Archives 6 月 2024

时至今日，相信这是每一位u商都关心的话题，曾经的热闹非凡的XX树下的协议、XX客栈、X点钟无眠社群，如今已经门前冷落鞍马稀，更有多位大佬“涉非”。

6月12日，上海市人民检察院发布了《2023年度上海金融检察白皮书》，其中谈到外汇类和非法支付结算类犯罪手法翻新，利用“虚拟币”跨境转移资产风险隐患凸显。一些犯罪组织开始采取境内与境外勾联串通犯罪的方式，逃避刑事打击和侦查。利用监管规则或者行业监管“缝隙”实施违法犯罪、对金融手段和非金融手段的混合使用等，并试图逐渐形成自循环的犯罪闭环。

这份白皮书还专门针对虚拟数字货币法律供给和强化监管做了分析：我国对“虚拟币”一直保持强监管态势，但在实践中，还存在刑事司法对相关犯罪活动定位难、存证取证难与涉案资金流向监测难等现实问题，针对涉案“虚拟币”的强制措施、审计评估、价值认定、处置执行等存在争议。但是，希望U商千万不要被其中“定位难”、“取证存证难”、“存在争议”的描述所误导，难归难，争议归争议，但是可没少打，上海司法机关对于虚拟币的认识和打击一直走在全国前面的。

据公开报道，去年8月，上海最大的一家移民公司外联公司被查，实际控制人何某被采取强制措施，这位在2014年被美国艾森豪威尔基金会授予“国际领袖奖”表彰并因此登上了纽约时代广场的大屏幕的成功女性的落网，涉及的罪名是非法经营，其实指的就是非法换汇。做移民公司没有门槛，能力高低在于，如何帮助客户把钱搞出去。时至今日，用虚拟币换汇早已是人尽皆知的“秘密”，外联公司的做法也并没有什么高明之处，因此何某被抓，势必会牵扯出很多的U商。

犯罪方法在迭代，司法机关的办案能力和方法也在迭代。外联公司被抓，关联地下钱庄被抓，司法机关在办案过程中，也一定会对如何打击涉币案件有更新的认识。一旦司法机关搞明白了这个行业是怎么玩的，这个玩法就已经玩不下去了，更何况技术含量不高，涉及的面比较广，还触动了金融安全的底线，势必会迎来一波专项打击，这也就是为什么最近虚拟币涉非案件越来越多的原因。上海检察院发布的白皮书中关于换汇的问题，指的就是这起案件。

全国都在打，并不是只有上海。今年4月，北京警方破获了一起超20亿的洗钱案，这起案件是在侦破一起侵犯公民个人信息案件过程中发现的线索，海淀警方抓获的三个人当中，有两个人是我们团队在代理。虽然新闻标题用的都是“洗钱”的字眼，但刑拘和批准逮捕的罪名都是非法经营，涉及的还是非法换汇的问题。重庆一起涉币案件，一开始调查其他犯罪行为，后发现了非法换汇的问题，并将换汇作为重点调查。浙江也有一起较大的非法经营案正在侦查中……这还仅仅是我代理或者了解到的非法换汇涉非案件，实际肯定会更多。

非法经营案素来被诟病称为口袋罪，同时由于违法所得罚没、并处一到五倍罚金等法律属性，又是个别地区逐利执法的惯用罪名，但今天所探讨的案件，全部都是涉及到非法换汇的案件，“正儿八经的够案子”。这些案件都有一个共同的特点，查来查去，最后查到了U商的头上，以往涉及U商的问题，大多数都是以帮信、掩隐等定罪处罚，就不再往下查了，但从近期的案件来看，如果侦查机关发现U商碰了外汇，会对非法换汇的行为重点调查，最终查处整个换汇链条。

提到虚拟币换汇涉非，绕不开赵东案件。剖析个案，能够有效探索虚拟币涉非的边界。通报显示：2019年2月至2020年4月，赵某组织赵某鹏、周某凯等人，在阿联酋和国内提供外币迪拉姆与人民币的兑换及支付服务。该团伙在阿联酋迪拜收进迪拉姆现金，同时将相应人民币转入对方指定的国内人民币账户，后用迪拉姆在当地购入“泰达币”（USDT，与美元锚定的稳定币），再将购入的泰达币通过国内的团伙即时非法出售，重新取得人民币，从而形成国内外资金的循环融通。

关于赵东的案件，我通过对通报的内容和网友披露的一些材料，写了一篇吃瓜文，有兴趣的朋友可以看看，文章发出后，很多熟悉内情的朋友都来向我表示“猜的真准”。根据通报内容我们可以看到，如果涉及人民币——虚拟币——外币的全链条服务，实质上利用泰达币为媒介实现了外币和人民币之间的货币价值转换，属于非法买卖外汇，构成非法经营罪。

有的朋友可能会问，我并不是全链条法律服务，只是做虚拟币承兑业务，有没有涉非风险？我的答案是：有。《2023年度上海金融检察白皮书》里面专门谈到：金融犯罪人员通过故意增加犯罪环节、延长犯罪链条，进一步加大资金监测、追踪和穿透的难度。也就是说，司法机关会认为虚拟币承兑商明知或应当明知交易对手的最终目的是非法换汇，仍提供虚拟币的承兑业务，虽然没有形成人民币——虚拟币——外币形成闭环，但也会被认定为非法经营罪的共犯。

当然，如果有证据证明你明确知道对方没有换汇意图，仅仅是做虚拟币与法币的兑换，则不构成非法经营罪。以我代理的上海某虚拟币涉非案件来看，检察院在移送审查起诉时，将以法币投资的虚拟币基金投资数额、法币投资并以币本位结算的投资数额以及明确为法币交易的承兑金额扣除，并没有起诉，这也印证了我前面提到的观点。

由此，我也想到了广东大埔的那起非法经营案，当时网上通报这起案例的时候我就觉得很荒唐，并就这起案件写了两篇短文：，线下人民币现金otc交易，并不涉及外汇，不应当认定为非法经营罪。但没有想到，该案还被最高人民检察院公众号转载，并且在法官释理时谈到：根据本案主犯的供述，其为了收购泰达币倒卖获利，甚至向银行贷款，贷款数额高达上百万。这种大笔资金通过泰达币兑换成美元的行为，必然会减少国家的外汇储备，影响国家对外汇的宏观管理，破坏了人民币在国内市场上的唯一合法地位，也极大干扰了外汇管理的有效性和合法汇率的稳定性，扰乱正常的金融市场秩序，属变相买卖外汇的行为，应当予以惩治。

我很想当面问问本案的主审法官，请他讲一讲，按照本案案情描述，哪里存在“通过泰达币兑换成美元”的行为？泰达币兑换人民币，为什么必然会减少国家的外汇储备？干扰外汇管理的有效性这点我不否认，但是如何干扰合法汇率的稳定性？泰达币和美元一比一兑换没有问题，但并不能等同于用人民币换了泰达币就等于换了美元，用泰达币换了人民币也不涉及我国外汇储备的减少。当然，本案是否有其他隐情我们不得而知，如果被告人兑换的虚拟币被人在境外兑换成外币，亦或是反向兑换，且被告人明知，那定非法经营罪没问题，否则我仍然认为这是一起错案。

虚拟币非法换汇涉非，从定案证据角度来讲，应当有境内的人民币转账记录、聊天记录（包括国内收款账户、交易时间、交易总额、买入汇率等信息）等电子证据、境外账户转账记录、换汇人的证人证言和被告人的供述，入选外汇管理局、最高检的两起典型案例，还包括对扣押的电脑、手机等电子数据载体开展针对性勘验，确定虚拟货币钱包地址，再对虚拟货币钱包的交易记录与银行账户流水进行比对，完善“外币—虚拟货币—人民币”的资金流转链路。

