🦞OpenClaw 极简安全实践指南 (Security Practice Guide) 是面向 OpenClaw 的黑手册。 我尝试了其他一些方式来试图加固 OpenClaw，包括 Skill 方式，但是发现还不如给 OpenClaw 植入一个安全“思想钢印”来的有意思，这个“思想钢印”形成一个 md 文档，包含安全事前、事中、事后需要做的策略，但这里有个前提： 尽量不影响 OpenClaw 的日常使用，安全不要干扰用户体验，需要给这只🦞足够的自由。但是吧，江湖险恶，一只有 Root 权限且诞生才一个多月的🦞，安全不让人放心… 于是，这份面向 OpenClaw 的极简安全实践指南诞生了，目前是 v2.7 版本，此前我们内测了许多版本，也踩了不少坑。现在公布出来，大家玩之前务必仔细看这份指南的 README⚠️： 注意里面的说法。我相信你会很有收获。里面还推荐了我们实测在 OpenClaw 场景下聪明的模型，如果你有自己的感受，一定要和我们反馈。 一切都很新，一定有不完善的地方，请大家多指正！ ⚠️最后，务必认真阅读 README，也务必肉眼扫描下你将喂给你🦞的“OpenClaw极简安全实践指南.md”，相信我，会非常有意思。

现在openclaw真的太火了，为了避免自己安装到一些恶意的skill，我已经让我的openclaw安装了 @evilcos 家的openclaw-security-practice-guide，每次安装skill都会审计，还有每天都有安全日报。非常赞

Web3 远程工作汇总（5.19） 发布招聘/求职请前往官网，我们会为您推广。 中文工作电报频道：DeJob_official 1️⃣ BitBaby - 运维工程师 2⃣ AlphaAI - 人力主管 - 大客户经理 3⃣ Ju. com - 风控战略分析师 4⃣ Deepcoin - 运维工程师（中高级） - 数据分析师（运营数据分析） 5⃣ HOTCOIN - 交易员 - 视频剪辑师 6⃣ Eather - 客服（英文区） - 用户增长运营实习生 7⃣ Bitunix - 支付运营 - 社媒运营 - AI应用工程师 - 会计（总账） - AI工程师 8⃣ DZMM - 产品经理 9⃣ Luffa AI - PR总监（增长） 🔟Bonnie - 生态负责人 1⃣1⃣ Talentverse - 产品经理（理财或对冲方向） 1⃣2⃣ Schelling Lab - 测试工程师 1⃣3⃣ DODO - 产品经理（高级） 1⃣4⃣ HTX - 市场经理 - SEO 1⃣5⃣ 88EX - UIUX交互设计师 1⃣6⃣ OneBullEx - 风控战略分析师 1⃣7⃣ ApeX Protocol - 区块链工程师（高级，TEE方向） 1⃣8⃣ Y Strategy - 运营助理 1⃣9⃣ XXKK - SEO 2⃣0⃣ AstroX - 安全工程师 Global job Telegram channel: DeJob_Global 1️⃣ Coinflow Labs - Security Engineer 2️⃣ VeryAI - Marketing Lead 3️⃣ Squads - Marketing Manager (Events) 4⃣ Bullish - Senior Product Designer 5⃣ Bitunix - Accounting Associate - Payment Operation - Social Media Manager 6⃣ Flipster - Business Development 7⃣ Pionex - Business Development (Latin America Crypto Payment Card) 8⃣ Ooble Studio - Growth Lead 9⃣ Fermah - Senior Rust Engineer

吴说获悉，区块链独立调查员 tanuki42 发推表示，一名疑似朝鲜招募者试图以每月 300 美元的价格购买其 Upwork 身份使用权。根据其披露，对方希望使用美国公民 Upwork 账户与本地设备，称因 Upwork 会监控用户 IP，并提出用美元或加密货币支付，后续再分成月收入的 15%。tanuki42 称，对方随后引导其安装 AnyDesk / RustDesk 远程控制软件并连接设备，连接后不久即断开、清空聊天并拉黑。tanuki42 还公布了相关 IOC，并在帖末附上其 Ethereum Security QF 页面用于接受捐赠。

