| timezone | UTC+8 |
|---|
GitHub ID: 15998431520
Telegram: @yz
web2前端开发,想要转型web3,喜欢游戏、运动,目前base杭州。
最后一天打卡了,不知不觉28天就过去了。
羡慕学分靠前的同学们能拿到大礼包,我其实也很想要 hh。但是学分应该进不去周前15,同学们是在太卷啦。
作为一名技术,这次实习计划,有些做的不好的点,没有参加休闲黑客松,没有技术产出。也有做的不错的点,相对于自己而言,打拼职场多年,还能静下心,参与一次28天的学习计划,掌握了不少 web3 的行业知识,也算收获颇丰。像很多同学今天分享的,世界就是一个巨大的草台班子,有巨大的容错,不要因为一些阶段性的失败,而去否定自己,保持兴趣方向,再慢的前进也是进步。
后面有机会,也想去参加一些线下的活动,切身感受下圈子的氛围,下面报名了以太共读,继续加油吧!💪🏻
请假一天
今天听了CC姐的分享,主要分两块,一是求职心路历程,从拿到清华读研为开始,在大厂有过运营实习的经历,研一接触 web3 ,平时有自己做小红书的账号,转战到推特平滑过渡,本身形象很好,凭借自身生活随手,已经积累了一些粉丝,研二加入投行,写出了几篇爆款投研报告,在行业内小有知名度,结束了投行的实现后,研三找到了大平台的 BD 岗,然后做到亚太主管。
值得学习的点:
-
强大的毅力、学习能力,拿到清华读研 title ,有了个人标签
-
早早运营个人 IP ,积攒了社区运营能力,为后期转战推特积累经验
-
通过个人 IP 和跑会持续积累人脉,在自己有一定能力时,运用手头人脉资源,转换为自身资源,增强竞争力
-
大多人都想要及时收益,但这不现实,需潜心磨炼强大能力,加一定思考和机遇,收益才会水到渠成
今天听了 Bruce 老师的分享。
老师早起在大三的时候就写过很多技术博客,因此得到阿里巴巴的关注,邀请他社招岗位,但得知未毕业,就给了淘宝的实习岗位,后来顺利转正,工作了一段时间决定进入 web3 。学习了一段时间英语,做了行业的调研,最后拿到了两家公司的 offer ,通过 LinkedIn 找到其中一家的员工,得知待遇受到歧视,从发展的角度选择了另一个。另外 Bruce 老师是 LXDAO 和 ETHPanda 的发起人之一,也是本次实习计划的主导之一。
关于简历
- 格式:有侧重点,注意中英文的空格、标点符号的使用,按照格式化处理,提升印象分。
- 内容:2页纸以内,在精不在多,学历没有优势放在下面一笔带过即可,和招聘方相关的经历放在上面,多用数据说话,避免无效信息。
- 模版:尽量使用成熟模版,老师有推荐。
- 投递方式:内推 > 海投,尽量找理想职位公司的员工,社交平台私信,帮助内推。
关于面试
- 简历需要保证真实性
- 尽量对写过的内容绝对熟悉,提前准备下可能会被问到的问题
- 保持端正态度,无需过于紧张、前辈,双向选择的过程
- 开启摄像头等待,除非对面要求可以不开
今天听了职业分享课。
web3 的发展大致分为三个阶段
- 野蛮期,2015年之前,随着比特币概念的流出,最早接触 web3 的人群,基本为网吧大神,离电脑比较近,在线时间长,玩游戏的同时,还能挖矿,早起的比特币在淘宝交易价格低至几元钱。
- 规范期,2015年随着以太坊的出现,代币走上与实物绑定,行业也进入了高速发展时期,期间吸引了很多的 web2 技术人员,以及想要投资获利者,NFP 黄牛党,炒鞋党的资金流入,是行业逐渐吸引更多人加入。
早起对技术人员的要求,2018年相比于 web2,大专学历也可以入职币安,所以入行早的人员,吃到了大量的行业资源,以及丰厚的经济收益。但现在仍然存在信息差,大部分人们还对 web3 持观望态度,或者根本不关注,入行尚有红利可拿。
求职技巧:
- 熟人内推,因为项目初期的私钥等核心信息,极为重要,经常出现创业团队内部人员,通过窃取私钥,拿走公司所有财产导致项目破裂,所以相比于招聘平台,web3 的招聘更倾向于朋友圈的熟人介绍。
- 官方社交平台,在 web3 很容易找到心仪公司人员的社交账号,比如推特、电报等,通过私信的方式,介绍自己的能力,和想要尝试的岗位,也是个很好的途径。
- 线下活动,往往中大型线下活动,会有几十个团队的负责人到场,也是个介绍自己不错的机会。
今天请假一天!