但实践中，此类案件的证据标准在不断下降。有的案件确实没有条件对虚拟币进行流向分析，无法形成上述闭环，但如果有证据证明人民币——外币的路径，即境内账户收款，换汇人证明境内转账系为了换汇，并提交境外账户入账记录，哪怕隔着所谓的中间人，换汇人与被告人不认识无联系，法院也能够据此认定。

证据标准的下降，使得U商涉非风险陡增，被冤的也不少。比如，侦查机关发现有十笔交易，只有一两笔非法换汇证据充足，那么这十笔都有可能被认为是换汇；有的案件境外转账账户与被告人毫无关系，检法机关也不甄别（客观上也没有甄别的能力），而实践当中，A找B买U，指定C付款是惯常操作，B也不可能知道A是为了给C换汇，这么简单的事情，能否被检法机关采纳，完全看承办人是否负责任。

U商涉非风险很难避免，也无从防范，即便你再审慎，你也不可能知道哪一天哪个地方的哪起案件就把你给牵连出来了。真正的防范不是和律师探讨构不构成犯罪，那都是后话，在此之前应该考虑如何被立案侦查。关于虚拟币涉非，我公众号里面写了不少文章，如果单纯承兑不碰外汇，无论是前置法的要求，还是非法经营罪的犯罪构成，都不够。但如果涉及外汇，实践中很多案件就按照“变相买卖外汇”判了。即便选择无罪辩护，也是个漫长且煎熬的过程，能挺到最后也需要非一般的精神力，如果确实构成犯罪，这种坚持更是没有意义。

U商涉非，境外的持牌承兑商反而风险更大。持国外的牌，做国内的业务，等于没持牌。以前打U商，主要打的是明知黑钱还承兑的，后来发展到了可能知道黑钱还承兑的，现在开始打把钱搞出去的。所以之前看似具有合规外衣的业务，反而是现阶段打击重点，至于境外转账记录证据效力、换汇人书面作证不到场、境外聊天记录取得不合法、确实电子数据鉴定等辩点，几无效果。从刑事管辖权角度来讲，只要换汇人存在境内转账，哪怕人并不在境内，国内依然确定有管辖权。

整个换汇链条的人都有可能面临刑事追责，哪怕没有收益。《2023年度上海金融检察白皮书》就加强涉外法治研究完善监管统合谈到，健全金融领域行政执法与刑事司法衔接机制，协同治理金融生态环境。进一步加大对重点领域的打击惩处力度，加大对金融犯罪链条上资金、技术、中介等关联人员的追诉力度。提供资金帮助的要打，提供技术支持的要打，介绍业务的哪怕不赚钱也有可能被打，所以别什么忙都帮。简言以蔽之，除了肉身在境外的打不着，剩下的都要打。

总结：单向的虚拟币兑法币，不构成；涉及全链条或对其明知应知的，构成；境外持牌承兑商不能免责；链条中的人都存在刑事风险；如果不能实现无罪辩护，要注重数额的核减；还要注重获利的辩护，因为会并处一到五倍罚金；考虑如何防范，不如就此不做。

最近撸空投的工作室一个个的都在叫苦，要维权！

这一波项目方的格局，就像是有预谋一样越来越小，到最近是zkSync真是造假都懒得造！

Avail骗炮大姨妈

今年4 月 19 日，Avail公布空投规则，算是开启这一波项目方骗炮第一波。

Avail其实是个很明星的项目，作为模块化区块链趋势的重要组成部分，是DA层的领军项目。

看不懂没关系，你看他们的融资记录: 种子轮和A轮都是Dragonfly领投，两轮一共募资7千万美元！

这刚募了这么多钱，大家当然充满期待啦！

但随之而来的空投申领网站却让不少人失望了——许多之前笃定能有所斩获的测试网参与者、L2 重度活跃用户，在资格查询中得到的却是“Not Eligible”的结果。一时间网上骂声不断，吐槽规则与标准，甚至质疑公平性，直呼项目方“老鼠仓”的用户大有人在。

Dymension 作为模块化的结算层，客观上更是 Avail DA 的客户。种种联系造成了不少用户为 Avail 的空投预期而买入 DYM 并质押。

但最终空投并没有给到 DYM 质押者。

参与节点的用户也被涮了，号称会随机抽取5%的节点获得空投，但实际上我问了身边搭建了上千个节点的大户，也并没有收到空投。

如果真是随机抽取，1000个节点应该会中50个才对，一个都没的话基本实锤老鼠仓了。

社区用户纷纷维权，在压力下Avail还是搞了个第二阶段空投，算是安抚了一部分社区用户。

Taiko拒绝回应空投规则

另一个明星项目Taiko则干脆不公布空投规则，有就是有，没有就是没有。

这骗炮骗得理直气壮。

项目方联合创始人王东先是在X上发文称，“为了避免不必要的争论，我们不会透露详细的 TKO 创世空投规则。我们的目标是公平，但无法满足所有人。恭喜那些收到 TKO 的人，向那些没有收到的人表示歉意。”

不久后，随着X平台上的质疑甚至辱骂之声越来越多，王东似乎也被激怒，在Discord上再次发言道：

IO是PUA高手

自从今年3月份HackVC大手笔投了io.net三千万美金后，其私募估值就达到10亿美金的高度。

作为一个AI算力平台，明牌表述会有3200万代币空投给到算力矿工

从3月到5月大量用户涌入IO算力挖矿撸空投，一度把mac的价格都拉涨了，火爆到什么程度：

然鹅IO不显示积分，就让各位矿工很慌，只好老老实实挂着，比较无论是租用算力还是买设备挖矿，都是有成本的。

有矿工说”它既 PUA 你要长期挂着，又不告诉你实际积分，所以大家付出的精力都很多，之后的反弹也会这么大”

IO分配给矿工的代币只有3200万个，但是各位矿工的机器算力是无限的，维护又很复杂，还有真金白银的投入，导致这个项目很多工作室团队最后被反撸的，按目前的币价机器的成本一半都没收回来。

zkSync底裤都不要了

如果说前面几个项目还算要点脸，顶多就是抠抠搜搜格局不大。

zkSync这个项目就是明牌老鼠仓，直接开始骗了。

zkSync是上轮牛市完成的募资，当时融资金额达到惊人的2.58亿美金！本轮还没出现比这个融资规模大的项目。

领投机构也都是有头有脸的Dragonfly和a16z。

没想到就这么个浓眉大眼的，竟然也叛变革命了。

例如NFT市场Element发推文称，作为ZKsync上最大的NFT市场，他们未收到任何空投，并质疑这是否是一个玩笑。

收到空投的都是一些奇奇怪怪的地址，有1.2万个地址没有任何交互记录，得到比较大额生态空投的也都是自己的关系户。

空投本质是营销费用

早在十年前，互联网企业发红包拉新的场景还历历在目，当初也有不少工作室靠薅羊毛养家糊口。

到如今靠发红包起家的拼多多也抠搜得连一分钱都不愿意给了。

这其实是项目发展的正常过程，项目方始终对对比预算就这么多，花在那里好。

早期加密项目交互门槛高，钱花给广告商不如给用户来得直接。

但是工作室批量造假用户之后，还指望项目方傻乎乎给你结算？

现在由于技术的发展，不少项目的交互门槛也降低很多，最后加密项目的空投会和如今互联网产品的红包一样，只有真正少部分用户才会有那么可怜的一点点，撸毛养家的日子要一去不复返了。

各位开工作室的也趁早转行吧，也奉劝各位羊毛党如果一定要撸，也尽量零撸。

撰文：Will 阿望

2024 年 5 月 31 日，PayPal 宣布其稳定币 PayPal USD (PYUSD) 在 Solana 区块链上线。这是继 Paypal 去年 8 月首次在以太坊主网上推出 PYUSD 以来的又一重大里程，不仅为其用户提供了一个新的、高效的支付方式，也为整个支付行业的未来趋势提供了重要参考。