基础建设的推进又有新的进展，我做一下简单的解读： 开发团队想传达的核心观点是： RGB 不是 Lightning 的独立层，而是 Lightning 本身的智能合约层 在RGB和LN的兼容性集成实践中，他们提出以下原则： ▪️零退化：RGB 节点你不能影响LDK节点，要完全兼容原生的LN各种操作 ▪️与上游同步：上游的lightning rust-lightning / ldk-node 版本更新了，就必须立即跟进，不能一直用老版本 ▪️引入LN特性到RGB世界：把 splice、async-payments 等最新 LN 功能扩展到 RGB 资产通道，这个对于RLN swap有很大的作用 实际的开发中，有以下的技术动作： ▪️在从 rust-lightning 0.1.4 升级到 0.2.2、ldk-node 0.6.1 升级到 0.7.0； ▪️完整吸收 16 个 MEDIUM+ 资金安全修复（含 3 个 SECURITY 级），以及 splice、async-payments、LSPS2 等 4 大主流协议特性； ▪️通过全部 1,019 个 LDK 状态机测试，与 CLN v23.08 和 LND v0.18.5-beta 互操作 100% 通过； ▪️正式向 Lightning BLIPs 仓库提交 bLIP-0070，将 RGB 兼容设计标准化（这个如果通过了，那么对于RGB协议来说是具有极高价值的） 看到这的你不需要太懂具体的技术细节，只需要知道“在稳健、高效、安全”地推进RLN主网的落地就可以了 最后说一句：在BTC生态这个大家庭里面，大家可以开始关注 #RGB# 协议了！记住这句话！ #RGB# #BTC#

