Logo
OPML 社媒 工具 提交 English RSS

site iconsmallyu

博客 编程 区块链
区块链行业的开发者。
RSS: https://smallyu.net/atom.xml
请复制 RSS 到你的阅读器,或快速订阅到 :

Inoreader Feedly Follow Feedbin Local Reader

smallyu RSS 预览

硬件钱包与资产安全

2026-01-25 16:04:40

加密货币的资金管理,从最安全到最不安全的方式排名是:

  1. 家族信托
  2. 硬件钱包
  3. MPC钱包
  4. 交易所托管
  5. 热钱包

如果你不在乔布斯排行榜上,家族信托就跟你没关系。对于个人而言,硬件钱包是目前最安全的方案。

这里没有提多签钱包、助记词+Passphrase 之类的方案,因为那些方案在技术手段上复杂到你都用不明白,复杂的方案是无法长期留存的,反而会增加遗忘的风险,更不可靠。

那么有几个需要更正的对于硬件钱包的认识:

  1. 硬件钱包是钥匙,不是保险柜
  2. 钱是存在助记词上,不是硬件钱包上
  3. 硬件钱包输错密码会直接清空数据
  4. 助记词不是打开保险柜的备用钥匙,助记词是保险柜本身

而助记词安全也有几个有意思边界:

  1. 你无法验证助记词是否已经泄露
  2. 如果你不把助记词拿出来,就无法验证助记词是否正确
  3. 你把助记词拿出来的行为本身,就增加了助记词暴露的风险

所以去中心化资产在给你带来控制权的同时,也要求你自己承担资产安全的风险。

预测市场比币圈更赌场

2026-01-15 08:43:43

  1. 预测市场不存在长期主义
  2. 预测市场一定会有明确的结果
  3. 输的归零,风险不低于合约,高于现货,合约可以加仓,预测市场没商量
  4. 所以预测市场无法用于投资
  5. 预测市场的技术实现不是去中心化的,所以跟 web3 没关系,定位上类似于币安等 CEX
  6. 所以预测市场比土狗盘还残酷

为什么去中心化的跨链桥不可能实现

2026-01-13 12:05:36

准确来说,是 Trustless 的跨链桥不可能实现。因为一般认为去中心化就意味着 Trustless,虽然实际上去中心化是在信任一个 Permissonless 的群体。

不纠结这些具体的名词。现在的各种跨链桥方案,以及未来的跨链桥方案,一定都做不到纯粹的、工具性质的、数学证明的、轻量级运营的、去中心化的形式,能够满足物理隔离的、异步的、异构链之间的跨链。

先列举一下现在的跨链桥方案,以 BTC 到 ETH 的跨链为例:

  1. 公证人模式,也就是中心化的模式,把 BTC 打给一个中心化机构,机构再把 ETH 打给你指定的地址。安全性依赖中心化机构,没什么可说的。现在大多数跨链桥都是这种传统的模式,最多就是机构内部多签。

  2. TSS 密钥分片、多签,相对去中心化。把 BTC 转给一个第三方的链比如 Thorchain,在 Thorchain 中,有多个节点分别持有 ETH 链上资产的密钥分片,每个节点分别扫描和验证 BTC 的交易信息,达到一定阈值则多签的签名生效、在 ETH 链上放行资产。

    这种模式把公证人给去中心化了,有多个节点在共同验证来源交易是否正确。这是目前相对来说比较靠谱的、依赖社区博弈的方案。因为 Thorchain 本身就是一条链,想成为持有密钥分片的节点就需要质押 Token 等。TSS 的签名算法比较消耗计算资源,做不到同时分发太多的密钥分片,所以持有分片的节点数量在一定范围内。像所有的 PoS 链一样,表面上是去中心化的,实际上是 Permissioned 的,只不过是权限的门槛高低不同。

    TSS 确实把跨链桥去中心化了,但是引入了 BTC 和 ETH 之外的第三条链,而第三条链的安全性又依赖于它自己的经济学博弈,本身就是风险。所以这种模式可靠但不够纯粹。