此前在撰写 Web3 支付研报，及与行业公司交流探讨的过程中，一直思考一个问题是：稳定币支付真的有必要吗？恰好适逢 PYUSD 上线 Solana，Paypal 从非常务实的角度，给出了一个关于支付自由的答案：

“人们想要随心所欲地支付，目前的支付网络难以满足需求，Crypto 能满足需求且实用，那么作为一家致力于促进支付创新的金融科技公司，我们来推出稳定币支付方案，以满足人们当前随心所欲的支付需求。”

由此，本文将试图分析 Paypal 将目光转向 Crypto 的内在逻辑，PYUSD 上线 Solana 推出的稳定币支付方案，以及 PYUSD 迈向 Mass Adoption 的演进思路。希望能够给行业参考，欢迎交流探讨。

一、Paypal 为何将目光转向 Crypto

作为全球领先的支付公司，PayPal 拥有超过二十年的全球支付经验。在这二十年间，伴随着电子商务的成熟发展，PayPal 所做的不仅仅是将自己打造成信任的灯塔，为用户提供交易的信任背书，还实现了互联网数字支付网络（Digital Payments）的大规模普及应用。

Paypal 的初心一直没变——促进支付创新，让每个人都能按照自己的意愿进行支付。

但迄今为止，支付创新都建立在与互联网兴起时相同的基础金融轨道上。虽然行业一直在努力提供全球、即时和无缝的交易，但现实往往展现出不足的一面：

在线支付的结算时间仍然很长（在美国，平均为 2～3 天），市场、银行和服务商需要工作日营业，进一步延长结算时间；雇主难以向日益分布式的劳动力进行支付；日益全球化的人口难以用低廉和高效的方式进行跨境汇款；企业最常感受到这种摩擦，而消费者仍然在他们认为应该很快的支付环境中漫长等待。

简而言之，今天的人们并不能够按照他们想要的方式进行支付。

这就是 Paypal 将目光转向 Crypto 的原因，答案很简单：它能满足需求且是实用的。

加密货币和区块链技术能让人们更接近实现支付的愿望：快速、廉价、全球支付。这种全新的下一代金融/支付基础设施，能够帮助 PayPal 更好地服务其 4000 万用户，让每个人都能按照自己的意愿进行支付。

因此，在加密货币和区块链技术出现的十多年后，PayPal 再次来到了支付历史的关键时刻，这个时刻就像 2000 年初的互联网一样，充满了潜力和机会。

就像 Paypal 此前把支付带到网上一样，Paypal 现在正在把支付带到链上。

(flywheeldefi.com/article/paypal-steps-on-chain-with-pyusd)

二、全球支付困境有待改善

当前支付通路和信息传递协议（如 ACH、SEPA 和 SWIFT）构成了全球支付的网络。它们使我们能够进行跨地域、跨时区地进行大规模交易，并且确保支付的相对畅通。但同时，当前的支付技术也会迫使我们在 1）支付结算速度，和 2）成本效益之间作出权衡，例如：

• 资金的流转会产生费用，并且各个流转中间方之间需要有事先的合作安排和流动性要求；

• 各方的跨时区运营时限（工作日）和批量化的处理，意味着支付可能需要等待几天才能结算；

• 净额结算的安排难以满足小额、高频交易的需求。

然而，对于成年人来说，我们不做选择，我们两者都是要的——即低成本地进行高效结算。

人们想要的是更轻松地支付。企业希望向供应商付款，而不必担心结算时间；个人希望在不支付高额费用和等待天数的情况下向远方的家人汇款。如今的金融基础设施，都无法快速满足人们快速交易的需求，Paypal 并不希望用户在这种等待中失去价值。

今天，加密货币和区块链技术提供了一个全新的支付通路，能够简化支付清算流程，使得支付快速、廉价且易于访问。

由此，我们需要利用加密货币和区块链支付技术解决方案，来解决传统支付的遗留问题：1）结算时间慢；2）交易成本高；以及 3）对全球范围内，当前金融体系无法覆盖地区（Under-banked and Unbanked）的不兼容。

三、Paypal 的稳定币支付解决方案

（支付巨头 Paypal 的稳定币有望带领加密行业走向主流）

稳定币定义：大多加密货币的价格波动很大，并不适合支付，就如比特币在一天内可能会出现很大振幅。而稳定币是一种旨在通过保持稳定价值来解决此问题的加密货币，通常与法定货币（如美元）1:1 挂钩。稳定币兼具两全其美的优势：它们保持较低的日常波动，同时提供区块链的优势——高效、经济且全球通用。

PayPal 推出的稳定币 PYUSD 是一种全新的稳定币支付解决方案，旨在实现下一代金融科技创新。PYUSD 建立在 PayPal 深厚的支付行业积累和 Solana 高性能区块链之上，能够实现高效即时结算，降低交易成本费用，高度安全和真正的全球支付。

PYUSD 是由 Paypal 推出的一种建立在区块链上的稳定价值存储工具（1:1 美元兑换），它的出现将解决当前全球支付行业的上述问题。符合条件的美国用户可以购买、出售、发送、接收 PYUSD，并用于支付：

• 在 PayPal 和 Venmo 生态内购买、转让 PYUSD，实现丝滑的出入金体验；

• 使用 PYUSD 支付作为在线交易的付款方式，如全球数百万 PayPal 商家的结账和付款；

• PYUSD 在 Xoom（跨境支付工具）上的跨境 P2P 支付；

• 在 PayPal 生态系统之外，PYUSD 可以使用在加密货币交易所（例如 Crypto.com）和钱包（例如 Phantom）；

• PYUSD 还可用于各种创新，例如，PYUSD 可用作 Mesh 等风险投资的快速、低成本融资工具。

PYUSD 正在构建真正的稳定币商业场景，提供主流消费者和商家所期望的，几乎无摩擦且值得信赖的支付体验。

四、Paypal 稳定币支付迈向 Mass Adoption 的演进思路

基于 Paypal 近 20 年的全球支付合规经验，以及 PYUSD 的最高合规标准，PayPal + PYUSD 的组合能够将此前的稳定币交易（Stablecoin Transactions）升级，成为我们真正需要的稳定币支付（Stablecoin Payments）。

Paypal 在成立之初，肩负的责任不仅是促进支付落地，还包括引入和传播一种新技术——数字支付，目前这种数字支付的方式已经融入我们的生活，无处不在。这一成功的经验能够为 PYUSD 稳定币支付的推出提供经验指导及新颖见解。具体来说，Paypal 将 Mass Adoption 的演进思路分为三个阶段：

• 认知觉醒（Awareness）；

• 支付效用（Utility）；

• 无处不在（Ubiquity）。

4.1 概念引入带来认知觉醒（Awareness through Introduction）

如前所述，支付无处不在，并深深扎根于习惯和实践中，因此转变是需要渐进和稳定的，这种转变不会一蹴而就。引入一种新的支付方式既是一种行为转变，也是一种技术或金融转变。

迈向 Mass Adoption 第一步是认知觉醒——即简单地向人们介绍新技术存在的事实。

在这个阶段，早期采用者是目标受众，即加密货币的持有者——这一群体约占全球人口的 15%，且相对容易触达。这也是 Paypal 在 2023 年底在以太坊上推出 PYUSD 的原因，确保了早期采用者的认知意识觉醒。

如今在市值第二的 Solana 高性能区块链上推出 PYUSD，能够覆盖加密生态中最积极、最活跃的人群，让世界知道，“PYUSD 真的来了。”

此外，PYUSD 与 PayPal 和 Venmo 应用程序的整合将为其引入了超过 1 亿的美国用户。后续将不断与加密交易所、支付合作伙伴一起扩大 PYUSD 在 PayPal 生态系统之外的影响力。