构思了下Dapp的设计,这次黑客松可能来不及了,先慢慢开发下次在参加吧。
参加了休闲黑客松的 open day ,主持人真的字正腔圆,有种莫名的喜感。听了 Bruce 老师的分享,关于 LXDAO 内部贡献 Dapp 的由来。
- 背景:在社区内部的贡献,很难标准化衡量,导致在分配利益时,会出现老成员占据大部分的场景,导致新成员在为老成员打工,这不是很去中心化的行为方式。
- 解决:以链上记录的形式,每人自行提交贡献值到链上,所以成员都可质疑投票,按贡献值,划分应得利益,让组织做事,参与者贡献变得透明且所有人都可查看,且不可修改,符合去中心化概念
- 发展:早起链上写入, gas 费较高,会存储在本地或云存储,以定期上传的异步方式更新。随着 layer2 的上线, 写入的 gas 费已经可以忽略不计,成员的贡献值数据可以实时提交存储上链。
- 优势:去中心化的方式,使社区成员的贡献,永久化保存,且可观察他人贡献,了解社区发展,保障贡献者的利益,即使更换核心成员,也有溯源。
依旧参加了知识分享会,今天讲的是远程办公的经验和数字游民分享。
之前疫情的时候,每年会有一段时间的居家办公,感觉蛮爽的,没在公司坐班那么累,但背景是需要交流的人,是已经线下再一起接触好久的同事,已经有一些了解基础。反观 web3 的远程,我认为最难的部分是在于,初始信任及工作模式的建立,其实在传统的 web2 也有所谓的 landing 问题,一个新的开发环境的适应。
Echo 老师主要分享的点
- web3 更偏爱面更广的人才,身兼数职的情况在 web3 也是常见的,比如运营兼 BD ,产品兼开发。
- 远程办公的模式,会从传统的 8h 工作制变为 24h 工作制,因为团队成员可能存有时差,但都知道这个任务需要你来完成,所以在他们工作的时间,会给你发消息,而你这边可能还在睡觉,所以要有个时间段的划分,工作时间处理工作事情,生活时间回归生活。
- web3 技术是比较核心的岗位,薪资相对运营 PD 会高一点,但进入核心小组也比较困难,现在技术的缺口也没那么大了。
烟波老师主要分享的点
首先老师的年龄很小,只有 20 岁,但已经有过好几份 web3 的工作经验,和一些伟大的创业者一样,休学进入职场,利用 web3 的远程遍历,游遍了亚太的17个国家,有过不少特殊的经历,主推睁眼看世界,不要被眼前的局限所迷惑,不要内耗自己。
- 选择大于努力,见过很多能力一般的人,因为入行早,得到了颇丰的收益。
- 多走、多看、多交谈,同 level 的人,在不同的环境,生活质量差异很大,能力、环境、基于对人的生活和发展都很重要。
参加了DAO组织如何运行的分享会,了解到LXDAO的发展历程。
- stage1 类似初创公司,少部分人参与核心决定
- 优势:效率高
- 缺点:新加入成员参与意愿低,社区性不强
- stage2
- stage3
- stage4 在主要发展链路上,挂载N个小节点,由每周LXDAO周会提出一些方向,成员可组成小组制定对应完成计划,完成到一定阶段可内部演示,获取积分奖励。多次长期完成任务的小组,可晋升为核心小组
- 优点:组织内部参与度高,利于组织发展
- 缺点:完成质量,无法保障,效率略低,但是符合社区发展需要。
LXDAO目前合作模式为线上+线下,在一些ETH活动上,会组织成员见面。
决策:软共识与硬共识
- 软共识:一些积分任务,无需投票处理,节约人力时间
- 硬共识:涉及资金出入,需展示方案凭证,投票决定,一般为拒绝票数+1,为通过。
- 投票:目前采取人票制,当规模扩大时,可能会采用币票制(以持币数量为投票基数)
完成了部署合约到 Sepolia 测试网,并成功发送消息,看到了日志
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract MessageBoard {
// 保存所有人的留言记录
mapping(address => string[]) public messages;
// 留言事件,便于检索器和区块链浏览器追踪
event NewMessage(address indexed sender, string message);
// 构造函数,在部署时留言一条欢迎词
constructor() {
string memory initMsg = "Hello ETH Pandas";
messages[msg.sender].push(initMsg);
emit NewMessage(msg.sender, initMsg);
}
// 发送一条留言
function leaveMessage(string memory _msg) public {
messages[msg.sender].push(_msg); // 添加到发言记录
emit NewMessage(msg.sender, _msg); // 发出事件
}