  3. 合并挖矿,特指资产的来源方是 PoW 链,让 BTC 的矿工在挖矿的时候,把跨链桥的某种证明信息给带上,一起挖到 BTC 的区块信息里。那么 BTC 的区块信息本身就包含了跨链信息。这种方式非常可靠但是不可行,因为矿工不可能配合跨链桥干这种事情。

  4. HTLC,本质上是资金的对敲,对实时性要求比较高,必须双方同时在 BTC 和 ETH 在线交换密钥,而且 HTLC 只能做到资金的交换而不是跨链,涉及到汇率的问题。

  5. 全验证轻客户端,也就是在 ETH 上运行 BTC 的轻客户端,比如让每个 Geth 节点都可以同步和验证 BTC 的全部区块信息,那么 Geth 本身就是一个轻量级的 BTC 客户端,自然也能够实时地、无需第三方信任地把 BTC 交易信息同步到 ETH 的智能合约上。但是这样显然成本太高了,相当于一个客户端同时兼容了两条链。

  6. ZK 跨链桥,运行一个 BTC 的轻客户端,把所有区块信息生成电路证明,然后在 ETH 上部署一个 Verifier,只需要验证很小的证明就可以相信来源信息是正确的。那么这种 ZK 模式的问题在哪里?ZK 并没有黑魔法,它的问题在于,需要在 ETH 上部署一个 Verifier。也就是说,你不需要关心是谁、是怎么生成证明的,但是你必须相信在 ETH 上的 Verifier。那么 Verifier 的代码本身、背后的开发者、来源是否可信任又是一个问题。

  7. TEE 硬件设备签名。比如在一个 Intel 的服务器上,同步 BTC 的区块信息,然后用 TEE 内置的私钥签名,证明这个信息一定来源于这台设备。然后在 ETH 上,只需要判断来源签名是否来自于那台硬件设备,就可以证明信息是否安全。TEE 方案最大的问题自然是单点风险。

各种方案对比下来,似乎根本找不到一种让人满意的方式。为什么会是这样?

  1. 分布式系统中的两军问题(Two Generals’ Problem),这是计算机科学史上第一个被证明无解的问题。这个问题具体的定义不重要,重要的是它早已被科学界证实无解。

  2. 计算理论中的预言机问题(The Oracle Problem),每一条区块链本身都是一个确定性的状态机,它是封闭的、可被验证的、可被重复计算的。如果要和外部通信,就必然需要引入信任模型、经济学博弈、密码学证明等,这些内容会让跨链方案不再纯粹。

所以去中心化的跨链桥这个问题,已经触及到了计算机科学的理论边界,不是工业界无能,而是这个问题本身无解。

  1. 有趣的是,Vitalik 早在 2022 年就发表过一个 观点,未来的区块链是多链的(multi-chain),而不是跨链的(corss-chain)。因为即使存在可靠的跨链工具解决了通信问题,ETH 仍然需要信任 BTC 的共识机制。假如 BTC 网络分叉,ETH 不可能跟着 BTC 的分叉去重新分配资金。这同样是一个无解的问题。

这种跨链桥方面的技术边界可以带给我们启发:

  1. 不存在无需信任的技术方案,只有信任转移、最小化信任
  2. 工程架构不可能完美,大多数时候需要权衡

我对于 AI 时代的答案

2025-12-02 15:09:32

当我的工资从每天 ___人民币上升到每天 ___美元的时候,我开始思考是什么让工资增长。

得到的结论是:

  1. 技术能力的提升

然后我继续思考这几个问题:

  1. 什么样的技术能力算是好
  2. 什么样的技术能力是稀缺、长久的
  3. 如何提高技术能力

所以多年以来,贯彻我人生的思路就是:如何提高技术能力。最明显的体现是,如果工作不能让我成长,就换工作。

那么对于 “如何提高技术能力” 这个问题,我的答案是:

  1. 关注底层原理和实现,而不是应用层的框架和接口
  2. 需要具备在复杂代码中找到并调试关键流程的能力
  3. 实际参与一些比较前沿的、像样子的项目
  4. 自己模仿实现一些比较底层和看起来硬核的项目
  5. 关注技术理念而不是具体实现
  6. 知道王垠课程所代表的 “计算的本质”