Paypal 从此前的成功经验中知道，让一种新的支付机制进入大众，思想上的认知觉醒是必要的第一步。

4.2 整合实现支付效用（Utility through Integration）

采用新支付技术的下一步是实现支付效用，即将最初的思想认知觉醒转化为实际生活中的支付效用，就如 PayPal 在早期通过 eBay 将 PayPal 打造成在互不认识的双方之间提供可信交易的平台。

时至今日，人们需要的支付必须是快速而廉价的。虽然 Paypal 在以太坊主网推出 PYUSD 为其提供了巨大的知名度，但这并没有完全满足 PYUSD 实现作为数字商业支付工具使命而所需的所有标准——高效、经济且全球通用。

因此，PYUSD 转向 Solana，来实现支付的效用。

（PayPal 推出基于 Solana 的美元稳定币：区块链支付的新篇章）

Solana 是一个为金融、支付、忠诚度计划等构建的高性能区块链网络，是采用率最高的区块链之一。2023 年第四季度平均每天处理了 4070 万笔交易，且有 2500 名开发者活跃于生态。此外，其区块链的开源，可编程，可组合性也能够带来巨大的空间和网络效应。

Solana 为 PYUSD 带来了远比其他区块链更快的结算速度，更低的交易成本，更强的可拓展性，以及全球网络的支持。结合了 Solana 的优势之后，用户在使用 PYUSD 的过程中，能够真正实现支付效用：

• 实时结算：大多数 PYUSD 交易在几秒内实现高效结算；

• 低交易成本：Solana 链上的交易成本仅几美分，无论交易金额是多少；

• 交易终局性：商家不必担心客户由于资金不足或其他原因取消付款；

• 全天候交易：7/24/365 的全天候可用；

• 互操作性：PYUSD 可用于 PayPal 生态之外，实现与其他网关、网络和钱包的互操作性；

• 可编程性和可组合性：PYUSD 是在广泛采用的 SPL 代币标准上开发的。这意味着任何支持该标准的产品都会自动支持 PYUSD。开发人员可以在 PayPal 生态系统内部和外部自由地进行实验和构建。消费者、商家和机构可以享受广泛的第三方开发者体验，利用 PYUSD 进行支付和金融的使用案例；

• Paypal 的庞大用户群体：PYUSD 可供现有的符合条件的美国 PayPal 客户群使用。

因此，在 Solana 上推出 PYUSD 将有助于稳定币支付的长期采用。在这个过程中，将 PYUSD 从认知觉醒阶段转移到实际支付效用阶段。

随着 PYUSD 在以太坊和 Solana 上线，将带来更多开发者和生态伙伴的参与，并且结合 PayPal 和 Venmo 应用程序上的实用性，PYUSD 将为用户提供更多切实可行的、对用户友好的用例。

4.3 稳定币支付无处不在（Ubiquity through Assimilation）

采用任何新支付技术的最后阶段是无处不在，无处不在的特点是将技术无缝融入日常生活中。在这个阶段，人们能够毫不费力地使用新支付技术且无感——人们只是在随心所欲地支付。

对于 PayPal 来说，它让数字支付成为 200 多个国家的人们相互之间和企业之间汇款的一种方式，作为一种安全、可靠、标准化的 P2 P、B2 B 和 B2 C 支付方式，随着数字全球化的发展而无处不在。

五、Solana 上 PYUSD 稳定币支付用例

让梦想照进现实，让人们能够随心所欲地支付，光喊口号可不行。我们来看看 PYUSD 的一些落地场景。

5.1 跨境点对点转账汇款（P2P）

如今在全球范围内，个人之间的经济联系比以往任何时候都更加紧密。然而，个人间的跨境转移资金是一个庞大且不断增长的市场，充满了机会。向低收入和中等收入国家进行法定转账汇款在 2023 年达到了 6690 亿的体量（世界银行数据），但是跨境转账汇款并不便宜。

使用 PYUSD，付款人可以使用 Solana 钱包向收款人直接汇款，转账几乎可以立即结算，而且成本接近为零。

即使对于没有 Solana 钱包的收款人，付款人也可以通过与 PYUSD 的支付服务提供商合作，以节约跨境转账汇款服务的成本。支付服务提供商通过 PYUSD 的本地合作银行连接法币现金网络，让收款人轻松地将 PYUSD 转换为银行存款或现金，从而享受近乎即时、低成本的全球转账汇款服务。

5.2. 企业间转账（B2B）

由于跨境支付的复杂性，存在多个中介机构和跨国家的代理银行网络，大多数 B2B 支付可能需要数天时间才能结算。而且，根据跨境转移资金的方式，支付费用可能很高。

通过利用 PYUSD 的可编程特性，企业可以构建自己的服务，无缝地创建近乎即时、经济高效的跨境转账方式，并且技术要求相对较低。团队还可以创建智能合约来管理账户之间 PYUSD 的流动。这可以提高供应商付款（或任何其他受合同协议管辖的 B2B 付款）的速度和准确性。

此外，采用 PYUSD 转账并不一定要求企业拥有 PYUSD 甚至与 PYUSD 互动。支付服务提供商可以构建 B2B 支付产品，为最终用户提供法币体验。

5.3. 全球收付（B2C）

PYUSD 可以显著降低全球支付的复杂性。PYUSD 无须通过复杂的网络（包括独特的区域银行账户、不同的货币、代理银行和数字钱包轨道），而是可以支付到任何兼容的钱包地址。此外，使用 PYUSD 的可编程智能合约可以使企业付款人更有效地自动化支付流程，甚至可以实时支付工资。

5.4. 小额交易

由于交易费用高昂，传统支付处理系统难以支持小额交易。因此，处理小额交易的平台通常会批量处理付款，这涉及复杂的支付工程，增加了风险，并阻止平台接受微交易。

然而，Solana 上的 PYUSD 将使商家平台能够以近乎实时且低成本的方式轻松处理小额交易。小额交易支持多种用例，例如小费、游戏内购买，以及按阅读或浏览次数向内容创作者支付少量费用。

5.5. Web3 支付

许多 Web3 商家（例如 NFT 市场和基于区块链的游戏平台）缺乏与传统法定银行账户的连接，需要强大、非易失性的支付解决方案，而 PYUSD + Paypal 能够满足。

六、写在最后

PayPal 区块链、加密货币和数字货币集团高级副总裁 Jose Fernandez da Ponte 表示：“PayPal USD 的创建旨在通过为数字经济的下一次发展提供一种快速、简单且廉价的支付方式，再次彻底改变商业。在 Solana 区块链上提供 PYUSD 进一步实现了我们的目标，即实现一种专为商业和支付而设计的具有稳定价值的数字货币。”

我们能够看到去年 PYUSD 在以太坊上线以来一直不温不火，更多的是在 Paypal 的 Supper App 中运转。此番上线 Solana，无论是想要破圈也好，还是打算进一步深入探索也罢。毫无疑问，Web3 的杀手级应用可能已经到来，它就是支付！

就像我们此前在 Web3 支付研报 中讲的：加密货币最大的机会可能不是将其视为加密货币，而是将其视为一套新的支付方式。

支付承载着打通链上加密货币体系与链下法币体系的重大使命，经过区块链技术的代币化改造之后，将为传统的货币体系赋予新的价值，克服此前不可能突破的边界，世界经济将可能因此永远改变。

引言

 OKX Web3钱包特别策划了《安全特刊》栏目，针对不同类型的链上安全问题进行专期解答。通过发生在用户身边最真实案例，与安全领域专家人士或者机构共同联合，由不同视角进行双重分享与解答，从而由浅入深梳理并归纳安全交易规则，旨在加强用户安全教育的同时，帮助用户从自身开始学会保护私钥以及钱包资产安全。

