会弹出一个窗让你签名，上面会有消耗的gas是多少的，只有有 gas 付费的操作才是链上操作。也只有链上操作才能更改钱包权限。如果只是登录钱包，而不需要付费的，不算链上操作，这种操作是无法修改钱包权限的。
第二个，我能想到的是所有自己的设备都绑定谷歌二次认证，但是如果 Google 账号被盗 ，那么你的二次验证也被盗了。胡侃大佬提供的办法是用 yubikey。 凡是新设备在登陆时必须要通过物理 yubikey 验证。

第三个，手机只收到短信，然后钱被盗了，由于信息太少，没法分析。

第二个和第三个共同特征是用户 SMS 被盗。第二个是谷歌二次验证也被盗了。

根据官方的分析：
黑客盗取 GA 的方法有两个：在用户设备上植入木马如果用户开启了 GA 云同步，则盗取用户谷歌账户之后，也可以获得用户 GA。盗取用户 SMS 的方法比较多，有木马植入、SIM 卡复制、伪基站、发送服务商等。
看起来是 SMS 被盗了，不过调查结果没出来之前，一切以官方为准。
一些 KOL 分析的分析
第一个：「发现有个漏洞，就是可以通过邮件和手机验证码就可以提币，即使你开启了谷歌验证，也可以只通过这两个直接提，除非你把手机号禁用掉。众所周知，权限高的管理员可以轻松从数据库获取手机和邮箱验证码。。。要是有内鬼，不敢想象。。。」
分析：这其实是一个 feature。比如三个验证你都开了，但是提币的时候只需要其中 2 个。那你开启谷歌验证，但是选择了手机和邮箱验证码，当然不需要使用谷歌验证码。想一想国内有多少人提币是通过手机短信、邮箱验证码来做的。然后那人说把手机禁掉，其他操作都需要使用谷歌验证，这不 tm 废话吗，总共三个校验，需要使用其中两个（谷歌二次认证、手机短信、邮箱短信），你把其中手机短信禁掉了，当然必须使用谷歌二次认证。
还说什么千防万防，家贼难防。权限高的管理员可以轻松从数据库获取手机和邮箱验证码。动一动脑子吧，如果有这么高权限的人，操作数据库的时候会没有记录？我虽然不知道怎么操作，我肯定也会设置一些东西来记录他们的操作，何况是成熟的交易所。

大橙子还言之凿凿问 做了OKX安全测试的。你们把 feature 当做 bug，这不是来搞笑的吗。

还有很多人受害之后，总会有一些奇怪的想法，比如有人助记词保存在微信收藏，觉得肯定是微信内部的人看到了自己的助记词然后盗走的，有人被盗走了某个币，只损失了那个币，觉得是项目方的内鬼干的。
第二个：「尽管用户绑定了 GA，但校验时允许切换到低安全等级的校验方式，导致 GA 校验被绕过
用户绑定 GA（Google Authenticator），就是考虑到 GA 的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时，比如添加白名单地址、提币、各类验证项设置变更等，可以直接切换为低安全等级的校验方式，比如短信。」

分析：用户绑定了 GA，如上面所示，他绑定了但是没有使用，再安全也没用。有一个网友的解释，我觉得很对：「这个降级验证说法存疑，谷歌验证切换为短信验证是否为降级得看情况，如果手机号码和谷歌验证没有分离，手机被控，那么这两个就是同等安全和风险，甚至大部分人的手机和谷歌验证就是一个手机没做分离」

第三个：「用户敏感操作发生时，比如：关闭手机校验、关闭 GA 校验，修改登录密码，均不会触发 24 小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式，在新设备上登录才会触发。」

分析：我的理解是，正常用户是对自己的手机拥有自主权的。上面那个没有触发风控的前提都是在你之前的设备，如果这些操作还能做，说明这手机你还是有自主权的。否则，你从用户使用角度来看，你改了一下密码，你 24 小时不能提币，貌似也说不通。
修改了登录密码，并在新设备上去登录，这个做法本来就是很存疑的。
第四个：「白名单地址提币，没有根据提币额度来做动态的验证，一旦这个地址加入白名单，就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额，超过限额会要求再次做校验。」
分析：我确认了，交易所可以设置提现额度。
比如 Binance 24 小时额度是 10000 刀。Bitget 的白名单是对应一个币种的白名单。但是基本上是没有额度限制的，除非用户设置了免密提币才有额度。OKX 白名单：刷脸提币有单日限额，白名单没有。免认证地址是为了API用户自动化提币需求设计的，设置限额是不符合实际需求的，而且添加免验证地址的安全验证和提币是一个级别的。派网：大额提现都是有人工审核的。

