🛡️ Vercel 重大安全事件爆發！幣圈開發者們，這波供應鏈攻擊值得高度警覺！（2026/4/19） 今天 Vercel 官方確認發生安全事件：一名員工使用的第三方 AI 工具 被駭，導致攻擊者透過 Google Workspace OAuth 入侵內部系統。雖然只有「有限子集」的客戶受到影響，但駭客已取得部分未標記為 sensitive 的環境變數（env variables），包括 NPM token、GitHub token 等高敏感憑證！ 更嚴重的是，ShinyHunters（曾搞出 Ticketmaster 大洩漏的那群人）已在 BreachForums 上以 200 萬美元 標價販售 Vercel 內部資料庫。Vercel 擁有 Next.js（每週下載量高達 600 萬次），一旦惡意程式碼被推上去，全球供應鏈瞬間中招！ Vercel 官方已緊急聯絡駭客、聘請 Mandiant 調查、通知執法單位，並公開 IOC（OAuth App ID）。他們也建議所有用戶： - 立即審核 Activity Logs - 旋轉所有 env variables（尤其是 API key、資料庫憑證、簽名金鑰） - 未來務必把重要 secret 標記為 “Sensitive” - 檢查最近的 Deployment，有疑慮就刪除 - 啟用 Deployment Protection（至少 Standard 等級） 🔥 幣圈重點來了！ 現在的 Web3/幣圈，已經不止要防智能合約漏洞了！ 人為疏失 + 第三方工具風險 才是真正的大魔王： 1. 人為疏失：開發者為了方便，把 Google Workspace、AI 代理工具、CI/CD 權限全部串在一起，一個 OAuth 授權就全盤皆輸。 2. Vercel 這類工具：Next.js、Vercel 已經是無數 dApp、前端專案的部署主力。一旦供應鏈被毒化，錢包合約、Bridge、前端 UI 全都可能被植入後門。 這次事件再次提醒我們：零信任（Zero Trust）不是口號，是生存法則。 - 不要再把「方便」當成安全 - 所有 secret 永遠當成已洩漏處理 - 第三方 AI 工具、OAuth App 都要嚴格審核權限 立即行動清單（推薦複製給團隊）： ✅ 檢查 Vercel、NPM、GitHub、所有 API key ✅ 啟用 sensitive env variables ✅ 審核過去 72 小時的部署紀錄 ✅ 考慮把關鍵專案遷移到自管基礎設施或更嚴格的權限控制 Vercel 這次 DM 駭客「拜託停手」的畫面真的蠻震撼的… 這不是單一事件，而是整個開發生態的警鐘！

博士班將畢業要上就業市場的時候，我聽從了當時正因為Freakonomics火紅，芝加哥大學教授Steven Levitt公開的建議，取了個美國化的名字。他說他都這樣建議他為數眾多的國際學生這麼做，因為他的研究證實，「名字」充滿了許多訊息，會給僱主認識到你是不是非常願意融入環境、擁抱當地的文化，你是不是想和其它人一樣，而決定要不要給你加分。講到這裡，就很多人想要舉反例，但是愛舉反例的人，常常不了解這種實證研究的意義，就業結果的差異，當然是有很多因素造成，但這種設計良好的實驗，真正的解讀方法是，「如果兩個各方面都一模一樣的人，取了一個美國化的名字那個，會有比較好的就業結果」。我那一年的就業市場正在金融風暴的谷底，任何一點加分的機會，我當然不能錯過。 Levitt的意見，放在今時今日，那是非常政治不正確的。