链上安全攻与防，就像一场永不停歇的「躲猫猫」

用户要时刻藏好自己资产、做好安全防护

就算被「黑客抓到」，也不能慌张、要学会速速补救

此前几期内容，我们从用户真实案例出发，花费了大量的篇幅去介绍风险识别与安全防护，涵盖私钥安全、MEME交易安全、链上撸毛安全、设备安全、DeFi交互安全等等，已经非常全面。

俗话常说，亡羊补牢未为晚也。本期是安全特刊第06期，特邀区块链安全新锐GoPlus安全团队，从实操指南的角度出发，分享链上安全监控与事后急救相关内容，仅供大家学习和交流。

GoPlus 安全团队：感谢邀请，我们致力于构建一个 Web3 用户安全网络，专注于提供无需许可的安全数据和终端用户服务环境。在技术架构上，GoPlus 集成了先进的人工智能模块，目前已服务于超过 10,000 名合作伙伴，日均调用用户安全数据超过 2100 万次，支持 20 多种公链。

OKX Web3 钱包安全团队：大家好，非常开心可以进行本次分享。OKX Web3 Security团队主要负责OKX在Web3领域内各类安全能力的建设，比如智能合约安全审计，钱包的安全能力建设，链上项目安全监控等，为用户提供产品安全、资金安全、交易安全等多重防护服务，为维护整个区块链安全生态贡献力量。

分享一些用户真实的、链上成功安全防护或者抢救案例  

GoPlus 安全团队：这类案例有很多，我们分享两个。

案例一：一位来自GoPlus社区的用户反馈，他的EVM地址遭遇了黑客投毒手法的攻击。黑客通过发送少量代币到目标用户的钱包中，并伪造前5位和后3位字符相同的地址，诱使用户误认为这是自己常用的转账地址。但由于采用了链上防护和监控的安全服务，成功阻止了超过20K美金的损失，

主要的事件经过是：用户在进行一笔以太坊转账时，安全监控和链上拦截服务发挥了关键作用。监控服务检测到有一个可疑的投毒地址向用户钱包发送了少量代币，并将该地址拉入了黑名单。但此刻用户对此并不知情，并且已经尝试将一部分资金转移到这个伪造地址，好在用户在钱包中使用了安全RPC的服务，在交易被发出后，拦截服务立即介入，成功阻止了这笔交易。系统自动发出警报，通知用户此次交易地址与常用地址不符，可能存在风险。

用户收到通知后，暂停了此次转账交易，并使用相关检查工具进行核查，确认该地址是一个已知的投毒地址。系统显示，该地址在过去几天内与多个欺诈活动相关联。用户及时取消了此次转账，避免了将资金转入黑客控制的地址中。事后，用户清理了自己的常用转账地址列表，删除了所有不明来源的地址，以防止类似事件再次发生。

案例二：利用Front Running实现链上抢跑成功转移资产

另一位我们的用户，发现其EVM私钥被盗，黑客已经将所有的ETH转移至其他的钱包，并且黑客设置了监控和自动化的程序，使得每当该用户向被盗地址中转ETH作为Gas时，该Gas都会被黑客自动立刻转走。但最终通过及时利用抢跑服务，成功抢跑走其余的NFT以及剩余Token资产，将它们全部转移到安全的新地址。

在我们的帮助下，用户利用抢跑技术进行抢救。通过抢跑服务，准备了一系列高优先级的交易，利用监控以及拉高Gas费提高交易速度，确保这些交易在黑客的监控程序监控并下单之前被矿工打包。用户首先分批次地将账户中的NFT和剩余的Token资产迅速转移到多个中间地址，最终成功将剩余资产抢救。阻止了超过10K美金资产的损失。

通过这两个案例可以看出，无论是在事中还是在事后，合理的利用工具和安全服务，都可以及时的减少资金损失，抵御风险。

OKX Web3 钱包安全团队：由于用户遭遇了钓鱼、私钥泄漏等事件，我们提供了非常多的协助，来帮助他们成功挽回了损失。

案例一： 用户A不慎在钓鱼网站输入了自己的私钥，导致其持有的以太坊（ETH）被盗。幸运的是，用户的其他ERC20代币，如USDC，尚未被盗。在用户A寻求帮助后，我们进行了深度的沟通、并组织团队对其展开帮助。通过使用Flashbots进行交易捆绑，我们将支付Gas的交易和转出价值代币的交易一并提交，在同一区块中处理，成功抢救了用户的剩余资产。

案例二： 用户B在查询空投信息时误入钓鱼网站，该网站要求用户对一个已知的风险地址进行授权。OKX Web3钱包识别出该地址属于黑名单，并成功拦截了授权请求，防止了潜在的资产风险。

案例三： 某协议C遭到攻击，所有授权给该协议的地址均面临资产风险。OKX Web3钱包安全团队对此事件进行了迅速响应，将协议涉及漏洞合约列为风险地址，在用户进行授权时会进行提醒，有效避免了更大的损失。

以上这些案例表明，用户不仅要更新应对网络钓鱼和协议攻击的紧急措施，还可以借助安全工具、以及向专业的安全团队寻求帮助。但最重要的是，用户首先需要从自身开始，学会保护自己的钱包和资产。

用户如何更好的了解自己的钱包安全状态，管理钱包的安全状况？

GoPlus 安全团队：为了更好地了解和管理自己的钱包安全状态，用户可以采取以下详细措施。

一、定期检查授权

1、使用授权管理工具

• 借助授权管理工具：利用一些常用的授权管理工具，用户可以定期检查已授权的智能合约。这些工具可以帮助用户列出所有已授权的合约，并标记那些不常使用或可能存在风险的合约。

• 合约风险评估：使用这些工具对合约进行风险评估，查看合约代码的安全性和历史记录，识别潜在的风险。

2、取消不必要的授权：

• 简便取消授权：通过授权管理工具，用户可以方便地取消那些不再需要的合约授权。这不仅减少了潜在的安全风险，还可以防止恶意合约利用已授权的权限进行操作。

• 定期维护：定期进行授权维护，保持授权列表的简洁和安全，确保只有必要的合约具有权限。

二、钱包监控

1、使用监控工具

• 实时监控：使用一些钱包监控工具，如Etherscan的地址监控服务、GoPlus的安全监控工具，实时监控钱包的活动。这样用户可以在授权变更、异常交易、地址被投毒或其他安全事件发生时及时收到提醒。

