谁点的双皮奶
8年老韭菜,只会买 不会卖,走在高频输出的路上,共同学习,无限进步。
Trade eröffnen
Regelmäßiger Trader
5.2 Jahre
34 Following
56 Follower
173 Like gegeben
10 Geteilt
Beiträge
Portfolio
Alle
Zitierungen
PINNED
【深度】Warum FIL unter 1 Dollar das 'Goldene Loch' für die nächste Generation der AI-Infrastruktur ist?
Auf dem Kryptowährungsmarkt ist der Preis oft eine verzögerte Reflexion des Wertes. Wenn der Preis von Filecoin (FIL) sich in der historischen Bewertungsniederlage um 1 Dollar befindet, ignoriert der Markt oft eine wichtige Tatsache: Filecoin hat sich von einer reinen 'dezentralen Festplatte' zu einer 'Full-Stack-Cloud' entwickelt, die Speicherung, Berechnung und Verifizierung vereint.
Mit der explosionsartigen Nachfrage nach Rechenleistung und Datenspeicherung durch die AI-Welle im Jahr 2025 sowie dem epischen Upgrade des Kernprotokolls von Filecoin ist FIL unter 1 Dollar nicht nur ein billiges Asset, sondern auch eine 'Ursprungsaktie', die den Weg zur nächsten Generation der zugrunde liegenden Internetinfrastruktur ebnet.
Mit der explosionsartigen Nachfrage nach Rechenleistung und Datenspeicherung durch die AI-Welle im Jahr 2025 sowie dem epischen Upgrade des Kernprotokolls von Filecoin ist FIL unter 1 Dollar nicht nur ein billiges Asset, sondern auch eine 'Ursprungsaktie', die den Weg zur nächsten Generation der zugrunde liegenden Internetinfrastruktur ebnet.
Übersetzung ansehen
Fogo
性能不再是限制 DeFi 爆发的唯一因素,权限的生命周期管理才是。
从审计报告来看,Fogo 正在经历从“追求功能实现”向“完善权限边界”的痛苦转型。
对于用户而言,极致的流畅交互固然重要,但在极端情况下,确保主钱包依然拥有对资产和权限的绝对、即时、不可撤销的控制权,才是底层公链不可逾越的底线。
@Fogo Official #fogo $FOGO
性能不再是限制 DeFi 爆发的唯一因素,权限的生命周期管理才是。
从审计报告来看,Fogo 正在经历从“追求功能实现”向“完善权限边界”的痛苦转型。
对于用户而言,极致的流畅交互固然重要,但在极端情况下,确保主钱包依然拥有对资产和权限的绝对、即时、不可撤销的控制权,才是底层公链不可逾越的底线。
@Fogo Official #fogo $FOGO
Übersetzung ansehen
Fogo 技术架构深度研报:会话密钥与 Paymaster 机制下的权限边界与安全约束
随着 Layer1 竞争从单纯的“TPS 军备竞赛”转向“用户体验层(UX Layer)”的深耕,Fogo 通过在 SVM(Solana Virtual Machine)生态中引入 Session Key(会话密钥)与 Paymaster(代付机制),试图解决高频链上交互的摩擦问题。然而,2025 年 10 月 OtterSec 的审计报告显示,这种极致体验的背后伴随着复杂的权限生命周期管理风险。本报告通过对 Fogo 审计漏洞的分类分析,探讨其在授权撤销、租金回收攻击面及治理阈值上的技术现状,并对其主网上线的工程可靠性给出评估。
一、 范式转移:从执行性能到“无感交互”的风险重估
在过去数年的公链演进中,高性能并行执行引擎(如 SVM)已证明了其在吞吐量上的上限。但 Web3 社交、链上订单簿(CLOB)及高频 DeFi 的爆发受限,核心瓶颈在于 “交互原子性”与“签名成本” 的冲突。
Fogo 的核心思路是:通过 Session 体系实现权限的临时委派,通过 Paymaster 实现费用的解耦。
这种架构在产品逻辑上是完美的闭环,但在工程安全上却引入了新的熵值。传统的链上安全模型主要关注“合约逻辑是否正确”,而 Fogo 开启的 Session 范式要求我们关注“权限生命周期的每一秒是否都在监控之下”。
二、 Session 体系的工程深水区:授权残留与撤销逻辑
Session Key 的本质是主账户(Main Account)生成的临时派生密钥,被授予了特定的程序调用权(Program Invocation)和代币限额(Token Allowance)。
2.1 状态关闭与授权撤销的脱节 (OS-FGS-ADV-00)
审计发现,Fogo 最初的 close_session 实现仅是一个逻辑状态位(State Flag)的变更。