事实一

但是紧接着,我发现了一个令人不安的事实:

  1. 工资的高低、工作是否稳定,和技术能力的好坏没有必然的联系

得到这个结论有这样几个原因:

  1. 我不认为自己技术能力不合格,但是我遭遇的面试结果为不合适的情况,非常非常多
  2. 我不认为自己技术能力不合格,但是我亲眼看见水平很一般的人在做领导、面试官
  3. 我不认为自己技术能力不合格,但是我的工作很不稳定
  4. 有的人出生就在罗马

事实二

与此同时,我发现另一个令人不安的事实是,AI 在改变游戏玩法:

  1. 普通人和知识渊博的专家之间,差距只是一个 Gemini
  2. 程序员不再需要手写代码

AI 引起的变化非常大,直接改变 “如何提高技术能力” 这个问题的答案:

  1. 写代码的能力完全不重要,掌握多编程语言的能力完全不重要
  2. 在领域内的经验不再需要积累,一问 AI 全是标准答案

复盘一下我之前犯的错误:

  1. EchoEVM,在半年前,开发这样的东西似乎是有意思的。半年后的今天,AI 可以轻易开发出完整的项目。所以 EchoEVM 不再有意义。
  2. EthBFT,在 2 个月前,开发这样的东西也许可以看到 AI 能力的局限性。但是现在,AI 在逐渐突破以前的局限。所以 EthBFT 也不再有意义。

EchoEVM 和 EthBFT 的共同特点,是偏低层、侧重技术的实现,试图用硬核项目来证明自己的技术能力。然而在拥有 AI 的今天,这种硬核的代码能力恰恰是 AI 最擅长、最先取代的。


新的问题

结合这两个令人不安的事实,需要回答的新问题是:

  1. 如何提高自己的竞争力、稀缺性、硬实力、挣更多钱、不被时代淘汰

新的答案

那么对于新的问题,我的答案是:

  1. 提高发现问题的能力

对答案的解释

你也许会说,这不废话吗,自古以来,发现问题的能力都是重要的。

不,这不一样,在没有 AI 的时候,你可以不需要有判断力,不需要能够发现问题,哪怕只是听产品经理的话来实现功能,也就是干好程序员的活,就可以活下去。

但是 AI 取代了这种只会听话干活的人。

“发现问题” 同时涵盖技术领域和非技术领域,在技术领域,发现代码有没有问题、功能设计是否存在漏洞、业务的边界条件是否缺少约束;在非技术领域,发现用户有哪些实际的需求,发现市场有哪些比较大的空缺。

那么为什么没有把 “提高判断力” 放到答案中?因为判断明天的股市涨跌也算判断,这种能力是无法验证以及无法通过努力提高的。

进一步问题

还没完,对于新的答案,有两个问题:

  1. 如何提高自己发现问题的能力
  2. 与代码能力不同,发现问题的能力该如何量化、与他人比较

对于 “如何提高自己发现问题的能力” 的问题:

  1. 只有见过更好的,才能知道现在看到的有什么不足。所以要事事都向上看齐

对于 “发现问题的能力该如何量化” 的问题:

  1. 技术方面,把发现的问题落实到技术文档、设计文档、架构文档上
  2. 非技术方面,把发现的问题记录下来,比如博客、日记,文字可以记录思考的过程

不要投资任何隐私币

2025-11-17 22:36:29

  1. 除了试图犯罪以外,真正需要协议级隐私的场景很少
  2. 协议级隐私带来的是技术上的极度复杂、使用体验差
  3. 假如 ZEC 使用 100% 的 z 地址,CEX 首先会下架 ZEC
  4. 任何代币只要全过程匿名,将要面对的不只是CEX下架,还有各国政府的封禁
  5. 大型机构绝不会也不可以投资隐私币
  6. 隐私币绝不会成为国家储备
  7. 任何代币,只要警察对你进行物理监禁,技术型隐私就毫无意义
  8. 你需要生活在真实的世界中,而不是网络中