• 详细报告：这些监控工具通常提供详细的报告和日志，记录钱包的所有活动，方便用户进行审查和分析。

2、自定义警报

• 设置警报参数：根据交易金额、频率等参数，设置自定义警报。用户可以定义不同类型的警报，例如大额交易警报、频繁交易警报、授权变更警报等。

• 及时响应：一旦触发警报，用户应及时检查并采取必要措施，防止进一步的损失。这些警报可以通过邮件、短信或应用内通知的方式发送给用户。

三、其他安全措施

1、定期备份和恢复

• 备份私钥和助记词：定期备份钱包的私钥和助记词，并将其安全存放在多个地点，如离线存储设备、加密USB盘或纸质备份。确保备份不被未授权人员访问。

• 测试恢复流程：定期测试钱包的恢复流程，确保在需要时能够快速有效地恢复钱包。这包括导入私钥或助记词、恢复钱包的全部功能，以及验证恢复后的钱包能够正常使用。

2、使用硬件钱包

• 硬件钱包的安全性：使用硬件钱包存储大额资产，硬件钱包可以提供更高的安全性，因为其私钥永远不会离开设备，防止被黑客窃取。

• 定期更新固件：确保硬件钱包的固件保持最新版本，厂商会定期发布安全更新和补丁，以应对最新的安全威胁。

OKX Web3 钱包安全团队：通常，用户可以用以下几个方面来加强钱包的安全管理

1、使用钱包安全工具

许多钱包和安全工具可以帮助用户管理授权和提高安全性

1）常用的浏览器钱包插件，允许用户管理DApp的权限。可以查看和撤销已授权的DApp，定期查看已经授权的dapp网站，对不需要的网站解除授权

2）使用检查和撤销钱包授权网站。用户可以通过连接钱包，查看所有已授权的智能合约，并选择撤销不再需要的权限。

2、定期检查钱包授权

定期检查自己的钱包授权状态，确保没有多余或可疑的授权

1）连接到Revoke.cash或类似工具。

2）查看所有已授权的智能合约列表。

3）对不再使用的DApp或可疑的授权进行撤销。

4）确保钱包软件始终保持最新版本，以获得最新的安全更新和漏洞修复。

3、提高个人安全意识

1）警惕钓鱼攻击: 不要点击来历不明的链接或下载不明文件。

2）使用强密码和双重认证: 为钱包账户设置强密码，并启用双重认证（2FA）来增加安全性。

用户如何感知链上安全事件，并及时保护自己的资产

GoPlus 安全团队：用户应该尽可能学会实时监控、并及时阻断恶意的链上交易。

为什么需要实时监控？实时监控链上交易对于保护用户资产至关重要。随着越来越多的黑客和诈骗团伙涉足链上诈骗，识别交易中的隐藏风险变得异常困难。许多用户缺乏必要的安全知识和技术能力，无法全面理解和防范这些威胁。实时监控可以帮助用户及时识别异常活动，如未经授权的交易、大额转账或频繁的交易操作，并迅速采取措施防止损失。此外，实时监控能够检测并阻止恶意操作，如钓鱼、黑客入侵和智能合约漏洞，从而保障用户的资产安全。当发生安全事件时，实时监控能够立即通知用户，使其迅速采取行动，如冻结账户、取消授权或报告事件，从而最大限度地减少损失。通过提供透明的环境，实时监控还可以增强用户对钱包和平台的信任，使用户随时查看交易和授权状态，提升使用体验。

为了实现对链上交易的实时监控和阻断恶意交易，用户可以采取以下措施：

首先，采用监控和响应系统。用户可以设置自定义交易警报，根据交易金额、频率等参数设置警报，并通过邮件、短信或应用内通知及时接收警报信息。这不仅能帮助用户精确监控钱包活动，还能在发现异常交易时第一时间发出警报，让用户迅速采取措施，防止损失进一步扩大。

利用区块链分析工具也是一个重要手段。通过使用公链网络浏览器等区块链分析平台，用户可以监控钱包的交易历史和活动，深入分析交易模式和对手方。这些平台提供的详细数据和分析功能，可以帮助用户识别潜在的风险交易，并及时采取行动。此外，区块链分析工具还可以帮助用户追踪资金流向，发现和防止可能的欺诈行为。

此外，使用无感的风控保护可以显著提升用户的安全体验。安全RPC或安全钱包产品能够帮助用户实现无感的风控保护，通过后台实时分析用户的交易行为和环境，自动识别和评估潜在的安全威胁。这种保护机制无需用户进行复杂操作，自动运行并提供保护，降低用户操作难度。例如，一些高级的安全RPC服务可以帮助用户分析每一笔交易的安全风险，智能地拦截危险交易。用户只需要将自己的钱包绑定到相应的监控和阻断服务，系统会自动保护用户的资产安全。

结合这些措施，用户可以实现对链上交易的全面实时监控，有效阻断恶意交易，保障自己的资产安全。通过无感的风控保护、实时监控和智能阻断技术，用户能够在一个更加便捷、安全的环境中进行链上交易。无论是普通用户还是专业投资者，这些技术都为他们提供了强有力的安全保障，使他们能够更加安心地参与区块链生态系统。

实时监控不仅能够帮助用户应对当前的安全威胁，还能提升他们对未来潜在风险的防范能力。随着区块链技术的不断发展和应用场景的扩大，安全问题也会日益复杂和多样化。通过不断学习和应用最新的安全技术和工具，用户可以保持对新型威胁的高度警觉，及时调整和优化自己的安全策略。最终，实时监控、智能阻断和无感风控将成为用户在链上交易中不可或缺的安全工具，为他们的数字资产保驾护航。

OKX Web3 钱包安全团队：链上安全事件频发，用户需要了解如何及时感知这些事件并保护自己的资产。以下是一些具体的方法和工具，希望可以帮助用户提高链上安全感知能力，并采取适当的资产保护措施。

1、关注安全厂商的安全事件推特

• 安全厂商推特: 关注区块链安全厂商的推特账号，了解最新的链上安全动态和攻击手法。

• 关注最新攻击手法: 特别是对同一类型协议的最新攻击手法保持关注，防止黑客使用通用漏洞对其他协议进行攻击，导致用户资金损失。因此必要时撤出相关类型协议的投资，避免因同类型安全漏洞造成资金损失。

2、使用链上监控工具

• 实时监控工具: 使用链上监控工具如 OKLink 的地址余额监控，实时关注协议 TVL（总锁仓量）的变化，或使用一些安全厂商提供的协议监控工具，对主流协议的安全性进行实时监控，并在发现问题时及时提醒用户。

3、关注项目方的赔偿动态

• 赔偿计划: 对于已经发生的攻击事件，用户可以关注项目方的赔偿动态。

• 跟踪公告: 一些项目方会在其官网、社交媒体和公告渠道发布赔偿计划的信息。

• 申报损失: 受损用户应及时申报损失，根据项目方的指引参与赔偿计划。

4、对漏洞合约进行取消授权

• Revoke.cash：使用相关工具检查并撤销对漏洞合约的授权，防止资金二次被盗

在进行链上交易时，如何避免轻易地成为钓鱼者攻击目标？

GoPlus 安全团队：在链上交易时，用户应该尽量避免成为钓鱼者的攻击目标，可以从以下几个方面，来加强防护。

为了在链上交易时避免成为钓鱼者的攻击目标，主要有以下几点：

一、核实来源

• 官方渠道：永远不要点击来历不明的链接，尤其是在Email、Twitter、Discord中收到的私聊内容中的链接。确保所有交易和登录操作都是通过官方网站或官方dapp进行的。可以将常用的网站和应用收藏或设置为书签，以避免误入假网站。也可以通过推特Followers里是否有知名用户关注来加强判断是否是官方。

• 检查URL：仔细检查网站的URL，确保其拼写正确并包含安全证书（HTTPS）。钓鱼网站通常会使用与真实网站相似的域名，但会有细微差异。

二、安全浏览器扩展

• 安装浏览器扩展插件：安装一些具备交易模拟、钓鱼网站识别功能的安全浏览器扩展插件，这些扩展能够实时监控并阻止钓鱼网站。扩展通常会检查访问的网站是否在已知钓鱼网站的数据库中，并在发现风险时发出警告。同时能够进行交易模拟，告知行为后果，提前预警。

• 定期更新：确保浏览器扩展和其他安全软件始终保持最新版本，以确保其能够识别和阻止最新的钓鱼攻击方法。

三、提高警觉性和识别技能

• 邮件和消息：对任何要求提供个人信息、密码、助记词以及私钥的邮件和消息保持高度警觉。正规的服务不会通过电子邮件或消息要求这些信息。

• 检查发件人：即使邮件看起来是来自于熟悉的来源，也要仔细检查发件人的电子邮件地址。有时候钓鱼者会伪装成合法的发件人，通过细微的拼写错误或伪造的域名进行欺骗。

四、资金管理

• 多钱包管理：将资产分散存储在多个钱包中，而不是集中在一个钱包内。这样即使一个钱包被攻击，其他钱包的资产也能得到保护。

• 冷热钱包结合：将大部分资产存储在离线冷钱包中，仅保留少量资产在在线热钱包中以供日常交易使用。冷钱包不连接网络，安全性更高。

• 定期检查：定期检查各个钱包的安全状况和交易记录，取消不必要的多余授权，及时发现和处理异常情况。

OKX Web3 钱包安全团队：随着链上生态发展，用户链上交互逐渐活跃，更加需要提高安全防护意识。尽量采取多种措施，来降低成为钓鱼攻击目标的风险，保护钱包和资产安全。