技术陷阱: 在 SVM 环境下,Token 的 approve 授权存储在 Token Program 的状态中。如果 close_session 只是销毁了 Session 账户,而没有主动调用 revoke,那么即便 Session 已经失效,被泄露的 Session Key 依然可以利用此前未用完的 Allowance 转移资产。工程教训: 权限管理必须遵循**“原子化撤销”**原则。任何涉及临时授权的系统,其销毁流程必须包含所有下游依赖项的清理。Fogo 目前通过强制补充 revoke 调用修复了此问题,这标志着其权限模型从“逻辑关闭”向“物理清空”的转变。
2.2 生命周期管理的缺失 (OS-FGS-ADV-07 & SUG-01)
长期有效的授权是安全系统的噩梦。审计指出 Fogo 的 Session Manager 未设置有效期上限。
风险组合: 当“超长有效期”遇上“仅 Session Key 自身可撤销”,主账户在 Session Key 丢失后将处于完全被动状态。优化方向: 报告强调了主账户对 Session 的 “强制接管权(Override)”。在工程实现上,这要求 Session 管理合约必须支持多重触发路径,确保主钱包作为最终所有者,具备随时切断任何授权链路的最高优先级。
三、 Paymaster 与账户模型的结构性冲突
Paymaster 机制引入了“赞助者(Sponsor)”这一角色。为了维持经济激励,Sponsor 必须能回收垫付的账户租金(Rent Lamports)。
3.1 权限夺取与租金逃逸 (OS-FGS-ADV-01/02)
SVM 的 Token 账户模型中存在 close_authority 字段。Fogo 设计由 Sponsor 担任此职。
冲突点: 当用户通过 SetAuthority 修改账户 Owner 时,系统会自动重置 close_authority。攻击者(恶意用户)可以利用此机制夺回账户关闭权,在交易结束后私自关闭账户并取走 Sponsor 垫付的租金。Native Token 边缘情况: 对于 Wrapped SOL 账户,若未及时执行 SyncNative,账户余额状态与底层 Lamports 数额的不一致,会给 Sponsor 带来预料之外的资金流失风险。解决方案: 这类问题揭示了跨合约(Cross-Program)交互时,对底层标准字段行为理解的偏差。目前的修复方案是强制余额同步并限制关键权限字段的重置逻辑,但这反映了 “代付业务逻辑”与“底层存储模型” 之间仍存在摩擦。
四、 Web 级风险进入链上:SDK 与 API 的防御漏洞
Fogo 的 Session 体系并非纯链上闭环,它依赖 SDK 和链下服务进行登录验证和频率控制。这使得系统暴露在了传统 Web 安全的攻击面下。
4.1 认证令牌的“长生不老” (OS-FGS-ADV-03)
审计显示 verifyLogInToken 仅验证签名,不查过期。这在工程上属于典型的**重放攻击(Replay Attack)**温床。一旦 Session 令牌被截获,即便用户在链上执行了 Revoke,链下服务可能仍会将其视为有效,从而允许攻击者继续通过 API 接口进行越权操作。
4.2 DoS 攻击与经济安全性 (OS-FGS-ADV-05)
由于 Paymaster 需要为用户垫付费用,若缺乏速率限制(Rate Limiting),攻击者可以低成本构造大量 Session 建立请求,迅速耗尽 Sponsor 的资金储备池。
研判: Paymaster 的安全性不能仅靠链上逻辑。它需要一套成熟的 链下风控(Anti-Sybil)体系,包括但不限于:基于 IP 或设备指纹的请求过滤。基于账户信誉分的阶梯式赞助额度。毫秒级的费用预警机制。
五、 治理层风险:Feature Gate 与共识门槛
如果说 Session 漏洞是“战术层面”的疏忽,那么 Validator 审计揭示的则是“战略层面”的隐患。
5.1 权力交接的滞后性 (OS-FGV-ADV-00)
审计发现 Fogo 的部分功能开关(Feature Gate)仍受控于旧有的外部私钥(Anza)。
评估: 这种遗留权限在去中心化网络中是极大的不确定性因素。主网上线前,必须完成治理权从“开发者私钥”向“链上治理合约”的完整迁移,否则网络的抗审查性和升级透明度将大打折扣。
5.2 共识激活阈值过低 (OS-FGV-ADV-01)
原有的 1% 激活阈值在主网环境下极度危险。
数学逻辑: 若只需 1% 的算力/权益即可激活重大变更,极易引发链分叉或非一致性停机。标准建议: 将阈值提升至 67% (Two-thirds majority) 是生产级公链的红线。这不仅是代码问题,更是政治经济学问题,确保每一项技术迭代都具备广泛的节点共识。
六、 综合结论与未来展望
6.1 核心结论
Fogo 的技术路径代表了 “模块化执行后的交互逻辑治理阶段”。通过对审计报告的深度拆解,我们可以得出以下结论:
安全性已从“抗黑客攻击”扩展为“抗权限残留”。 漏洞集中在权限撤销不彻底和生命周期管理失效。跨层同步是最大的不确定性。 无论是 Token 余额同步,还是链下认证与链上状态的同步,都是风险爆发的高位区。治理架构优于代码实现。 激活阈值的调整和权限归属的理顺,比修复几个逻辑 Bug 对主网的长期稳定性更重要。
6.2 风险提示
主网早期风险: 若撤销逻辑(Revoke)未在用户侧 SDK 得到强制执行,可能出现大规模的“僵尸授权”泄露事件。经济攻击风险: Paymaster 资金池在无严格风控下的流失风险。
6.3 投资与技术观察建议
Fogo 的方向是正确的,它解决了“用户为什么要留在链上交互”的问题。然而,投资者与开发者应重点关注其 “治理补丁(Governance Patch)” 的落实情况。
#fogo @Fogo Official $FOGO
一、 范式转移:从执行性能到“无感交互”的风险重估
在过去数年的公链演进中,高性能并行执行引擎(如 SVM)已证明了其在吞吐量上的上限。但 Web3 社交、链上订单簿(CLOB)及高频 DeFi 的爆发受限,核心瓶颈在于 “交互原子性”与“签名成本” 的冲突。