// 查询某人第 n 条留言(从 0 开始)
function getMessage(address user, uint256 index) public view returns (string memory) {
return messages[user][index];
}
// 查询某人一共发了多少条
function getMessageCount(address user) public view returns (uint256) {
return messages[user].length;
}
}报名参加了休闲黑客松。
完成了线上留言板的开发,熟悉了 Remix 的使用。
通过了ethernaut 第二关,学习了不少 solidity 的语法,现在可以读懂简单的逻辑,下面是我学习的代码注释,结合 help() 提供的方法,还有仔细阅读通关提示,可以寻求AI帮助(24小时的免费导师)。
// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract Fallback {
mapping(address => uint256) public contributions;
address public owner;
constructor() {
// 默认 owner 是合约创建者
owner = msg.sender;
// 默认 owner 的贡献值是 1000 eth
contributions[msg.sender] = 1000 * (1 ether);
}
// 自定义 函数修饰符
modifier onlyOwner() {
// 如果触发者不是 owner 则抛出 "caller is not the owner"
require(msg.sender == owner, "caller is not the owner");
// 符合条件则继续执行
// _ 代表执行原函数逻辑
_;
}
// 提交贡献值(通过 ABI 调用)
// payable 函数修饰符 允许交易以太币
// 需要传入一个对象 { value: 1 }, 1 代表 1 wei
function contribute() public payable {
require(msg.value < 0.001 ether);
contributions[msg.sender] += msg.value;
if (contributions[msg.sender] > contributions[owner]) {
owner = msg.sender;
}
}
// 查询贡献值
// view 函数修饰符 表示只读,在调用查询时,不消耗 gas (一种优化手段)
function getContribution() public view returns (uint256) {
return contributions[msg.sender];
}
// public 函数修饰符 内外都可调用
// onlyOwner 自定义修饰符,需参照函数实现
function withdraw() public onlyOwner {
payable(owner).transfer(address(this).balance);
}
// external 函数修饰符,只可外部调用,节省 gas
// payable 函数修饰符 允许交易以太币
// 类似于钩子函数,外部转账时会触发
receive() external payable {
// require 类似于 if,满足条件继续执行
require(msg.value > 0 && contributions[msg.sender] > 0);
// 满足 ‘转账金额 > 0’ 且 ‘贡献值 > 0’ 则会成为 owner
owner = msg.sender;
}
}第三关
通过条件:成为合约的 owner
解法:直接调用 contract.Fal1out() 方法即可
优化:Fal1out 应该使用 contructor 关键词来定义,而非自定义函数(会有安全漏洞,任何人都能成为合约的 owner)。
Ethernaut 第一关过了,熟悉了 contract 的一些方法,争取睡觉前把前三关都打过去。
学到个知识点,基本所以合约都是开源的,所以学好 solidity 就能避免被骗,因为能看懂合约(hh)。
今天依旧参加了分享会,发现我8月8号写的笔记被拿出来点评了下,还蛮惊喜的,老师说在他们的工作群还讨论过,让他们感觉到做这件事还是很有意义的。然后就是同学们的学习分享(运营向的分享因为有事情没怎么听),技术向的分享,7姐搞了一套合约钱包的交互,支持了多个钱包的选择,以及场景社交账号的授权登录,眨一看蛮吊的,应该是某个开源项目的魔改版,还有几个同学都分享的自己的Dapp,大家都有自己的产出,值得学习!