我都可以想見各式各樣的批評，「死白男，你憑什麼要人家放棄自己的身份認同」「為什麼不擁抱自己的文化」「你很好，沒有需要改變」「是別人該來學你的名字怎麼唸，而不是你要配合他們」「世界本應該如此多元」諸如此類的看法。如果是個人的價值觀，自我的選擇，我都沒有意見，但在現實上，這些批評並沒有辦法改變這個世界上，人生下來就存在的偏見，也許社會比較文明了，社會比較多cancel文化了，這些偏見不敢顯露出來，但一直都在而去除不了，只是變成隱性的偏見而已，這也是Levitt和Ronald Fryer等人研究的價值，人是會說一套，做一套的，所以有人選擇保留自己驕傲的一切，有人極力融入新社會，那都沒有關係，「名字」的訊號傳遞機制，不會因為你做了什麼，或是不做什麼，而失去作用。所以，你看為什麼這麼多東亞移民，給小孩取名字，都是非常美國化的名字，那是一個想要融入的心情，那是一個務實的心態。反觀印度人...... 但這些強調要政治正確的左派意識型態，其實還是有害的。首先，這些高大上的多元價值讓新世代對社會的運行有誤解，造成他們的認知和現實有落差。但更大的問題是，這種多元價值幾乎都不可避免地變成紅衛兵的鬥爭手法，為什麼Levitt現在不太敢再講這些實證上反多元的研究？因為那是會被人cancel的大逆不道言論。現在美國的教育界，不管是中小學，還是高等教育，通通是這種多元的氛圍，所以多數的老師，自己言論審查的厲害，而一旦開始懼怕被告發，那就當不了老師了，因為老師很多時候，是要「教育」學生，是帶有價值判斷的傳道責任。而一旦老師不敢要求，那學生其實就失去了學習做人做事道理的機會。一如我之前所說，大學的價值一在credentials，二在無憂無慮的四年探索，而如果老師都是畏首畏尾，那這個探索的過程，這個讓青少年成熟的獨特經歷，就少了一些能導正行為和看法的力量。 所以，我的課，不准用手機和電腦。學生可以遲到，可以中途離席上廁所，但我都很明白告知，你有你的來去自由，但你要知道，每個人心中都有一本帳，記載了和所有人的往來好壞，你每次上課都要晚來，或者是都要用上課時間上廁所，你雖然不會在這堂課被扣分，但你在我的私人帳裡，會一直都是負值，你的印象分數就是負的。當你身邊的人，對你的帳上，記的都是這些負值，你就把自己在社會成功、人生幸福的機會一降再降，如果不自己想辦法改變，那也不要日後悔恨。是的，我就是那個沒有政治正確危機感的說教老頭，但這不就是學校給我終身職的立意初衷？

Saylor 轉向「小賣 BTC 付股息」？Strategy 歷史首次大轉折，影響一次看懂！ Michael Saylor 最新在 Q1 2026 財報會議上公開表示：Strategy未來可能賣少量比特幣（例如每月約 0.18% 或 2.3% 左右）來支付 $STRC 優先股的 11.5% 股息，同時繼續發新股/債籌資買更多 BTC，維持「淨買入 + 正 BTC yield」。 👉🏻先回答大家最關心的：之前有賣過嗎？ 有，但極少、極早。 2022 年 12 月，BTC 跌到 1.7 萬刀時，MicroStrategy 賣過一次 704 BTC（約 1180 萬美元），那是他們從 2020 年開始囤幣以來唯一一次賣出。之後 3 年多完全零賣出，狂買到現在 818,334 BTC（平均成本約 7.55 萬刀）。這次是第二次，但從「絕對不賣」變成「策略性小賣」。 這次操作的可能影響（正負面一次講清楚）： ✅ 正面影響（長期看超利多） 1. 吸引更多機構資金：把 Strategy 變成「BTC 收益型產品」，股息穩定吸引保守資金，籌資更容易 → 買更多 BTC，形成正向循環。 