Fogo 的核心思路是:通过 Session 体系实现权限的临时委派,通过 Paymaster 实现费用的解耦。
这种架构在产品逻辑上是完美的闭环,但在工程安全上却引入了新的熵值。传统的链上安全模型主要关注“合约逻辑是否正确”,而 Fogo 开启的 Session 范式要求我们关注“权限生命周期的每一秒是否都在监控之下”。
二、 Session 体系的工程深水区:授权残留与撤销逻辑
Session Key 的本质是主账户(Main Account)生成的临时派生密钥,被授予了特定的程序调用权(Program Invocation)和代币限额(Token Allowance)。
2.1 状态关闭与授权撤销的脱节 (OS-FGS-ADV-00)
审计发现,Fogo 最初的 close_session 实现仅是一个逻辑状态位(State Flag)的变更。
技术陷阱: 在 SVM 环境下,Token 的 approve 授权存储在 Token Program 的状态中。如果 close_session 只是销毁了 Session 账户,而没有主动调用 revoke,那么即便 Session 已经失效,被泄露的 Session Key 依然可以利用此前未用完的 Allowance 转移资产。工程教训: 权限管理必须遵循**“原子化撤销”**原则。任何涉及临时授权的系统,其销毁流程必须包含所有下游依赖项的清理。Fogo 目前通过强制补充 revoke 调用修复了此问题,这标志着其权限模型从“逻辑关闭”向“物理清空”的转变。
2.2 生命周期管理的缺失 (OS-FGS-ADV-07 & SUG-01)
长期有效的授权是安全系统的噩梦。审计指出 Fogo 的 Session Manager 未设置有效期上限。
风险组合: 当“超长有效期”遇上“仅 Session Key 自身可撤销”,主账户在 Session Key 丢失后将处于完全被动状态。优化方向: 报告强调了主账户对 Session 的 “强制接管权(Override)”。在工程实现上,这要求 Session 管理合约必须支持多重触发路径,确保主钱包作为最终所有者,具备随时切断任何授权链路的最高优先级。
三、 Paymaster 与账户模型的结构性冲突
Paymaster 机制引入了“赞助者(Sponsor)”这一角色。为了维持经济激励,Sponsor 必须能回收垫付的账户租金(Rent Lamports)。
3.1 权限夺取与租金逃逸 (OS-FGS-ADV-01/02)
SVM 的 Token 账户模型中存在 close_authority 字段。Fogo 设计由 Sponsor 担任此职。
冲突点: 当用户通过 SetAuthority 修改账户 Owner 时,系统会自动重置 close_authority。攻击者(恶意用户)可以利用此机制夺回账户关闭权,在交易结束后私自关闭账户并取走 Sponsor 垫付的租金。Native Token 边缘情况: 对于 Wrapped SOL 账户,若未及时执行 SyncNative,账户余额状态与底层 Lamports 数额的不一致,会给 Sponsor 带来预料之外的资金流失风险。解决方案: 这类问题揭示了跨合约(Cross-Program)交互时,对底层标准字段行为理解的偏差。目前的修复方案是强制余额同步并限制关键权限字段的重置逻辑,但这反映了 “代付业务逻辑”与“底层存储模型” 之间仍存在摩擦。
四、 Web 级风险进入链上:SDK 与 API 的防御漏洞
Fogo 的 Session 体系并非纯链上闭环,它依赖 SDK 和链下服务进行登录验证和频率控制。这使得系统暴露在了传统 Web 安全的攻击面下。
4.1 认证令牌的“长生不老” (OS-FGS-ADV-03)
审计显示 verifyLogInToken 仅验证签名,不查过期。这在工程上属于典型的**重放攻击(Replay Attack)**温床。一旦 Session 令牌被截获,即便用户在链上执行了 Revoke,链下服务可能仍会将其视为有效,从而允许攻击者继续通过 API 接口进行越权操作。
4.2 DoS 攻击与经济安全性 (OS-FGS-ADV-05)
由于 Paymaster 需要为用户垫付费用,若缺乏速率限制(Rate Limiting),攻击者可以低成本构造大量 Session 建立请求,迅速耗尽 Sponsor 的资金储备池。
研判: Paymaster 的安全性不能仅靠链上逻辑。它需要一套成熟的 链下风控(Anti-Sybil)体系,包括但不限于:基于 IP 或设备指纹的请求过滤。基于账户信誉分的阶梯式赞助额度。毫秒级的费用预警机制。
五、 治理层风险:Feature Gate 与共识门槛
如果说 Session 漏洞是“战术层面”的疏忽,那么 Validator 审计揭示的则是“战略层面”的隐患。
5.1 权力交接的滞后性 (OS-FGV-ADV-00)
审计发现 Fogo 的部分功能开关(Feature Gate)仍受控于旧有的外部私钥(Anza)。
评估: 这种遗留权限在去中心化网络中是极大的不确定性因素。主网上线前,必须完成治理权从“开发者私钥”向“链上治理合约”的完整迁移,否则网络的抗审查性和升级透明度将大打折扣。
5.2 共识激活阈值过低 (OS-FGV-ADV-01)
原有的 1% 激活阈值在主网环境下极度危险。
数学逻辑: 若只需 1% 的算力/权益即可激活重大变更,极易引发链分叉或非一致性停机。标准建议: 将阈值提升至 67% (Two-thirds majority) 是生产级公链的红线。这不仅是代码问题,更是政治经济学问题,确保每一项技术迭代都具备广泛的节点共识。
六、 综合结论与未来展望
6.1 核心结论
Fogo 的技术路径代表了 “模块化执行后的交互逻辑治理阶段”。通过对审计报告的深度拆解,我们可以得出以下结论:
安全性已从“抗黑客攻击”扩展为“抗权限残留”。 漏洞集中在权限撤销不彻底和生命周期管理失效。跨层同步是最大的不确定性。 无论是 Token 余额同步,还是链下认证与链上状态的同步,都是风险爆发的高位区。治理架构优于代码实现。 激活阈值的调整和权限归属的理顺,比修复几个逻辑 Bug 对主网的长期稳定性更重要。