昨天试了下 ethernaut 蛮有趣的,过了一关。
周末也要补一下动手部分的债了,也得支棱起来呀。
依旧参加了知识分享会
今天的主题是:Dapp开发、Gas费优化、审计技巧。
-
Dapp开发:主要讲了下合约部分的代码,吐槽了下 solidity 优化做的烂,需要自己写些汇编,无法依赖AI,说AI不理解汇编,提供的代码有问题还不如 debug(我觉得还是喂的上下文不够多吧?),依旧使用 solidity 的原因是安全性(嗯、毕竟金融相关,安全第一)。
-
Gas 费优化,分享了一直模式,但是老师并没再用,因为他们项目那块合约只有两个人开发,都比较注重 Gas 费的优化,又说这个项目对 Gas 优化没那么关心(嗯,你说啥是啥吧,也不知道你做的是啥)。
-
审计技巧:跟着 uniswap 沾光,有多家审计机构,可以提供代码,这些机构会报价,可以在报价的机构中选择一个(理解就是把QA的工作外包出去?),然后审计完成会给出一些修改建议,有的审计机构会提供工程师的名字,有的则以忙为接口不会提供(提不提供名字, emm真的很重要吗? 审计完成后,也不会在有联系吧)。然后有的审计机构有类似于质保的概念,审计完成后一个月资产出现问题,包赔一部分? 若想延长期限,则需要加钱!
参加了今天的知识分享会
老师会前给了学习资料,需要安装 Docker 和 Kurtosis CLI 环境,这周有很多技术实操的债,周末补上吧。听了比特币和以太坊的区别,比特币需要消耗大量电量和算力,而以太币依赖实体和共识机制,可减少99.99%的电力和算力的消耗,目前加入以太坊共识机制的成员已经超过110W,他们用实体货币兑换了ETH,这110W人所有的EHT总量约3500W,以太坊目前发行了1.1亿左右,约占1/3。这些成员保证了以太坊的去中心化服务的运行,想要颠覆这个机制,则需要超过一半的人力和ETH才可以,随着以太坊的发展,这种可能性趋近于0,所以在未来,以太坊的规模还会持续增长。
-
分支策略(同 web2)
-
提交信息规范 (同 web2)
-
PR流程 (同 web2)
-
Issue 管理
- 推荐结构:背景 + 问题 + 尝试过的方法 + 环境信息
- 开源协作礼仪
- 所以代码变更需配测试和文档
- 保持沟通公开透明: Prefer PR 评论而不是私信
- 使用讨论区提重大设计变更
参加了晚上的知识分享
听了Q老师的分享(都讲完了发现PPT还在第一页,一群人傻傻的听着hhh),了解到了web3在金融属性上的优势,传统的金融组织,比如银行、红十字会,有大笔的资金流入,但流出走向并不明确,只能通过每半年的财报公示告知,具有滞后性和造假可能性,但区块链金融,每个人都可以看到资金的流入流出,及时性和公开性极强。而且现在稳定币已经有机构推出类似于银行卡的卡片,打破了代币不能及时消费的问题,在未来web3的金融属性还会大有市场。
- 最小权限规则
- 模块化结构(便于审计)
- 显式错误处理 与 事件记录
- 重入攻击 Reentrancy
- 利用外部合约在 fallback 中重新调用原函数。 历史上著名的 The DAO 事件便因重入漏洞导致约 6000 万美元 ETH 被盗,最终造成以太坊社区分裂(ETH / ETC)
- 防护方法:先更新状态,再转账
- 预言机操作 Oracle Manipulation
- 依赖外部价格源的不可信更新
- 解决办法:
- 使用 Chainlink 等权威价格源
- 增加时序约束和多源验证
- 使用 TWAP 等加权算法
- 整数溢出/下溢
- 使用
unchecked {}时需确保逻辑安全 - 推荐使用 Solidity 0.8+ 的内建溢出检查或
SafeMath
- 权限控制缺失
