昨晚看@NewtonProtocol 白皮書的“Hack Mitigation”那一節,我停在屏幕前很久沒動
三年前,我有個存着點ETH的主力錢包,就因爲點錯了一個釣魚授權,眼睜睜看着資產被秒空。從那以後,我成了冷錢包的重度依賴者,每次轉賬都要插U盤、抄助記詞,體驗極其反人類。這個圈子的鐵律一直是“私鑰即所有權”,但這其實是對人性的苛求——只要是人,就會犯錯,而且往往不可逆
但Newton白皮書裏提了一個“非託管2FA”的概念,讓我看到了另一種解法。它不是讓你把資產交給中心化平臺,而是在策略層加一把鎖。比如用Rego寫死一條規則:只要轉賬超過5個ETH,除了私鑰簽名,還必須附加一個設備綁定碼或生物識別的二次授權
更絕的是,這個2FA不是在App前端攔你一下——前端攔截是可以被繞過的。Newton是在合約執行層強制要求:沒有拿到運營商網絡多方簽發的BLS聚合簽名,合約根本不執行轉賬。黑客就算拿到了你的私鑰,沒有你的物理設備二次授權,在鏈上根本寸步難行
#newt $NEWT
這讓我突然想通了一件事:真正的資產安全,不該是逼着用戶把私鑰藏得有多深,而是讓私鑰本身失去“一鍵掏空”的絕對權力。 從“私鑰神聖不可侵犯”到“策略制衡私鑰”,這纔是非託管錢包該有的範式轉移
Newton表面上是做合規授權層,卻順手把散戶最痛的防盜問題給解了。當一把鑰匙打不開所有門的時候,這行業纔算真正長大了。你品品,是不是這個理兒?@NewtonProtocol
三年前,我有個存着點ETH的主力錢包,就因爲點錯了一個釣魚授權,眼睜睜看着資產被秒空。從那以後,我成了冷錢包的重度依賴者,每次轉賬都要插U盤、抄助記詞,體驗極其反人類。這個圈子的鐵律一直是“私鑰即所有權”,但這其實是對人性的苛求——只要是人,就會犯錯,而且往往不可逆
但Newton白皮書裏提了一個“非託管2FA”的概念,讓我看到了另一種解法。它不是讓你把資產交給中心化平臺,而是在策略層加一把鎖。比如用Rego寫死一條規則:只要轉賬超過5個ETH,除了私鑰簽名,還必須附加一個設備綁定碼或生物識別的二次授權
更絕的是,這個2FA不是在App前端攔你一下——前端攔截是可以被繞過的。Newton是在合約執行層強制要求:沒有拿到運營商網絡多方簽發的BLS聚合簽名,合約根本不執行轉賬。黑客就算拿到了你的私鑰,沒有你的物理設備二次授權,在鏈上根本寸步難行
#newt $NEWT
這讓我突然想通了一件事:真正的資產安全,不該是逼着用戶把私鑰藏得有多深,而是讓私鑰本身失去“一鍵掏空”的絕對權力。 從“私鑰神聖不可侵犯”到“策略制衡私鑰”,這纔是非託管錢包該有的範式轉移
Newton表面上是做合規授權層,卻順手把散戶最痛的防盜問題給解了。當一把鑰匙打不開所有門的時候,這行業纔算真正長大了。你品品,是不是這個理兒?@NewtonProtocol