6.2 风险提示
主网早期风险: 若撤销逻辑(Revoke)未在用户侧 SDK 得到强制执行,可能出现大规模的“僵尸授权”泄露事件。经济攻击风险: Paymaster 资金池在无严格风控下的流失风险。
6.3 投资与技术观察建议
Fogo 的方向是正确的,它解决了“用户为什么要留在链上交互”的问题。然而,投资者与开发者应重点关注其 “治理补丁(Governance Patch)” 的落实情况。
#fogo @Fogo Official $FOGO
Übersetzung ansehen
$MYX 还能📉,还好吗
Übersetzung ansehen
看看2026年的Filcoin的网络战略
今天上午Filecoin发布了2026年的网络战略
2026 年对 Filecoin 来说,是从讲容量故事走向讲生意故事的一年。在网络上线五年后,整个生态的战略重心开始明显从供给侧转向需求侧,不再单纯强调 EiB 级存储规模,而是聚焦如何把真实世界的数据需求转化为持续发生的链上付费交易。
围绕这一核心转变,社区将重点推进链上云体系的产品化落地,通过统一控制台、行业化集成方案以及 Onramp 接入能力,让中小企业乃至大型机构可以在不改变既有工作流的前提下,直接将对象存储、AI 数据管线、链上数据服务等需求迁移至 Filecoin 网络,并通过稳定币完成链上支付,从而形成真正可规模化的收入闭环。
同时,在代币释放周期结束这一关键时间窗口,网络也将重构激励机制,使奖励更加向付费使用、有效工作与长期参与倾斜,推动存储提供商从单一容量提供者升级为计算托管与数据服务节点,增强整体经济模型的可持续性。
在应用层面,Filecoin 将延续与科研机构及数据密集型组织的合作基础,重点推动 AI、DePIN 与 RWA 等高价值场景的标杆客户实现生产级链上部署,以真实业务负载带动网络信誉与市场信心,形成由客户采纳、产品改进与新增需求构成的正向增长飞轮,使其在 AI 原生时代逐步成为具备商业价值的数据基础设施网络。
#FILCOIN $FIL
2026 年对 Filecoin 来说,是从讲容量故事走向讲生意故事的一年。在网络上线五年后,整个生态的战略重心开始明显从供给侧转向需求侧,不再单纯强调 EiB 级存储规模,而是聚焦如何把真实世界的数据需求转化为持续发生的链上付费交易。
围绕这一核心转变,社区将重点推进链上云体系的产品化落地,通过统一控制台、行业化集成方案以及 Onramp 接入能力,让中小企业乃至大型机构可以在不改变既有工作流的前提下,直接将对象存储、AI 数据管线、链上数据服务等需求迁移至 Filecoin 网络,并通过稳定币完成链上支付,从而形成真正可规模化的收入闭环。
同时,在代币释放周期结束这一关键时间窗口,网络也将重构激励机制,使奖励更加向付费使用、有效工作与长期参与倾斜,推动存储提供商从单一容量提供者升级为计算托管与数据服务节点,增强整体经济模型的可持续性。
在应用层面,Filecoin 将延续与科研机构及数据密集型组织的合作基础,重点推动 AI、DePIN 与 RWA 等高价值场景的标杆客户实现生产级链上部署,以真实业务负载带动网络信誉与市场信心,形成由客户采纳、产品改进与新增需求构成的正向增长飞轮,使其在 AI 原生时代逐步成为具备商业价值的数据基础设施网络。
#FILCOIN $FIL
Übersetzung ansehen
从零开始做号真的太难了,没有流量没有曝光,大博主们随便一篇ai搞得fogo文章,都能涨分,诶,这次还只有前50名有奖 。
坚持,继续加油吧!$FOGO
坚持,继续加油吧!$FOGO
Übersetzung ansehen
发发发发
$SUI
$SUI
Übersetzung ansehen
一文总结《THE 2028 GLOBAL INTELLIGENCE CRISIS》小白也能理解
相信很多小伙伴还没有看昨天Citrini Research发布的《THE 2028 GLOBAL INTELLIGENCE CRISIS》这篇文章,我在AI的翻译总结下修改了一下,通俗易懂。
《2028 全球智能危机》核心逻辑重构统一、问题设定:不是衰退,而是结构性替代
文章构建的不是一次普通经济衰退情景,而是一场由生产要素结构变化引发的系统性冲击。
核心假设:
• AI 在 2025–2027 年实现对白领工作的规模化替代;
• 企业采用 AI 不再是效率优化,而是生存策略;
• 人类劳动在中高端认知领域失去稀缺性溢价。
当“智能”不再稀缺,经济体系的价格体系开始错位。
这不是周期问题,而是定价基础发生变化。
⸻
二、第一层传导:就业 → 消费 → 企业利润
逻辑链条十分清晰:
1. AI 替代白领岗位(程序员、金融分析、法务、SaaS 运营等)
2. 高收入群体收入下滑
3. 消费能力下降
4. 企业收入承压
5. 企业进一步扩大 AI 使用以压缩成本
这形成一个自我强化循环。
关键在于:白领群体贡献了美国约 75% 的消费支出。一旦其收入结构受损,冲击的是需求端,而非供给端。
机器可以生产,但机器不会消费。
所谓“Ghost GDP”的概念指向一个现实:生产率上升,但现金流无法回到居民部门。
⸻
三、第二层传导:资产负债表压力
当需求端收缩,金融结构问题开始显性化。
1. 房地产风险
• 美国约 13 万亿美元住房贷款基于稳定收入假设建立;
• 借款人信用评分高,但现金流恶化;
• 高收入社区违约率上升。
问题不在信用质量,而在收入稳定性。
2. 私募信贷与杠杆结构
• 软件公司估值建立在高增长与高毛利假设之上;
• AI 导致 SaaS 同质化与价格战;
• 收入下滑使高杠杆结构失去支撑。
私募信贷体系的风险在于非透明性和结构嵌套性,一旦现金流恶化,风险难以定价。
3. 保险与再保险
复杂的风险转移结构在收入端塌陷时难以界定责任承担方,系统性不确定性增加。
⸻
四、第三层传导:财政与政治张力
结构性失业带来两个直接后果:
• 税基收缩(个人所得税下降)
• 支出上升(失业补贴增加)
财政空间被迅速压缩。
政治分歧随之加剧:
• 是否对 AI 收入征税?