- 所以管理函数应使用
onlyOwner或AccessControl修饰符保护
- 未初始化代理
- 基于代理模式的合约未正确执行初始化函数,可能被任意人 初始化 并 接管合约
- 著名的例子包括 Harvest Finance 其在使用 Uniswap V3 做市策略的 Vault 合约中存在未初始化漏洞,如果被利用者攻击可销毁实现合约。该团队曾为此漏洞支付高额赏金修复。
- 前置交易/三明治攻击
- 攻击者在交易执行前后分别发送交易,以不利滑点或套利为目的。
- 例如2025-3,一名用户在Uniswap V3 的稳定币兑换中遭遇三明治攻击,约21.5万美元的USDC 兑换几乎被抢跑,损失了98%的资金。
审计的必要性
- 智能合约一旦部署无法修改,审计是风险控制的关键手段。
- 资金安全:避免用户资金被盗
- 法律合规:一些监管要求必须审计证明
- 常见的合约审计攻击
- Slither:以 Python 编写的静态分析攻击,可检测安全漏洞和代码规范为题
- 常用命令为
slither MyContract.sol(也可指定合约地址)来扫描合约代码 - 使用方式: 见官方文档
- 常用命令为
- MythX:基于云平台的安全分析服务,支持命令行和API调用
- 使用CLI时,可执行类似
mythx analyze MyContract.sol进行安全扫描 - 使用方式: 见官方文档
- 使用CLI时,可执行类似
- Foundry:高效的 Solidity 开发测试框架,支持属性测试(模糊测试)
- 可使用
forge test - 使用方式: 见官方文档
- 可使用
-
审计标准流程
-
静态分享:使用 Slither、Mythril 扫描代码缺陷
-
动态测试:模拟攻击行为和极限条件 3.人工审查:由资深审计员检查业务逻辑漏洞 4.审计报告生成: 明确发现的问题及修复建议
-
知名审计机构
- 慢雾科技 国内零星,注重攻击复现 EOS、币安、火币
- OpenZeppelin 社区信赖度高,基础库作者 Compound、Balancer
- ConsenSys Dillgence 静态以太坊底层原理 Uniswap、1inch
下午参加了以太坊周会
晚上参加了技术的知识分享会
知识分享会还是能听懂一部分,以太坊周会真的听得云里雾里的,感觉讲述方式就是对着一堆文稿,小白真的很难跟上节奏。
- 每个solidity 文件的首行需要有个版本声明
pragma solidity ^0.8.0 - 基本数据类型 bool、uint8、uint16、uint256/uint、int8、int256/int、bytes1 ~ bytes32、byets、string,比较特殊的是 address 为以太坊地址,以ox开头的。
- 符合数据类型 T[k]、T[]、mapping(k => v)、struct、enum
- 函数修饰符 public(内+外)、external(外)、internal(内+继承)、private(内)
- 状态修饰符 pure(不可读写)、view(只读)、payable(可读写) 和无修饰符,修饰符决定了 Gas 消耗,pure 最低,payable 最高。
- 只能合约本质是一个状态机,通过交易改变合约状态
- 事件驱动编程
- 模块化设计 通过继承和库实现代码复用和模块化。
- 交互流程
- 初始化链接:前端检测并链接web3提供者
- 用户授权:请求用户授权访问钱包 3.合约实例化:使用ABI和合约地址创建合约实例 4.函数调用:通过合约实例调用只能合约函数 5.交易签名:钱包对交易进行数字签名 6.广播交易:将签名交易发送到区块链网络 7.状态更新:获取交易结果并更新到前端界面