1. 验证网站和地址：在输入私钥或进行交易前，务必验证所访问网站的URL是否正确，特别是在点击邮箱或社交媒体链接直接访问时。对于区块链地址，使用已知的安全服务如OKLink浏览器来验证地址的合法性。

2. 使用硬件钱包：硬件钱包可以为加密资产提供额外的安全层。即使用户的计算机被感染或不慎访问了钓鱼网站，硬件钱包也能确保私钥不离开设备。

3. 不轻易授权：在对智能合约授权操作时，务必确认合约的内容和来源。只对信任的合约或已经进行过充分社区审核的合约授权。

4. 利用安全工具和服务：安装和使用反钓鱼和恶意软件防护工具，如网页浏览器扩展程序等，这些工具可以帮助识别和阻止访问已知的恶意网站。

5. 保持警惕：对于任何要求你提供私钥或进行转账的紧急请求保持警惕。攻击者常常利用用户的紧张和急躁情绪来诱导其做出决策。

6. 自我安全意识提升：定期更新自己的安全知识，关注最新的钓鱼攻击手法和区块链安全动态。可以参加相关的在线课程或阅读区块链安全指南。

链上交易时，用户如何尽量避免参与诈骗型项目

GoPlus 安全团队：首先，我们需要了解什么是诈骗型代币。诈骗型代币是由恶意行为者创建的加密货币代币。它们创建之初的目的就是为了实施Rug pull，这些代币通常被设计用来骗取投资者的资金，而代币本身没有实际价值或用途。一旦投资者购买了这些代币，他们往往会发现这些代币因为各种原因而无法出售，或者在交易过程中会遭受巨大损失。常见的诈骗型代币包括那些通过限制出售功能、交易冷却、隐藏交易费用或以其他方式欺骗用户的代币。用户可以通过以下措施避免买到诈骗型代币。

1、验证合约地址：

• 核对信息：在进行代币购买前，确认代币的智能合约地址是否正确。确保该合约地址与项目官方提供的一致，并通过官方渠道获取这些信息，如官方网站、白皮书或官方社交媒体。

• 查阅合约代码：如果具备技术背景，可以查阅代币的智能合约代码，检查是否有异常或恶意代码。如果不具备相关知识，可以依赖可信的合约审核工具或服务。

• 使用区块链浏览器：通过区块链浏览器查看代币合约的详细信息，包括代币持有者的分布、交易历史等，以确保合约没有明显的风险特征。

2、使用可信工具：

• 代币风险识别工具：使用一些常用的代币风险识别工具，扫描代币合约是否存在恶意代码。这些工具可以检查合约是否有常见的骗局特征，如无法卖出、隐藏手续费等。

• 合约分析平台：利用区块链合约分析平台查看代币的交易历史和合约代码。关注代币持有者的分布情况，警惕高度集中在少数地址的代币。

• 自动监控工具：使用可以自动监控新代币和其风险特征的工具，及时发现并避开潜在的诈骗型代币。

3、社区和口碑：

• 社交媒体和社区反馈：查看代币的社区口碑和在推特、Reddit等社交媒体上其他用户的反馈。了解该项目是否受到社区的支持和信任，避免购买那些被多次举报或讨论为骗局的代币。

• 项目信息透明度：考察项目团队的信息透明度，如团队成员的背景、项目的技术白皮书、开发路线图等。正规项目通常会公开详细的团队和技术信息。

• 参与社区讨论：主动参与代币项目的社区讨论，了解项目的最新进展和用户的实际体验，从中判断项目的可信度。

4、小额测试：

• 测试交易：在进行大额购买前，先进行小额测试交易。通过小额测试，验证代币的买入和卖出功能是否正常运作，确保不会买到无法卖出的貔貅币。

• 监控交易费用：注意小额交易时的交易费用和滑点，检查是否有异常高的费用或隐藏的交易条件。

• 观察市场反应：进行小额测试后，观察市场对该代币的反应和交易活跃度，评估其是否有正常的市场表现。

5、警惕高收益承诺：

• 不切实际的承诺：警惕那些承诺高收益、快速回报的代币项目。诈骗型代币通常利用投资者的贪婪心理，承诺不切实际的高回报来吸引资金。

• 识别风险信号：高收益往往伴随着高风险，对于那些声称“稳赚不赔”的项目，保持高度警觉，避免被短期高收益所诱惑。

• 咨询专业意见：在投资前，可以咨询专业人士的意见，听取他们对该项目的风险评估。

6、理性投资：

• 保持理性和谨慎：不要被短期高收益所诱惑，始终进行充分的调研和风险评估。投资决策应基于详细的分析和理性的判断，而不是情绪驱动。

• 分散投资：不要将所有资金投入到单一代币或项目中，分散投资可以降低整体风险，确保即使部分投资失败也不会造成重大损失。

OKX Web3 钱包安全团队：链上项目方Rug pull事件屡见不鲜、用户应该提高警惕意识。比如：

1. 研究项目背景：在购买任何代币之前，务必深入研究该项目。了解项目的愿景、团队成员、白皮书、路线图等方面的信息。查找项目的社区讨论，了解其他人对项目的看法。

2. 注意警告信号：一些警告信号可能表明代币是诈骗或不可信的。例如，匿名团队、过分夸张的承诺、缺乏透明度等。如果你发现任何警告信号，最好保持警惕，不要轻易购买此类代币。

3. 使用代币扫描工具：可以使用OKX Web3钱包等提供的代币扫描功能，代币扫描工具从合约代码、链上行为、社区反馈等多个层面进行综合分析，能一定程度上检测出代币是否具有诈骗行为。

4. 审查合约：在以太坊或其他智能合约平台上，你可以查看代币合约的代码。审查合约可以帮助你确定代币是否具有可信度。如果合约代码包含可疑逻辑或者未开源，需要更加小心。

5. 保持警惕：不要轻易相信来自陌生人的推荐或者在社群中群发宣传的文案，如果听到某个项目过于美好的承诺，要多加怀疑并保持理性。

用户如何防止被链上MEV攻击、避免资金损失

GoPlus 安全团队：为了防止被MEV（矿工可提取价值）攻击损失资金，用户可以采取以下详细措施。

1、使用专用工具

• 防MEV功能：用户可以在钱包中开启防MEV的功能，利用专门设计的交易工具或插件。这些工具能够识别和避免潜在的MEV攻击，保护用户的交易不被矿工和其他攻击者利用。

• 交易保护服务：一些平台提供交易保护服务，可以将用户的交易分批发送或混淆，以降低被MEV攻击的风险。这些服务可以帮助用户更安全地执行大额交易。

2、分散交易时间：

• 避免高峰期：避免在交易高峰期进行大额交易，因为这些时间段MEV攻击更为活跃。高峰期通常是市场波动较大或有重大新闻发布的时间段。选择交易量较低的时段进行交易，可以有效降低被攻击的概率。

• 定时交易：使用定时交易功能，将大额交易分散到多个时间点进行，减少单笔交易暴露在MEV攻击中的风险。

3、利用隐私技术：

• 隐私节点：用户可以将交易发送到一些隐私节点（如Flashbots），以确保交易被正常执行。Flashbots可以将交易直接发送给矿工，绕过公开的交易池，从而避免被MEV攻击。然而，这种方式可能会导致交易确认速度稍慢，因为交易需要等待区块上链才能确认其状态。