• 是否实施财富再分配?
• 是否推进普遍基本收入?
问题的难点在于:AI 资产高度集中,而劳动收入广泛分散。财富结构的变化会直接改变政治平衡。
⸻
五、真正的核心命题
文章真正讨论的不是“AI 会不会导致衰退”,而是:
当人类智能不再具备稀缺性,现有经济制度是否仍然成立?
现代资本主义体系建立在三个隐含前提之上:
1. 劳动是主要收入来源
2. 劳动收入驱动消费
3. 消费驱动企业利润与资产估值
如果第一点被削弱,后两点将失去支撑。
这意味着资产定价模型、税收体系、信贷结构都需要重估。
⸻
六、风险性质:结构性而非周期性
与 2008 年不同,这不是信用扩张失控;
与 2020 年不同,这不是外生冲击。
这是生产函数本身的变化。
结构性问题的特点是:
• 传统刺激政策效果有限;
• 货币宽松无法解决收入分配问题;
• 政策滞后于技术进步。
⸻
七、文章的现实意义
作者并非断言危机必然发生,而是提出一个风险框架:
如果 AI 渗透速度快于制度适应速度,经济与金融系统可能出现失衡。
关键变量包括:
• AI 替代速度
• 劳动再培训能力
• 财富再分配机制
• 新需求创造能力
这是一个时间窗口问题,而不是技术对错问题。
⸻
总结
《2028 全球智能危机》的核心不在悲观情绪,而在结构推演。
它提出了一个值得严肃对待的命题:
当生产效率大幅提升,但收入分配机制没有同步升级,宏观系统可能出现需求塌陷与资产重估。
真正的风险,不是 AI 太强,而是制度调整太慢。
#2028
《2028 全球智能危机》核心逻辑重构统一、问题设定:不是衰退,而是结构性替代
文章构建的不是一次普通经济衰退情景,而是一场由生产要素结构变化引发的系统性冲击。
核心假设:
• AI 在 2025–2027 年实现对白领工作的规模化替代;
• 企业采用 AI 不再是效率优化,而是生存策略;
• 人类劳动在中高端认知领域失去稀缺性溢价。
当“智能”不再稀缺,经济体系的价格体系开始错位。
这不是周期问题,而是定价基础发生变化。
⸻
二、第一层传导:就业 → 消费 → 企业利润
逻辑链条十分清晰:
1. AI 替代白领岗位(程序员、金融分析、法务、SaaS 运营等)
2. 高收入群体收入下滑
3. 消费能力下降
4. 企业收入承压
5. 企业进一步扩大 AI 使用以压缩成本
这形成一个自我强化循环。
关键在于:白领群体贡献了美国约 75% 的消费支出。一旦其收入结构受损,冲击的是需求端,而非供给端。
机器可以生产,但机器不会消费。
所谓“Ghost GDP”的概念指向一个现实:生产率上升,但现金流无法回到居民部门。
⸻
三、第二层传导:资产负债表压力
当需求端收缩,金融结构问题开始显性化。
1. 房地产风险
• 美国约 13 万亿美元住房贷款基于稳定收入假设建立;
• 借款人信用评分高,但现金流恶化;
• 高收入社区违约率上升。
问题不在信用质量,而在收入稳定性。
2. 私募信贷与杠杆结构
• 软件公司估值建立在高增长与高毛利假设之上;
• AI 导致 SaaS 同质化与价格战;
• 收入下滑使高杠杆结构失去支撑。
私募信贷体系的风险在于非透明性和结构嵌套性,一旦现金流恶化,风险难以定价。
3. 保险与再保险
复杂的风险转移结构在收入端塌陷时难以界定责任承担方,系统性不确定性增加。
⸻
四、第三层传导:财政与政治张力
结构性失业带来两个直接后果:
• 税基收缩(个人所得税下降)
• 支出上升(失业补贴增加)
财政空间被迅速压缩。
政治分歧随之加剧:
• 是否对 AI 收入征税?
• 是否实施财富再分配?
• 是否推进普遍基本收入?
问题的难点在于:AI 资产高度集中,而劳动收入广泛分散。财富结构的变化会直接改变政治平衡。
⸻
五、真正的核心命题
文章真正讨论的不是“AI 会不会导致衰退”,而是:
当人类智能不再具备稀缺性,现有经济制度是否仍然成立?