第五个：OKX 莫名多了一个提款白名单，有一部分人是自己之前设置的忘记了，有些如果不确认，可以复制一下去链上（https://tronscan.org/ ）查查，到底是什么地址。如果想删除，就直接左滑删掉即可。
我们该怎么做
当你遇到这种事情的时候，第一时间要做的是，不是把这种言论四处转发，而是检查自己是不是安全的，如果你不知道怎么检查，那就先把钱转到一个你认为安全的地方，然后再去检查你自己是不是安全的。所谓君子不立危墙之下，是你知道什么是危墙，而不是从一个危墙跑到另外一个危墙。
我之前写的如何快速开始撸毛大业，特意花了很长的篇幅让大家注意安全问题，最讽刺的是，有人读完我的这篇文章之后，还是中招了。
https://wangxiaolou.gitbook.io/wang_xiaolou/jiao-hu-gong-lve/ri-gong-yi-zu-xiao-bai-ru-he-kuai-su-kai-shi-lu-mao-da-ye

有些弯路，我们能避开就避开，哪怕自己走过，也还好，但是有些教训。能不自己去试一下，就别自己去试一下，成本实在太高。
那么从这些人我们可以吸取什么教训，我们还能做什么？
助记词手抄，助记词手抄，助记词手抄。今天还看到一个老韭菜钱包被转走了，因为助记词放在微信收藏，觉得一直以来没事，以为就是安全的。不要使用百度搜索，不要使用百度搜索，不要使用百度搜索。不要使用华为手机，不要使用华为手机，不要使用华为手机（我说的是不要使用华为手机参与币圈的交易，其他生活手机你可以随便）给你的交易所、邮箱、推特等都加上谷歌认证。不要嫌麻烦。这世上还有比丢了几百万，然后写小作文，四处求爷爷告奶奶还麻烦的事情吗？既然如此，又何必怕那一时的麻烦，再说了，根本没这么麻烦，等你做好各种安全设置，你觉得是安心的，那一点点麻烦又何足挂齿呢。学会交叉验证，不要相信你看到的话（哪怕是任何人），每一个网站都要交叉验证，交叉验证就是多个渠道去对比，比如其他推特、微信群等等。不要和 TG、DC 等陌生人聊天，更不要点他们给的链接。和你聊天并给你提供网址、软件，或者要你提供私钥、助记词的，都是骗子，直接拉黑。不要在推特评论下面点链接，哪怕是官推下面的链接。最近马上有几个大空投，可以想象的出，官推下面会有无数钓鱼链接，不要好奇心泛滥。Solana 钱包里会出现一堆莫名其妙的 NFT，无视它，是金子总会发光，是鱼饵你不碰就不会有事。谷歌验证码是本地管理，如果邮箱被盗了，则谷歌验证码也会被盗。记得把 Google 身份验证器取消云同步。谷歌验证器首页，不要登录谷歌账号，如果登录，右上角云朵标志如果是蓝色就是已经打开同步，灰色就是关闭中，已经打开的，点击个人中心，关掉。学会使用 1Password。所有交易所全部开启 谷歌验证。如果你是苹果手机，开启刷脸验证。上面每一个不要做和要做，背后都是无数人被盗币的惨痛经验，这种事情千万不要发生，一旦发生，你找谁也没用。记住。是找谁也没用。（找余弦也没用）
很多人听说 OKX 出事了，赶紧把钱转走，但是如果上面这些底层问题没有解决，你转哪里都没有用，说不定一慌乱，复制的地址还复制错了。
其他建议
准备苹果全家桶（Mac + iPhone）：无数个例子证明，钓鱼大部分发生在 Windows 电脑，而 Android 手机总会让你有些软件安装不上，特别是遥遥领先。Chrome 浏览器，首推。其他 Opera、Edge 也行，但是建议使用 Chrome 浏览器多读读余弦的帖子，虽然有些我也看不懂，但是最起码知道有这么些攻击的方式。OKX 手机上的安全设置入口：首页-左上九个点—自己昵称下面（个人资料和设置）—安全设置—安全中心