2. BTC 供需更健康：小賣 → 付息 → 吸引新錢 → 大買，實際上是「用 BTC 當抵押品」借未來成長付現金，類似永續債。 3. 市場成熟化：Saylor 自己說是「inoculate the market」（給市場打預防針），讓大家知道 BTC 也能產生現金流，不再只是純 HODL。長期有助 BTC 成為主流儲備資產。 4. BTC per share 仍上升：只要 BTC 年化漲幅 > 2.05%，就能永續付息不稀釋股東，Saylor 說這是「輕鬆達標」。 ❌ 負面影響（短期風險） 1. 市場情緒衝擊：打破「永遠不賣」的鐵律，社群已經炸鍋（「never sell 呢？」「Ponzi？」），可能引發短期拋售壓力。新聞出來後 MSTR 盤後已跌 4%+。 2. 如果 BTC 大跌：債務 + 股息壓力可能逼迫賣更多，變成惡性循環（雖然 Saylor 強調現在持倉夠強）。 3. 批評聲浪：Peter Schiff 之類的人會大肆攻擊「Saylor 自己打臉」，短期聲譽受損。 @saylor 從「宗教式囤幣」進化到「資本管理式囤幣」。 還是那個最激進的 BTC 信徒，只是把模型升級成「買 → 漲 → 小賣付息 → 再買更多」。對 BTC 長期是利多（更多機構參與、更多買盤），但短期會有波動和 FUD。 你怎麼看？這是 Saylor 神操作，還是 thesis 開始裂縫？

1011 事件已經告訴我們：幣圈媒體完全沒有監督能力。 不是不願意，而是不能。 因為媒體賴以為生的廣告與贊助，90% 以上來自交易所與項目方。 你要他們去質疑、追問、監督長期給自己投放預算的金主？在商業現實下不可能做到。 而社群媒體呢？ 坦白說，也沒有好到哪裡去。 大部分 KOL 不會真的去跟交易所作對。 返佣、合作、推廣、專案、友情、站隊，各種利益關係都讓人難以開口。 這也是為什麼，在伊莉莎白詐捐事件後，KOL 幾乎全數表態，人人都上去踩一腳； 但到了 1011 這種市場系統級別的事故，哪怕自己也受影響，多數人仍選擇保持沉默。 我查了一下數據：伊莉莎白詐捐事件在中文 CT 中的流量峰值，全面壓過 1011。 兩者本來不該在同一個量級上，但現實就是這麼荒謬。 你會看到許多匪夷所思的現象： Digital Galaxy 這麼大的機構，都得在壓力下修改 1011 事件的標題。 幣安拿到阿布扎比牌照、招銀合作案、何一訪談的公關稿，媒體報得比誰都快、篇幅比誰都大。 但 1011 這種直接關乎市場安全與用戶資產的重大事故，媒體幾乎全部噤聲，訪談避重就輕，該追問的不追問，該解釋的通通略過。 拿我自己的例子來說，前陣子我寫了一篇英文長文，公開問責幣安 1011 事件的處理流程問題。 那篇文在 X 上有超過 30 萬曝光、1000+ 個讚、350+ 個轉發。 如果是以前，媒體問都不會問，早就搶著轉載，因為這是貨真價實的流量題材。 但這次的結果是什麼？ 全場只有一家中文媒體轉發。（雖然標題被修得比較溫和，但願意轉發，我已經很感謝了。） 幣安之所以能成為幣安，是因為它曾經做對了很多事。 但1011 事件這種級別的安全事故，只要處理不透明，就足以動搖八年累積的信任基礎。