现代资本主义体系建立在三个隐含前提之上:
1. 劳动是主要收入来源
2. 劳动收入驱动消费
3. 消费驱动企业利润与资产估值
如果第一点被削弱,后两点将失去支撑。
这意味着资产定价模型、税收体系、信贷结构都需要重估。
⸻
六、风险性质:结构性而非周期性
与 2008 年不同,这不是信用扩张失控;
与 2020 年不同,这不是外生冲击。
这是生产函数本身的变化。
结构性问题的特点是:
• 传统刺激政策效果有限;
• 货币宽松无法解决收入分配问题;
• 政策滞后于技术进步。
⸻
七、文章的现实意义
作者并非断言危机必然发生,而是提出一个风险框架:
如果 AI 渗透速度快于制度适应速度,经济与金融系统可能出现失衡。
关键变量包括:
• AI 替代速度
• 劳动再培训能力
• 财富再分配机制
• 新需求创造能力
这是一个时间窗口问题,而不是技术对错问题。
⸻
总结
《2028 全球智能危机》的核心不在悲观情绪,而在结构推演。
它提出了一个值得严肃对待的命题:
当生产效率大幅提升,但收入分配机制没有同步升级,宏观系统可能出现需求塌陷与资产重估。
真正的风险,不是 AI 太强,而是制度调整太慢。
#2028
Übersetzung ansehen
今天又是无聊的一天,继续研究fogo ,看的出来
Fogo 想解决的,其实从来不只是链跑得快不快,而是当用户真的开始频繁在链上操作时,签名、授权、代付这些体验问题该怎么优雅地处理。
它的执行层没有出现那种一眼就让人后背发凉的致命设计问题,但围绕 session 生命周期、授权撤销路径,以及 sponsor 代付机制边界的实现细节,确实还存在一些一旦被利用就会很难察觉的风险点。
更现实的是,随着 Validator 逐步走向主网,feature gate 的控制权和激活门槛,已经不再是单纯的代码逻辑,而是会影响整条链升级节奏甚至一致性的治理问题。性能可以慢慢优化,但权限一旦设计失误,留下的往往是长期隐患。对于一条想真正承载资金规模的链来说,最后决定用户信任的,从来不是它能处理多少 TPS,而是在最坏的情况下,你是不是还能把已经交出去的授权收回来。
@Fogo Official $FOGO #fogo
Fogo 想解决的,其实从来不只是链跑得快不快,而是当用户真的开始频繁在链上操作时,签名、授权、代付这些体验问题该怎么优雅地处理。
它的执行层没有出现那种一眼就让人后背发凉的致命设计问题,但围绕 session 生命周期、授权撤销路径,以及 sponsor 代付机制边界的实现细节,确实还存在一些一旦被利用就会很难察觉的风险点。
更现实的是,随着 Validator 逐步走向主网,feature gate 的控制权和激活门槛,已经不再是单纯的代码逻辑,而是会影响整条链升级节奏甚至一致性的治理问题。性能可以慢慢优化,但权限一旦设计失误,留下的往往是长期隐患。对于一条想真正承载资金规模的链来说,最后决定用户信任的,从来不是它能处理多少 TPS,而是在最坏的情况下,你是不是还能把已经交出去的授权收回来。
@Fogo Official $FOGO #fogo
Übersetzung ansehen
@Binance BiBi 你用一段200字的文章评论这篇文章
从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远
大家都在研究FOGO,都忽略了FOGO的审计报告,今天d得空研究了项目的审计报告,不易一样的角度,是可以看到一些不一样的问题的,所以把我看到和大家分享分享,看看从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远。
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
Übersetzung ansehen
@Binance BiBi 分析内容中提到的币种
从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远
大家都在研究FOGO,都忽略了FOGO的审计报告,今天d得空研究了项目的审计报告,不易一样的角度,是可以看到一些不一样的问题的,所以把我看到和大家分享分享,看看从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远。
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
Übersetzung ansehen
@Binance BiBi 对此内容进行事实核查
从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远
大家都在研究FOGO,都忽略了FOGO的审计报告,今天d得空研究了项目的审计报告,不易一样的角度,是可以看到一些不一样的问题的,所以把我看到和大家分享分享,看看从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远。
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
Übersetzung ansehen
@Binance BiBi 总结此内容
从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远
大家都在研究FOGO,都忽略了FOGO的审计报告,今天d得空研究了项目的审计报告,不易一样的角度,是可以看到一些不一样的问题的,所以把我看到和大家分享分享,看看从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远。
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
{future}(FOGOUSDT)
Übersetzung ansehen