关于 Arbitrum / KelpDAO 冻结资产被 DPRK 判决债权人盯上这件事。 太长不看： 1. DPRK judgment creditors 已经启动纽约判决执行程序，并取得法院批准替代送达。当前效果只是先锁住资产，法院没有判定这笔 ETH 最终归谁。 2. Arbitrum / Security Council 现在不能安全地绕开法院，短期内要把 ETH 转给 Kelp recovery 的可能性非常低。 3. Kelp-side 的强论点：如果这批 ETH 是被盗资产的可追踪 proceeds，DPRK / Lazarus 作为 thief 通常没有 good title。 4. Kelp-side 的最大风险：tracing、ownership、standing、recovery mechanism 证明是一个技术活。 所以...用户要做好“持久战”的心理准备，哪怕 Defiunited 再募捐到额外 30,000 ETH 替代 Arbitrum 这笔冻结，直接对用户进行赔付可能会让这个问题在未来愈发的复杂。 如果还有没走的用户建议早点走uniswap撤离吧： 卖出 aArbWETH 直接换 WETH，磨损只有0.05%-0.2%，大额可能要twap慢慢换，小额随时都能走。 Pool: aArbWETH <-> WETH --- 以下是正文 --- 纽约州南区法院的法庭判令的原始文件： 当前情况在大部分web3用户眼里就是“DPRK 受害人律师要抢 Kelp/AAVE用户的钱”；不过从法律程序看，情况更复杂。 目前发生的链条大致是： 4月19日，Kelp / rsETH 相关资产遭遇攻击，攻击者被认为与 DPRK / Lazarus 有关。大约 36,167 rsETH 被跨链到 Arbitrum 上，并存入 AAVE 借出 ETH 和 wstETH，最终全部兑换为 30,766 ETH。 4 月 21 日，Arbitrum Security Council 紧急冻结了攻击者地址的 ETH。 4 月 30 日，DPRK 受害人一方的律师启动纽约判决执行程序，向 Arbitrum DAO 发出 **CPLR § 5222 restraining notice**，并请求法院批准替代送达。 5 月 1 日，S.D.N.Y. 法院批准了替代送达。也就是说，可以通过 Arbitrum governance forum、Security Council 成员、相关实体和律师等渠道，把 restraining notice 和 writs of execution 送达到 Arbitrum DAO 相关方。 5 月 2 日左右，相关 notice 被贴到 Arbitrum governance forum。 所以现在的状态是：这批资产已经进入一个正式的 judgment enforcement 程序。它不只是普通律师函，也不是 DAO 社区可以无视的治理争议。当然这一步也没有等于法院已经判定 DPRK 受害人可以拿走钱。 当前状况是：在法院进一步处理前，Arbitrum DAO / Security Council 不应擅自转移、释放或处分这批被主张为 DPRK / Lazarus 相关的资产。 这一点对 Arbitrum 很关键。 如果 Security Council 或 DAO 在 restraining notice 没有被解除、修改，或者没有拿到 court order 的情况下直接把资产转给 Kelp recovery wallet，法律风险会非常大。即使 Kelp-side 最后在实体权利上有理，Arbitrum 也可能因为违反 restraining notice 被追究责任。 所以最可能的路径是走完法院程序，再动资产： Arbitrum / Kelp-side 进入法院程序，提出 defenses，主张 adverse claim，要求法院确认 DPRK 对这批资产没有可执行的 property interest，或者请求法院批准一个 court-supervised recovery plan。 接下来时间上可能会有几个节点： 第一，短期内可能会出现 emergency briefing 或 hearing。 如果 Arbitrum、Kelp 或其他受影响方主动出庭，法院可能会先处理一个很实际的问题：资产能不能继续冻结、能不能进入 escrow、能不能允许某种受控 recovery plan。 第二，如果双方只争“先不要动资产”，这个问题可能比较快进入法院视野。 但如果争的是最终 ownership / priority，也就是谁有权拿走这批 ETH，时间可能会明显拉长。 第三，CPLR § 5222 对第三方 garnishee 的 restraining notice 通常有一个很重要的时间维度：对第三方来说，restraining effect 一般可以持续到送达后一年，或者 judgment 被 satisfied / vacated，以较早者为准。 所以如果法院没有更早修改或解除 restraint，理论上这类冻结可能拖到接近一年。当然，实际中如果各方快速出庭、证据清楚，也可能更早解决。 这对 Kelp / AAVE 用户的影响很直接： 1. 短期内，Arbitrum 冻结的这部分 ETH 很难被用于kelp recovery处置。 资产技术上被冻结，法律上也被 restraining notice 锁住。即使 DAO 社区支持归还，也需要解决法院程序问题。 2. 中期看，用户能否尽快恢复损失，有不少争议问题需要明确： 🤔 frozen ETH 和 Kelp exploit 的链上路径是否足够清楚； 🤔这批 ETH 是原始被盗资产、直接 proceeds，还是经过 swap / bridge / conversion 后的混合资产； 🤔谁有资格代表受害人出庭主张权利； 🤔recovery wallet 或 claims process 是否能被法院接受； 🤔Arbitrum DAO / Security Council 在法律上到底是 custodian、controller，还是只是有技术 freeze / unfreeze 能力的治理主体。 当然，个人觉得Kelp-side 的实体论点其实还可以：如果这批 frozen assets 能被证明是 Kelp / rsETH exploit 中被盗资产的可追踪 proceeds，那么 DPRK / Lazarus 只是 thief。一般法律原则下，thief does not get good title。小偷偷来的东西，通常不会因为经过钱包、桥或 DEX，就变成可以拿来偿还小偷旧债的合法财产。 这也是 DPRK judgment creditors 最需要跨过的门槛：他们只能执行 DPRK 的 property interest，不能执行本来属于第三方受害人的财产。 但 Kelp-side 最大的挑战也在这里。 法院不会只听一句“这是 Kelp 用户的钱”。法院会看 tracing、ownership、standing 和 recovery mechanism。 如果链上路径不够干净，或者资产经过多次转换后已经很难证明是特定受害人的 property / proceeds，DPRK judgment creditors 的策略就会变强。他们会说，这些资产现在已经是 DPRK / Lazarus 控制下的 proceeds，因此可以用于执行旧判决。（当然我是觉得链路还算干净，唯一复杂的就是通过AAVE抵押套了一层借贷关系） 以上均非法律意见，只是基于公开材料的程序性分析。