KelpDAO 與 LayerZero 的責任爭議 👉🏻LayerZero 認為是 KelpDAO 自行選擇了安全性較低的「1-of-1」設定，才導致攻擊得逞。 但 KelpDAO 強烈反駁，強調自己完全遵循 LayerZero 的官方預設值與指導建議，該設定曾經獲得 LayerZero 批准。KelpDAO 表示，這次事件暴露了 LayerZero 基礎設施的潛在風險，因此決定全面遷移。 這場公開爭執也凸顯了跨鏈橋接協議的信任問題：到底是協議本身的設計缺陷，還是使用者的配置不當？ 👉🏻為何選擇遷移至 Chainlink CCIP？ 為了重建用戶信心與強化安全性，KelpDAO 宣布將 rsETH 的跨鏈轉移基礎設施全面升級至 Chainlink CCIP。Chainlink CCIP 是業界公認的安全跨鏈解決方案，具備： • 多層次驗證機制（而非單一驗證者） • 更強的防偽造與防中繼攻擊能力 • Chainlink 長久以來在預言機與跨鏈領域的 👉🏻可靠聲譽 KelpDAO 表示，此次遷移是「確保 rsETH 完全安全」的必要步驟，預計將逐步完成 rsETH 在各鏈上的標準切換。Chainlink 團隊也已公開表態全力支持此次遷移。 👉🏻對用戶與產業的影響 • 對 rsETH 持有者：短期內可能需注意遷移期間的流動性與合約升級公告，長期則可望獲得更高安全性保障。 • 對 DeFi 產業：再次提醒跨鏈橋接仍是高風險領域。2026 年至今，北韓相關駭客已透過兩起大型攻擊（包含本案）竊取超過 76% 的加密貨幣駭客損失總額，凸顯國家級攻擊的嚴重性。 • 對 LayerZero：聲譽受損，可能影響其他採用其 OFT 標準的專案。 總結來說，這起事件不僅是 KelpDAO 單一協議的危機，更是整個跨鏈生態的一次警鐘。KelpDAO 選擇主動遷移至更安全的 Chainlink CCIP，展現了項目方在危機中的積極態度。未來 rsETH 是否能順利恢復市場信心，值得持續觀察。

說到搬運，我想分享一個小故事。 幾年前，腦哥在製作 Bitfinex 放貸影片時，特地跑來問我，能不能致敬我當初在 Medium 上發表的那篇文章標題：「用 300 萬創造每月 6 萬被動收入」。他說很喜歡這個文案，想借用這個格式，問我會不會介意。 我當然說不會，儘管拿去用。 當下對腦哥這個舉動印象就很深刻。那時他還只是個小 YouTuber，就算他沒問我，我也覺得無所謂，畢竟文章和影片是完全不同的創作形式，更何況致敬的只是標題而已。 後來他成為中文圈數一數二的 YouTuber，我一點都不意外。 因為會在意內容產權的人，大多都是真正認真的創作者。 我出道至今被抄襲過無數次，本身對抄襲這件事就非常反感。生涯中僅有的兩次公開靠北其他 KOL（包括這一次），都跟搬運有關。 Master 專業黑我已經很多年了，誰都知道他就是想引戰收割流量而已。早年帶單失誤的部分，我早就公開說明過很多次。而且我早就不靠流量賺錢，他繼續臭也完全影響不到我，我是真的懶得理他。 但這次我決定跳出來，是真心對搬運這件事感到憤怒。 圈內真正用心產出的好內容創作者本來就沒剩幾個，剩下這些珍貴的養分，還要被自己人搬運消耗，整個生態只會越來越乾。 在我看來，任何不尊重其他內容創作者的 KOL 都是垃圾，真的沒什麼好說的。 自媒體時代，優質流量就是錢，偷別人的內容就等於偷錢。把別人在 Threads 上嘔心瀝血寫出來的文字，搬到 X 這裡來領老馬的低保，就是純純的垃圾行為。 希望大家以後看到搬運的內容，不要再點讚、不要再轉發，直接檢舉就好。 流量是創作者唯一的回報，給對人，這個圈子才有未來。

【城市規劃】紐約被高速公路撕裂的社區正在癒合 布魯克林洛斯蘇雷斯，羅布林街（Roebling Street）的高速引道將兩座公園生生劈開，車流從狹窄的入口不斷湧入，周遭居民長期受到噪音與空氣污染，但近年有不少專案獲聯邦撥款，廣泛動員居民，共同探索道路規劃的解決方案。