• 混淆交易：使用交易混淆技术，将交易分拆成多个小额交易并混合发送，增加交易的隐蔽性，降低被攻击的风险。

4、多样化策略：

• 分散交易：不要将所有交易集中在同一时间或同一平台，分散风险，减少被针对的可能性。通过分散交易，可以使攻击者难以预测和拦截所有交易，降低整体风险。

• 使用多种交易平台：利用多个交易平台和工具，避免在单一平台上进行所有交易，减少被集中攻击的可能性。

5、选择LP充足的交易池：

• 高流动性池：尽量选择流动性高、LP（流动性提供者）非常充足的交易代币池，避免因为流动性不足造成的滑点损失和MEV攻击。高流动性池能够吸收较大的交易量，减少交易被操纵的风险。

• 审查交易深度：在进行交易前，检查交易池的深度和交易对的流动性情况，确保交易能够顺利进行且不会引起大的价格波动。

6、设置合理的滑点容忍度：

• 滑点保护：在交易平台上设置合理的滑点容忍度，以防止交易价格偏离预期。过高的滑点设置会增加被MEV攻击的风险，而过低的滑点设置则可能导致交易失败。根据市场状况，调整滑点容忍度，以达到最佳保护效果。

7、持续监控和调整策略：

• 交易监控：持续监控自己的交易活动，及时发现和应对潜在的MEV攻击。使用分析工具和监控服务，跟踪交易的执行情况和市场反应。

• 调整策略：根据交易监控结果和市场变化，及时调整交易策略和保护措施，确保交易始终处于安全状态。

OKX Web3 钱包安全团队：我们提炼了几个核心要点，包括：

1. 关注交易深度并设置滑点：关注交易深度，可将大额交易分成小额交易，多次执行，并设置滑点保护，减少被攻击的概率。

2. 使用隐私保护的节点：选用具有隐私保护功能的rbc节点，防止交易被公开，例如flashbot 隐私RPC节点。

3. 选择可信钱包和应用：使用信誉良好提供mev防护的钱包和应用（例如OKX 钱包原生DAPP），避免使用未知或未经验证的服务。

一旦用户钱包资产被盗后，如何补救？

GoPlus 安全团队：许多用户在发现钱包资产突然不见了之后，由于没有很好的处理经验或方法，往往会导致本来能够追回或抢救的资产最终也丢失。为了帮助用户在资产被盗后迅速采取正确的行动，以下是几个关键的补救措施：

第一步：转移钱包内剩余代币

• 创建新钱包：立即创建一个新的钱包地址，确保新的钱包地址和私钥是安全的，未被泄露。

• 转移资产：将钱包内剩余的代币迅速转移到新创建的钱包中，防止剩余资产被继续盗取。

• 取消授权：使用授权管理工具，取消旧钱包中所有不必要的智能合约授权，进一步保护剩余资产。

• 使用抢救工具：必要时使用一些抢救工具和抢跑服务来迅速挽回损失，这些服务可以帮助优先转移资产，避免被黑客的监控程序知晓自动转走转移资产所需要的Gas

第二步：找到被盗问题根因

1、检查设备和账户

• 设备安全检查：检查用于访问钱包的设备，确保没有恶意软件、病毒或间谍软件。使用可信的防病毒软件进行全面扫描。

• 账户安全检查：检查与钱包相关的账户，如交易平台、邮箱等，确保这些账户未被黑客入侵。

2、定位被盗原因

• 私钥被盗：如果私钥被盗，黑客可以完全控制钱包，转移所有资产。如果是EVM的钱包私钥泄露，黑客可以转走多条EVM兼容链的所有资产。检查是否有私钥或助记词泄露的迹象，如通过钓鱼网站输入私钥或助记词。

• 授权被骗：检查是否在不知情的情况下授权了恶意智能合约。使用Etherscan或其他区块链浏览器查看授权历史，识别异常授权。

• 恶意签名：确认是否签署了恶意交易或信息。特别是通过DApp或其他服务签署的操作，识别不明或可疑的签名。

3、审查交易记录：

• 分析交易历史：使用区块链浏览器（如Etherscan、BscScan）查看钱包的交易记录，识别可疑交易和不明资金流动。

• 搜集证据：记录可疑交易的详细信息，包括交易ID、交易时间、对方地址等，为后续报警和调查提供证据。

第三步：报警立案

1、向警方报警

• 联系当地警方：尽快联系当地执法机构，报告钱包资产被盗事件。提供详细的交易记录和证据，帮助警方了解案件情况。

• 立案调查：根据警方要求，填写必要的表格和文件，确保案件正式立案。提供尽可能多的线索和证据，帮助警方开展调查。

2、保持沟通

• 定期跟进：定期与警方联系，了解案件进展情况，提供任何新的线索或信息。

• 协助调查：积极配合警方的调查工作，提供所需的任何信息和支持。

第四步：寻求专业的安全机构帮助，根据资金链路寻求相关交易所对被盗资金进行冻结

1、联系专业安全机构

• 专业协助：联系区块链安全公司或专业的安全机构，请求他们的帮助。专业机构可以提供技术支持，帮助追踪和分析被盗资金的流向。

• 资金追踪：利用专业的区块链分析工具，追踪被盗资金的流动路径，识别资金流向的交易所和最终接收地址。

2、请求交易所冻结资金

• 联系交易所：联系被盗资金流向的相关交易所，提供详细的交易记录和证据，请求他们协助冻结被盗资金。

• 提供证据：向交易所提交警方的立案证明、交易记录和分析报告，证明资金是被盗资产，要求交易所配合冻结。

• 持续跟进：与交易所保持沟通，定期跟进冻结资金的处理进展，确保尽快追回被盗资产。

OKX Web3 钱包安全团队：当区块链用户的钱包资产被盗时，补救措施可能受到限制，因为区块链的去中心化和不可变更性使得一旦交易被确认，通常无法撤销。以下是一些可能的补救措施：

一、立即采取行动

1）分析被盗的原因

• 如果是授权给黑客地址，则需要立即在授权平台取消授权。

• 如果是私钥泄漏，则需要进行全方位的安全检测，明确私钥泄漏的原因，重装系统然后更换钱包。

2）资产抢救

• 如果钱包中还有部分未转走的资产，或正在defi项目中的资产，可以进行资产抢救，减少损失。

3）追踪资金流向

• 可以找白帽子或安全社区成员一起监控资金走向，如果发现流向交易所，可申请对其账号进行冻结。

二、向有关部门报告

1）向钱包客服反馈该问题

2）报警，向警方报告盗窃事件，提供所有相关信息。该信息可以帮助用户，在发现资金流向交易所时，对交易所账号进行冻结。

三、向区块链社区寻求帮助

1）在twitter等相关区块链社媒上发布公告，有时候社区等会协助追踪和阻止盗窃资金的流动

2）提供悬赏奖励，激励白帽子或社区成员帮助找回资产。

四、预防

1）进行教育培训学习，学习更多关于如何保护自己免受未来攻击的知识。

2）使用冷钱包，将大部分资产存储在离线的钱包中。

3）安全备份密钥

总之，虽然区块链技术的特性使得追回被盗资产困难重重，但迅速行动和采取多种补救措施有助于最大限度地减少损失和防范未来风险。

最后，感谢大家看完OKX Web3钱包《安全特刊》栏目的第06期，我们将在最后一期进行《安全特刊》系列的内容汇总，作为收官的一期，不仅有真实的案例、风险识别、还有安全操作干货，敬请期待！

免责声明：

本文仅供参考，本文无意提供 (i) 投资建议或投资推荐；(ii) 购买、出售或持有数字资产的要约或招揽；或 (iii) 财务、会计、法律或税务建议。 持有的数字资产（包括稳定币和 NFTs）涉及高风险，可能会大幅波动，甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您。请您自行负责了解和遵守当地的有关适用法律和法规。