我们该吸取什么教训

不要 fud，要 build。很多人看热闹不嫌事大，四处转发。我就问问，你知道到底是怎么被盗的吗，了解这个原理吗，如果是你，知道如何提高自己的安全等级吗。不过，有些人是为了流量，他们的确也不在意是怎么被盗的，只在意这玩意能不能有流量。比如你读到这句「今日我若冷眼旁观，他日祸临己身，将无人为我摇旗呐喊」。。你喊的确实很感人，你知道发生什么了吗
不要相信任何一方一面之词。以我这几年在微信、推特观察到的现象，大部分事实的真相都要经历三次以上反转才是真相。而且有很多文章，写的无比煽情，但是会有意无意去忽略一些重要的事实。比如最近有个人也是在 OKX 交互之后被盗了，在详细了描述自己出事的细节之后，群友纷纷出谋划策，我甚至还联系了 OKX 两个人，让他们帮忙查查。但这个朋友最后说了自己的助记词是放在微信收藏。我心中真是万马奔腾，这你不被盗，只能说明黑客水平太次。还有一些不知道怎么反驳的理论，比如，我用了你们的产品，我出事了，就是要你们负责。朋友们，你的钱包的主人是你，只有你自己才要 100% 为自己负责，没有任何一个其他人、机构、交易所会为你负责。Don’t trust, Verify。这几个单词，每一个背后都是价值 xx 万的教训。很多人事前很少或者从不去阅读余弦或者其他做安全的的东西，出事了开始四处求爷爷告奶奶，找各种安全大佬来帮忙，这样做和蔡桓公有啥区别？

一些幽默的回复
在写作过程中，我查看了原贴和回复，还发现了很多幽默的回复，摘下来给大家一起欣赏欣赏。
既然做了交易所，就有有义务维护用户的资产安全，既然做不到还要中心化交易所干嘛！币安、OKX 这些交易所应该有一套成熟安全策略的打法，在接到用户报告被盗之后立刻行动，尽量挽回损失，而不是瞎耽误时间等黑客把钱都转走了无法挽回损失了才发个公告说是用户自己被黑了跟交易所没关系。
写在最后
我已经做好了引起争议的准备，所以我不会在评论区做解释，所有不友好评论，都会第一时间拉黑。没必要对不同频的事情解释，更别说有些傻逼，你也解释不清楚，所谓夏虫不可语冰，所以该拉黑拉黑，一直拉黑一直爽。
最近是 OKX 出事了，但是按照 xx 定律：如果有问题，那就不会是一个地方有问题。和黑客的战斗从来都不是一次性的。如果你觉得有问题，尽量做到分散。我自己钱包也有，链上也有，但是都是很分散，首先自己万分小心，其次，即使某一个中招了，青山还在。有时候觉得余弦挺惨的，事前没见几个人找他，事后找他的时候，钱也被盗的差不多了，想开价都不好意思。目前我在用的 Binance、OKX、Bitget、派网，虽然现在其他几家还没爆出问题，但是你们做好应对了吗？没有任何一个地方是安全的，交易所是人开发的，是人都会犯错，学会自己保护自己的资产。最后多问问自己：你真的对自己的账户做好了安全保护吗？你保护的是谁的资产？

大家完成 KYC 之后，下一步就要正式进入使用 APP 的阶段，比较重要的两个功能就是存款取款。

存款是指从其他地方向币安转数字货币，对应 APP 里面叫充值

取款是指从币安向其他地方提取数字货币，对应 APP 里面

充值注意事项

充值，选好充值的数字货币，比如 ETH选择网络，这里要注意选择和你转入的数字货币匹配的链，也就是你的数字货币在哪条链，这里选择网络就选哪个链。
再次检查网络和充值地址，如果充的时候可以扫描二维码，就扫描这个二维码；如果不能充值时候一定要注意检查充值地址是否正确。