- 关键技术栈 1.合约语言:Solidity 不过一般会有专门的开发,会的话更好理解流程,或者可以全栈 2.一些web3的包,如Viem、Wagmi较新是目前常用的,Web3.js/Ethers.js慢慢被淘汰掉了 3.状态管理:同web2吧,比如 React Context 等 4.网络异常、用户拒绝、Gas不足时等场景处理
-
较少存储操作
- 读取第一次存储要2100gas(后续100gas),而内存读取仅3gas。推荐多次访问同一存储数据时,将其缓存到内存以减少 SLOAD 次数
- 每次写入
storage的成本高达 20000 gas; 有限使用memory
-
使用位压缩(Bit Packing)
将多个变量压缩到一个
unit256中以节省存储空间。 -
循环优化
减少不必要的运算,比如把
array.length缓存到变量中 -
函数可见性选择
external 比 public 更节省gas,适用于仅被外部调用的函数
今天工作比较忙,没有额外的学习,但是有参加周五晚上的分享会。
其实也想分享一点,但是没有🙋🏻♀️,在这里写一写吧。
其实我已经工作很多年了,从事web2的前端开发,收入稳定压力也不算大,对于个人而言,属于满足了入行前的所有期望,但在舒适区久了,人就会失去前进动力。目前的工作看似稳定,但也存在很多危机,随着AI发展,行业所需要的大头兵会越来越少,行业本身也有所谓的“35岁危机”,基于这些背景,需要在危机爆发前,提前找些出路,因为朋友有从事web3的开发工作,了解了远程办公的办公方式,从而有了想了解web3加入web3的想法。
加入训练营一星期,收获很多,有非常棒的学习环境,主办方提供了极其专业的知识库,比如区块链的由来、法律合规、岗位介绍等,参加的人群也都是学生为主,让我感受到很多年轻的活力。刚才的例会上,有人修了“第一个NFT”的BUG,有人分享了“密码学和区块链的关系”,有人分享了“被欺骗ETH的经历”,有人分享了“B站脱坑钱包助记词的骗术”,也有人单单表达对LXDAO尊敬和向往,他们都有勇气站出来讲一讲,真的很棒! 值得学习。
这周对我来讲,收获比较大的,一个是状态方面,从每天下班,只想玩玩游戏休闲一下,到现在每天都参加分享会,和打卡学习写笔记,我觉得这是一个良好习惯的养成,非常棒棒的收获!另一个学习了一些干货,关于入职web3公司的法律合规问题,以及薪酬发U是否靠谱,还有就是对区块链的技术学习,动手完成了我的第一个NFT,学会注册使用ZOOM、Telegram、领英等入行需要常用的APP,还完成了钓鱼攻防战的初级、中级挑战,总体第一周的学习我认为是成功的,符合我参加之前的预期,期待下面的实战内容和休闲黑客松,和各位佬们互相学习,加油!💪🏻
- 在对外贸易交易时,若使用U币来交易,需推理辨别对方的U币来源,避免参与黑钱洗钱活动,尽量使用法币交易。
- 作为技术人员,在工作时,需知晓开发的内容是为大陆居民提供服务,若是的话,则是违法行为。
- 目前以U作为工资结算,不算是偷税漏税,因为国内法律规定,代币不作为有效交易货币,所以税务若征税,则变相认可了代币的价值,但若产生纠纷,也无法收到法律保护。
- 使用React、Vue完成交互界面,支持钱包连接、交易签名、信息验证等功能
- 与后端团队协作,基于GraphQL 或 RestfulAPI 获取链上和链下数据。
- 优化性能,保证不同浏览器的兼容性
- 继承优化智能合约交互,保证用户界面的稳定性
完成了NFT铸造
https://sepolia.etherscan.io/tx/0x5e9d93811dba512ea7b1c7d84049579693ab45a81f3c8dca07854e60023cc044