🎉 GCC AI Agents Hackathon 圆满收官 —— 获奖项目揭晓！ 这是 GCC 发起、筹办的首次黑客松，我们没有外包给现成的活动方，而是自己一步步把它从零搭起来： - 拉起黑客松社群，聚拢真正想做事的开发者 - 持续输出内容与分享（让 AI 智能体像人类一样协作、从 Agent Demo 到可落地系统……）让大家更加理解GCC想要传达什么样的理念 - 同步参赛进展，陪着每一个团队从 idea 走到 Demo 同时，我们与 Berkeley 黑客松 @Beta_ucb 达成合作，GCC 作为 "Crypto & Agents" 赛道嵌入其中，在 4 月 26 日 Berkeley 现场打通线下参赛渠道，把北美的优秀开发者也带进了同一场评比。 4 月 27 日，线上线下项目统一集中评审，当场拍板奖项 👇 🏆 各赛道获奖项目 🔐 AI Security 🥇 AgentGuard · 700U 🏛️ 治理 Governance 🥇 Governance Lens / 治理透镜 · 700U ⚙️ 工作流优化 Workflow 🥇 GCC Telegram 治理與資助助手 · 700U 💰 资金分配 Distribution 🥇 ClawTrace · 700U 🥈 GCC Milestone Agent · 300U 📊 影响力评估 Impact 🥇 zentient-regen · 700U 感谢所有参赛选手持续打磨项目、提交了高质量作品 🙌 特别感谢评委团队 @nake13 @wong_ssh @SARAHWAGMI @jiangplus @odysseus0z 4.27 集中评审、当场拍板的辛苦付出 ）🫡 以及 @Beta_ucb 的合作，让这场黑客松延展到了线下、延展到了北美。这种跨地域、跨场域的协作模式，让我们看到了开源公共品资助网络的更多可能性。 期待下次再见！✨

最近出了很多打新台子，质量参差不一，还有破发的，我就被坑了。老牌的只看 @coinlist！诞生了好多百倍、千倍币。上一轮牛市 $SOL 公募 $0.22，最高涨到 $260+，收益超 1000x 在11 月 13 日凌晨 1 点（北京时间）马上要上线的 @Immunefi 大家准备好账号了么？ 他们最后一轮的估值是500m，这次打新的估值是130m且Tge 100%解锁！ Immunefi 是全球领先的 Web3 安全平台，拿到了很多北美基金的融资。累计近 3000 万美元。平台拥有最大的研究员网络，超过全球 6 万名，已为 650+ 协议提供防护，保护资产超过 1800 亿美元。大家知道的certik审计公司，已经发出的赏金是两千万美金，而immunefi是超过一个亿美金。这种公司有个好处是，有持续不断的现金流，能持续运作。 同时项目正在构建首个 AI 驱动的链上安全操作系统（Security OS），将漏洞检测、监控、审计与威胁响应整合为一个自动化防御闭环，帮助项目在攻击发生前预判并阻止风险。 参与链接： 打新数据： 价格：$0.01337 / $IMU 总供应量：100亿枚 众筹份额：3.74亿枚（占总量3.74%） 目标融资：约500万美元 完全稀释估值：1.337亿美元 解锁机制：TGE时100%解锁