从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远
大家都在研究FOGO,都忽略了FOGO的审计报告,今天d得空研究了项目的审计报告,不易一样的角度,是可以看到一些不一样的问题的,所以把我看到和大家分享分享,看看从FOGO的审计报告角度看,在账户抽象与高性能叙事之外,Fogo离主网安全还有多远。
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
过去一年,Layer1 的技术路线其实发生了一个很明显的变化。
大家不再单纯卷 TPS,而是开始卷执行模型之外的用户体验层,比如会话签名、代付 Gas、链上身份、域授权体系。这背后有一个现实原因:链的性能再高,如果用户每一步操作都要用主钱包反复确认,任何需要连续动作的 DeFi 场景都很难成立。
也正是在这个背景下,Fogo 选择把重点放在一个很多人容易忽略的方向上:在保持 SVM 执行模型兼容的前提下,引入类似 session 的临时签名委托体系,再配合 paymaster 完成交易费用赞助,从而实现不依赖主钱包持续签名的链上交互流程。
如果单看产品体验层,这是一个非常合理的演进路径。问题在于,一旦你开始允许主账户把部分签名权、代币使用权、程序调用权限委托给临时会话密钥,整个系统的风险模型就会从链上合约安全,迅速扩展到权限生命周期管理与跨域授权控制。
Fogo 在 2025 年 10 月发布的两份由 OtterSec 完成的安全审计报告,正好给了我们一个机会,从工程安全而不是市场叙事的角度,看清这套体系目前处在什么阶段。
会话体系的核心问题,从来不是创建,而是撤销
Fogo Sessions 的设计目标很直接,让用户可以在某个域范围内创建临时 session key,授权其在有限时间内代表主钱包完成指定程序调用与代币操作。
这种机制在链上订单簿、自动清算、实时拍卖等高频场景中几乎是刚需,否则每一次链上撮合都需要主钱包参与签名,交互延迟会被人为拉高。
但审计报告中最关键的高风险问题,并不是出现在会话创建流程,而是会话关闭流程。
在 OS-FGS-ADV-00 中,审计团队发现 close_session 在实现上只是一个状态结束操作,并不会撤销此前通过 token approve 授予 session 的代币使用额度。也就是说,会话在逻辑上被关闭,但授权关系依然存在,只要 session key 曾经泄露过一次,攻击者依旧可以在关闭之后继续花费剩余额度。
这类问题危险的地方不在于代码复杂,而在于权限语义被错误建模。用户理解的关闭会话意味着权限归零,但系统实现只是终止会话状态,而不是终止授权能力。
团队已经通过在关闭流程中补充 revoke 调用完成修复,这一步非常必要,否则 session 体系本身就会成为一种难以察觉的长期授权残留机制。
赞助机制与账户模型之间的冲突,会直接转化为资金攻击面
Fogo 的 paymaster 机制允许 sponsor 为用户承担账户租金与交易费用,这也是其无感交互体验的重要基础。
为了在会话结束后回收这部分租金,系统将 token account 的 close authority 指定为 sponsor,使其可以在必要时关闭账户并取回 rent lamports。
但 OS-FGS-ADV-01 与 OS-FGS-ADV-02 显示,这一设计在面对 native token account 时存在结构性问题。
在现有 token program 中,当账户 owner 通过 SetAuthority 修改账户所有者时,close authority 字段会被重置。这意味着原本由 sponsor 控制的回收权限可能被账户 owner 间接夺回,从而在关闭账户时取走由 sponsor 垫付的租金。
另一方面,对于 wrapped SOL 账户,如果未及时调用 SyncNative,同步后的 amount 字段可能显示为零,但账户仍持有 lamports。在这种情况下,close authority 可以在非 owner 身份下关闭账户并取走剩余资金。
这两类问题并不属于逻辑漏洞,而是源于上层资金回收机制对底层账户状态字段的信任。只要系统设计依赖这些字段进行关闭判断,就必须确保其始终处于同步状态,否则 sponsor 资金就可能在合法流程下被转移。
报告建议在关闭前强制同步账户余额,并阻止 SetAuthority 重置 close authority,目前相关补丁已经合入。
Paymaster 的风险,本质上是 Web 服务级别而不是链上程序级别
随着 account abstraction 思路在各类链上逐渐落地,paymaster 正在成为新的攻击热点。Fogo 的审计报告中,多条中风险问题都集中在这一模块。
OS-FGS-ADV-03 指出 SDK 中 verifyLogInToken 在校验登录 token 时仅验证签名有效性,而未检查 token 或会话是否过期。这意味着即使 session 已被撤销,签名仍可能被误判为有效,从而授予访问权限。
OS-FGS-ADV-04 则表明 start_session 指令约束中缺少 domain PDA 校验,理论上可能出现一个域的 sponsor 被用于另一个域创建会话,从而承担本不属于自己的 sponsorship 责任。
更现实的问题来自 OS-FGS-ADV-05,目前 paymaster 对 sponsorship 请求缺乏速率限制,攻击者可以通过大量 session 建立请求耗尽 sponsor 资金池,形成服务拒绝。
这类风险的共同点在于,它们往往跨越链上与链下边界。即使链上程序逻辑完全正确,只要 SDK 或 API 层缺乏过期校验、域绑定验证或访问频率控制,攻击者依旧可以构造完整的滥用路径。
在当前以 paymaster 为核心的无 Gas 体验趋势下,这部分防护措施必须按照传统 Web 风控体系进行设计,而不能单纯依赖链上验证逻辑。