提现注意事项

常用地址，可以加入白名单。或者扫描二维码方式提现，复制地址一定要检查地址是否正确
转账网络，选择你要充值到哪个网络，不同网络费用不一样，如果转错了，还要重新跨链。提现数量，输入你要提的数量，因为需要扣除一定的费用做手续费，可以适当多输入一点。

本期讲的是如何 KYC

打开 https://www.suitechsui.io/zh-CN/join?ref=HYERS7S4，输入邮箱或者手机号。
输入验证码
创建密码

绑定邀请码

至此注册完成，点「账户—身份认证」，点「立即认证」
进入认证阶段，如果没有把握，可以先看下「如何完成身份认证」的视频我用复杂的帕劳来做一个演示。
输入完地址，然后开始上传你的护照
证件完成之后，然后还有一个手机识别真人的过程，用手机上的相机扫描二维码，完成真人认证即可。然后等待认证完成。

如何币安 KYC

想象一下，你有一个特殊的存钱罐，这个存钱罐不是放在你的床底下，而是存在于互联网上。这个存钱罐里的钱，我们称之为比特币或加密货币。

加密货币是一种数字货币，它不是由任何政府或金融机构发行的，而是通过一种叫做区块链的技术来创建和管理的。区块链就像是一个巨大的、公开的账本，记录了所有的交易信息，任何人都可以查看，但是没有人能够轻易地更改它。

比特币是加密货币的一种，也是最早的加密货币。它由一个化名为中本聪的人或团体在 2009 年发明。比特币的总量是有限的，这意味着它不像传统货币那样可以无限印刷，这也是比特币价值的一部分来源。
加密货币的特点
去中心化：加密货币没有中央控制机构，这意味着没有人能够控制或操纵它。安全性：加密货币使用复杂的密码学技术来保护交易和用户信息。匿名性：虽然交易记录是公开的，但用户的身份可以保持匿名，或者至少是难以追踪的。全球性：加密货币可以在全球范围内使用，不受任何国家或地区的限制。交易速度：与传统银行系统相比，加密货币的交易速度通常更快。

如何使用加密货币？

使用加密货币就像使用其他类型的货币一样简单。你可以通过以下步骤：
创建钱包：首先，你需要一个数字钱包来存储你的加密货币。这个钱包可以是软件形式的，也可以是硬件形式的。购买加密货币：你可以通过交易所购买加密货币，或者直接从拥有加密货币的人那里购买。发送和接收：你可以通过钱包发送和接收加密货币，就像发送电子邮件一样简单。交易：你可以使用加密货币购买商品和服务，或者与其他加密货币进行交易。
结论
比特币和加密货币是一个相对较新的领域，它们提供了一种与传统货币不同的价值存储和交易方式。虽然它们可能看起来复杂，但一旦你了解了基本概念，使用它们就像使用任何其他类型的货币一样简单。随着技术的发展和普及，加密货币可能会在未来的金融世界中扮演越来越重要的角色。

目录
介绍链接玩法联系作者
介绍
Bitlayer 是第一个基于 BitVM 的比特币Layer2，它将彻底改变比特币的使用方式和用户入驻方式。凭借最高级别的安全性和图灵完备性，Bitlayer 将在可扩展性、互操作性和EVM兼容性方面成为比特币 L2 的领导者。
Macaron 是建立在 Bitlayer 基础上的 DEX，为用户提供最完美的交易体验和最具竞争力的收益计划。
Macaron 不仅仅是一个DEX，更是一个为用户提供收益生成工具的集合，包括LP、质押、以股换币以及特别的社区驱动的点数和空投计划，让用户赢取丰厚的收益。

链接
官推：https://x.com/macarondex官网：https://www.macaron.xyz/#/邀请链接：https://www.macaron.xyz/#/airdrop?code=b0216

准备工作
暂时先不要做，知道在哪里跨链就好。

https://www.bitlayer.org/bridge/最低跨 0.0005 BTC
玩法
打开 https://www.macaron.xyz/#/airdrop?code=b0216先链接钱包，并切换到 Bitlayer，验证钱包。验证推特，验证推特之后输入邀请码
依次完成右边的社交任务，总归有 12 个。
目前 Defi 那块还没放开，先把上面的 Social 任务完成，拿到积分。

联系作者
Twitter：https://twitter.com/wang_xiaolou