📢 Twitter Space 预告 | Bybit 15 亿美金被盗，多签真的安全吗？ 🚨 2 月 25 日 20:00 (UTC+8)，Cobo 联合 吴说区块链、BlockSec、OneKey，深度剖析 Bybit 事件，探讨多签安全的盲区及交易所如何提升风控体系！ 🎙 嘉宾阵容 🔹 Discus Fish (@bitfish) – Cobo CEO & Co-founder | @Cobo_Global 🔹 Yajin Zhou (@yajinzhou) – BlockSec CEO & Co-founder | @BlockSecTeam 🔹 Niqi (@niqislucky) – OneKey Chief Growth | @OneKeyHQ 🔹 Moon (@MoonL1ang) – Cobo Head of Blockchain Security 🎤 主持人 🔹 吴说区块链主编 (@colinwu | @wublockchain12) 🔹 Alex Zuo (@alexzuo4) – Cobo VP 💡 重点讨论 🔹 Bybit 被盗全过程：黑客如何悄无声息拿下 15 亿美金？ 🔹 多签钱包：安全屏障还是潜在风险？ 🔹 硬件钱包“盲签”有何安全隐患？你的资产真的安全吗？ 🔹 交易所该如何升级安全体系，避免成为下一个攻击目标？ 📍 直播链接: 📅 时间：2 月 25 日 20:00 (UTC+8) 交易所安全不容忽视，深度解析 Bybit 事件，敬请关注！

聊聊RKLB最新的ATM发行股票计划，RKLB在昨天签了新的股票分配协议，以ATM方式出售普通股，总额最高30亿美金，从25年3月以来RKLB已经4次ATM增发股票，如果全部操作完毕总计40多接近50亿美金的融资。确实是持续性地从市场上拿钱了。大家讨论很多，聊聊个人看法： 1、时机很好，当下随着spacex上市临近，未来一段时间太空经济板块关注度比较高，趁着市场行情好增发囤积一笔大钱，从企业经营层面上是非常明智的操作，趁估值走高行情大好时把资产负债表做厚； 2、为什么要融这么多钱？ 公司提交给SEC的文件写的很标准，用于增长、收购以及未来运营支出等。个人看就两点 1）为未来进一步并购和垂直整合储备弹药， rklb过去的发展历程并购还是很多的，这家公司是有非常丰富并购整合经验的，过往的并购也补齐了很多维度上企业的竞争力。 公司刚完成 Mynaric 收购，补强激光光通信能力并建立欧洲业务足迹；又签了 Motiv 收购协议，目的包括把太阳阵列驱动组件、精密运动控制等供应受限/成本高的卫星部件内制化。 这说明管理层的意图不是单纯填补亏损，而是沿着“launch + spacecraft + components + national security”的端到端空间基础设施平台继续扩张。 2）为Neutron发射和国防项目增加资本缓冲 公司一季度同时披露了 31 个新的 Electron/HASTE 合同、5 个新的 Neutron 发射合同，发射订单数已经超过 2025 年全年；还提到 Space Based Interceptor、MACH-TB、Neutron 首飞硬件集成和 Archimedes 发动机资格认证等项目。 这些项目的共同点是：前期投入、营运资本、库存、工程冗余都很吃现金。 足够深厚的资金储备能让公司在竞标和交付大项目时更有底气，国防和星座客户在看供应商的长期交付能力，资金实力也是很重要的考量标准。 3、当然股东短期会难受 特别是昨天这次粗略对应约4%的普通股，相当于我们的持仓一下子被稀释了4%，所以也看到不少比较激动的言论，短期股价也承受。之前每次增发也都导致了股价回调 但股价回调可能也是短期买点，这个时点个人不会减仓。还是去年底这里 → 海量卫星 → 丰富数据/服务 → 新商业模式（如太空数据中心、零重力制造）→ 更多投资与应用。这里面rklb并不是spacex第二，而是有自己的独特竞争力。这些竞争优势的构建在过去很多年都是花时间和大量的资本构建起来的。 个人角度，是等spacex上市交易后走了一波行情（也会带动板块整体走高），这个时候可能是太空经济的卖点，大概率会在哪个时候择机减些仓位。个人看法，供参考