這一波股票狂飆，如果有跟上MU、AMD這些妖股，現在最大的問題就是，什麼時候下車。叫你長期抱著狂飆股的人，是壞蛋。沒有一個正常人認為泡沫會天長地久，但什麼時候賣？每次漲個10%，內心就天人交戰一下，漲得越高，就越心驚肉跳，這時候就會有人告訴你，獲利了結落袋為安，「沒有人因為提前獲利了結而賠錢」，但也沒人因為提前獲利了結而發大財，更可怕的是，通常在獲利了結出清後，狂飆股又再漲得更多，投資人一邊猛槌心肝，一邊思考要不要再吃回頭草。股市投機就是這麼難，賠錢的時候很痛，賺錢的時候也不開心。 狂飆股的下車時點，不在於上升的階段，而在於走下坡的時候。股市裡最厲害的作手，不會期望賣在最高點，但也不會冒然在上升階段獲利了結，因為永遠不會有人猜得到，到底高點在哪裡。既然不知道，就等高點過後再賣，犧牲一點獲利，但把握住大部份的主升段。這個操作的道理，一百多年前的Jesse Livermore，就已經教過所有的股市作手，描述他股海浮沉的「作手回憶錄Reminiscences of a Stock Operator」，是股票投資的經典，人人必讀。但道理容易懂，實際操作起來，還有許多的障礙。首先，我們怎麼知道狂飆股開始走下坡？從高點跌10%？20%？不一定，跌了20%，還是有可能反手再繼續上漲。Livermore教人要看大勢，大勢還沒停的時候，狂飆股不算走下坡，現在的AI大勢還沒停，所以狂飆股不可能走起下坡。另外的一個招數來判斷氣數是否已盡，是看消息面。如果有絕佳的好消息，但股票應聲下跌，那可能就是氣勢反轉，主力在走人了。 「作手回憶錄」的這些實務操作，練得爐火純青的時候，錢雖然賺到了，但心理層面就開始受影響。我還沒看過一個像Livermore一樣的作手，他們的人生是快樂的。因為他們的內心一天到晚在和心魔交戰，「到頂了？」「下坡了？」「加碼？」「獲利了結？」「落袋賺一百萬，還是忍住等到兩百萬再出？如果不賣，後來跌光光呢？」自己內心已經混亂不已，如果再加上市場各式各樣的小道消息，很難內心不起漣漪，弄到最後，連賺錢都不開心。Livermore賺了大錢，但最後自殺離世，也許這是讀「作手回憶錄」所最需要學得的教訓。黎智英年輕的時候，因為熟讀了「作手回憶錄」，放空恆生指數，賺得了他創業需要的資金。但他很懂這種賺錢方式的問題，所以他創業後，去關公面前發誓，如果再炒股，他就要來關公廟斷手指。也許是要有這樣的決心，才能守住靠著「作手回憶錄」賺來的財富。但人世間，有幾個黎智英呢？ 年輕的時候，覺得「作手回憶錄」是聖經，為自己在市場的走跳，感到充滿智慧。但要到一定的年紀，才知道巴菲特式的投資，才是在能賺大錢的同時，又能人生美滿的股市正道。所以不要問我什麼時候從MU、AMD下車？那不是我的車，我既然不會上，就不用擔心下車的問題。

販毒的黑道常會告誡手下，「不要用自己賣的東西」，我最近找到一個新的例子，芝加哥教師工會的會長，把自己的小孩，送去唸私立學校，拒絕用自己賣的產品。這是很不可思議的虛偽，更暴露出教師工會現在把美國的公立學校弄成什麼樣子。芝加哥的公立學校，是美國數一數二大的學區，但二十年來，學生人數少了近八萬人，教職員卻多了三千人，整體學區預算幾乎加倍，師生比拉這這麼高，資源這麼豐富，教育品質一定好了？沒有，芝加哥公立高中學生達到伊利諾規定的學業水準，只有兩成！州定的標準，已經相當低，還有近八成的芝加哥學生達不到。我有很多芝加哥高中畢業的學生，所以我深受其害，面對這麼多基本算數、識字寫作都有問題的學生，我只能一直放鬆教學內容，連帶影響其它程度好的學生。 