学习了web3的合规与网络安全
- 国内禁止ICO(首次代币发行)
- 明确虚拟货币不具有法偿性,不得作为支付工具
- 打击以虚拟货币作为载体的,洗钱、传销、非法集资、赌博等活动
- 禁止海外平台向境内居民提供服务
- 民事争议不收法律保护
- 雇用形态,许多项目方在境内无注册公司,不具备用工主体资格,因此难签订有效的劳务合同,也无法缴纳五险一金。一旦发生薪资争议,员工难以得到法律保障。 所以为了解决漏洞,会委托国内的公司与员工签署合同类似外包的形式,但发生纠纷,劳动关系仍是需要关注的重点。
- 薪酬结构及风险 根据《劳动法》应以人民币支付,但行业内常见为“人民币 + token”或“全USDT”模式,但背后存在多重法律与税务风险,尽量找人民币支付的工作。
- 虚拟货币出金与合规风险 主流方式C2C,包括场景挂单、场外担保交易、OTC交易群等。可在谈薪时与公司商议支付形式,尽量以人民币为主,若一定要出出金,走正规平台,避免参加灰色交易,并定期存留相关资金合法来源,以便自证清白。
- 项目合法性需提前审查 查阅项目白皮书,token分发机制、收益模型、是否面向境内用户、返利结构、投资承诺等
- 钓鱼攻击 通过伪造网站、社交账号、邮件、短信等,原则是不认识的人发来的链接,不要点击。切勿泄露敏感信息(私钥、密码、助记词等)。面试要求使用zoom、腾讯会议等大厂出品的面试工具,拒绝不明在线工具或者下载app等。
- 恶意软件/木马 伪装成学习软件、浏览器插件 在下载必要软件时,需认真辨别是否为官方出品,尽量从官方渠道下载,如app store、google play,如需从浏览器下载,甄别好是否为广告,是否为伪官网。
- 社交远程攻击 伪装熟人(HR、导师、同学等)套出有效信息,获取信任然后诱导操作。涉及关键信息(比如转账),与对方电话确认,确认无误后再进行对应操作,提高警惕!
- 供应链/第三方攻击依赖 恶意插件、开源库后门、官方渠道被劫持,很难预防,转账时确认好校验地址的前后4位!
- 地址污染与扫描木马 剪切板劫持、输入框监听,一旦检测到钱包地址,自动替换为攻击地址,还是检查好转账的前后4位
- 传统隐私与账号安全风险 弱密码/密码复用,sim卡劫持、双因素认证缺失。 重要账号启用2FA,不要在同一浏览器保存助记词与日常cookie,使用密码管理器,不同平台设置不同密码,邮箱、手机号安全重于一切,定期更换密码,防止被劫持。
1、区块链运行的疑问
2、公链、联盟链、私链的概念 区块链类型 节点加入方式 数据可见性 管理模式 适合场景 公链 任何人自由加入 所有人可见 去中心化(大家投票) 加密货币、公共存证 联盟链 需联盟成员邀请/审批 仅联盟成员可见 多中心化(董事会决策) 供应链、金融协作 私链 由老板严格审批 仅内部成员可见 中心化(老板说了算) 企业内部管理、审计
3、web3 核心优势
4、web3 与 web2 的对比矩阵 维度 Web2 Web 3.0 Web3 控制权 平台垄断 部分开放 用户自治 数据存储 中心服务器 混合存储 区块链 / IPFS 支付系统 信用卡 / 支付宝 集成支付 加密货币 典型技术 JavaScript RDF / OWL 智能合约 代表企业 腾讯 / 阿里 W3C / DBpedia Uniswap / ConsenSys
5、优势 ● 交易不依赖第三方企业 ● 隐私性强,无法被追踪(虽然知道钱包hash,但不知道主人信息)
6、挑战 ● 公链的数据量庞大,读写时间日益增长,各大公链目前通过切片和layer2等方法处理 ● 虽然区块链数据可以保证安全,但是因为代码漏洞和DAO组织投票可能会导致重大损失 ● 体验成本,gas费不固定 ● 法律合规问题