公立學校資源一點都不是問題，但工會教師就一直用錢不夠的理由，找到機會就罷工抗議。如果不是家長太過憤怒，讓政治人物害怕，工會原本還要在五一國際勞動節停課，讓學生上街抗議。抗議什麼？名義上是為教師勞動權益，但很多是想拿反川的標語上街。他們要抗議川普是有道理的，芝加哥學區這幾年本地學生巨幅外流，如果不是非法的拉丁裔移民填補了空缺，芝加哥還要少更多的學生，預算還會有更大的問題，所以他們當然要抗議川普抓非法移民。有一個學生告訴我，他的朋友最近經濟發生困難，因為他原本的工作是安置芝加哥的非法移民，拿的是政府經費，結果被川普政府搞到沒有收入。我忍不住問他，你沒有覺得奇怪嗎？我沒沒有說出來的是，幹得好。稅金，就給這些米蟲拿去了。 很多移民來到美國，小孩上學了，就會發現，這國家錢真多。公立學校教室設備一流，公發的電子產品人手一台，學生自由，活潑開放。但時間一長，就發現這是個糞坑，這是個教師工會的社會福利機構。老師經常請假，代課老師只會點名，上課時間很少，管秩序時間很多，老師的精力，都花在處理少數具有破壞性的學生，好的老師不敢管教學生，壞的老師不懂教學，浪費學生時間，再不然就整天講黑命貴、川普種族主義、LGBTQ權益，每日上課時數極短，每年上課天數極少。然後一天到晚道德綁架家長，只有他們懂教育，只有他們最辛苦，只有他們收入最少。但讓我講一個很多人不知道的事，大部份的美國公立學校教師，不用繳Social Security，這個僱主和員工合繳12.4%的稅，老師是不繳的。 工會殘害美國至巨，但要怎麼改革這個問題呢？目前有一個聲音是要在最高法院打官司，禁止教師成立工會。這有法律上的道理，因為如果反拖拉斯的目的是反對商業市場壟斷，那教師工會在實質上也是在就業市場壟斷，同樣是傷害消費者行為。進行這個訟訴也有政治上的道理，因為民主黨和教師工會交相苟且，一個把會費金錢輸送給政黨，一個用政黨控制政府的能力，保證工會的利益。這就是芝加哥教師工會這麼囂張的原因，如果把教師工會判為違法，那是一石二鳥。但也因為這個關係到民主黨的權力掌控能力，所以民主黨一定會誓死而反對。 但更重要的是，我認為把工會廢了，公立學校也救不回來。美國沒有什麼師範學校，普通大學畢業，上個教育學程，滿足州的教師規定，就可以當老師。此前，女性受到歧視，工作機會不多的時候，很多優秀的女性，想要展長才的女生，很多都當了老師，因為那是少數女生能在職場發揮的地方，而因此，美國以前公立學校的品質非常高。但這個壓抑女性的社會問題大致解決了，公立學校的老師也失去了優秀人材的管道。現在在大學唸教育的，通常是其它學門唸不來的學生的最後選擇，有統計說，美國大學的專業裡面，平均智商最低的就是教育系。當然少部份學生是為了理念去唸教育，也很有能力，我常在鄉下來的高中畢業生裡看到這種學生，但他們很快就被丟進一個不需要太認真就可以畢業的環境，很快就向下平均去了。在逆向淘汰的情況下，造成公立學校教師資質越來越差。這一點，就連廢掉教師工會也救不回來。 所以，最好的解決方法，是讓工會徹底把公立教學搞砸，那就會有更多納稅人要求開放教育券的發放，鼓勵私立和特許學校的成立。我們愛荷華州這幾年在共和黨的全面執政下，教育券得到充份實施，私立學校像雨後春筍一樣，紛紛冒出頭，也順帶推倒許多品質江河日下的公立學校。私立學校並不一定好，但有競爭才會有進步，才會想要嚐試教學的新作法，在這個AI改變人類生活的時代，我們更需要這種民間的競爭，來導入AI教學，提高教學品質。因此，我非常支持這些混蛋教師工會的惡搞，越惡搞，越加速公立學校的死亡。