长生命周期授权叠加不可撤销性,是权限系统最危险的组合
在 OS-FGS-ADV-07 中,审计团队指出 session-manager 未对会话有效期设置上限,理论上可以创建持续数十年的 session。
单独看,这可能只是管理问题。但结合 OS-FGS-SUG-01,目前 revoke_session 仅允许 session account 自身作为 signer 发起撤销,一旦 session key 丢失,主钱包将无法提前终止该授权。
这就形成了长期授权与不可撤销并存的风险模型。一旦密钥泄露,用户只能等待会话自然过期,而无法主动断开其权限。
团队已经为会话增加最大时长限制,但允许主账户直接撤销会话的能力仍处于建议阶段。如果该功能未在主网上线前完成,session 体系在真实资产场景下将长期暴露于权限滥用风险之中。
Validator 审计揭示的,是主网级治理门槛而非实现问题
相比 Sessions 报告中偏实现层面的漏洞,Fogo Validator 的审计结果更偏向治理结构。
OS-FGV-ADV-00 显示,当前部分 feature gate 仍由旧的 Anza 所属密钥控制,意味着协议功能开关的控制权未完全纳入 Fogo 治理体系。
对于测试网环境,这种遗留并不致命,但在主网阶段,任何 feature activation 权限的不明确,都可能影响网络升级的可信度。
OS-FGV-ADV-01 更直接指出,当前 feature activation 逻辑仅要求 1% stake 与 1% RPC 节点参与即可激活新功能。
如此低的阈值在主网环境中存在明显风险,一旦少数节点提前启用新特性,而大多数验证者仍运行旧版本客户端,网络一致性就可能被打破,甚至诱发链分叉。
报告建议将阈值提升至至少三分之二的 stake 与 RPC 支持度,这也是大多数生产级区块链在功能升级时采用的安全下限。
从工程角度看,Fogo正在从性能问题转向权限与治理问题
如果只从技术路线来看,Fogo 试图解决的其实是当前高频 DeFi 交互体验的核心瓶颈。通过 session key 与 paymaster 机制,将连续签名与费用承担从主钱包抽离出来,确实可以显著降低链上操作摩擦。
但审计报告表明,随着交互复杂度上升,系统风险也逐渐从执行层转移至权限生命周期与治理流程。
Sessions 的挑战在于授权是否可控、是否可撤销、是否存在残留;Validator 的挑战则在于 feature gate 权限是否明确,以及升级流程是否具备足够共识基础。
从已修复问题的处理方式来看,团队在实现层面的响应速度是积极的。但对于撤销逻辑完善与 feature activation 阈值调整等治理类问题,其优先级仍将直接影响主网安全边界。
在当前市场周期中,账户抽象与无感交互已经成为新的基础设施竞争点。Fogo 的路线选择并不激进,但其安全模型必须在主网上线前完成从功能可用到权限可控的过渡,否则体验层优势可能会被授权体系的不确定性所抵消。
真正决定一条链能否承载大规模 DeFi 资产的,从来不是执行性能,而是用户在最坏情况下,是否仍然保有最终控制权。
@Fogo Official #fogo $FOGO
Übersetzung ansehen
今天大家都在薅京东的羊毛啊
汉堡+鸡肉卷/汉堡+饮料=16.9元汉堡+鸡肉卷/汉堡=15.9元汉堡+小食+饮料=15.9元
成为骑手后,部分地区新人首跑送30,有的送15
汉堡+鸡肉卷/汉堡+饮料=16.9元汉堡+鸡肉卷/汉堡=15.9元汉堡+小食+饮料=15.9元
成为骑手后,部分地区新人首跑送30,有的送15
Übersetzung ansehen
🚀 为什么你应该抄底 币安人生 —— 宇宙所第一中文Meme的黄金坑解析
如果你错过了十月初那场暴涨数千倍的狂欢,那么现在的深调或许是市场给出的第二次机会。作为 BNB Chain 上首个由平台核心人物叙事点名的中文 Meme,币安人生正在经历从狂热到价值回归的深度洗牌。
通过最新的交易数据分析,我们可以从以下几个核心逻辑看清当下的布局机会:
1. 筹码大洗牌,抛压进入尾声
24小时资金净流入数据显示,资金在经历了一波剧烈的流出后,曲线已经开始在底部走平并呈现微弱的反弹迹象。这意味着大单抛售最猛烈的阶段已经过去,主力资金的离场动能衰减。虽然主力净流入目前仍为负值,但小单的接盘情绪依然活跃。这种大户割肉、散户进场接力的过程,让筹码完成了去中心化,通常是下一波爆发的前奏。
2. 持仓集中度回调,筹码结构更健康
场内持仓集中度曾出现过一次极速的断崖式下跌,这表明原本高度集中的筹码已经充分分散到二级市场。对于一个 Meme 币来说,过度集中的持仓就像是随时会落下的利剑,而现在的结构比早期更加健康,有效降低了单一地址砸穿盘面的风险,为后续的稳步拉升打下了基础。
3. 顶级叙事引擎:不仅是代币,更是文化符号
币安人生诞生于创始人在社交媒体上的互动,这种由顶级交易所创始人直接提供的叙事力量极其罕见。
* 历史高度: 曾触及 0.507 美元的高点。
* 当前价格: 约在 0.0719 美元附近,较峰值已大幅回调。
* 市值潜力: 约 7220 万美元。对于一个拥有庞大社区基数、背靠 BNB Chain 核心生态的华语第一 Meme 来说,这个市值正处于明显的价值洼地。
4. 极高的换手率与生命力
目前成交量与市值的比率高达 21.97%。在加密货币领域,超过 20% 的换手率意味着极强的流动性与市场关注度。你可以随时进场或离场,这种高频交易代表热度从未消失,资金只是在低位进行换手和蓄势。
💡 总结:为什么要在此位置布局?
Meme 币的核心逻辑在于共识和位置。
* 论共识: 币安人生代表了东方的叙事力量,是 BNB Chain 挑战其他公链 Meme 地位的尖刀。
* 论位置: 目前 0.07 美元附近的价格,既是多空交战的心理关口,也是主力资金重新寻找平衡的成本区。
跌出来的空间就是未来的利润。当市场在恐惧中完成换手,聪明的资金往往已经完成了低位埋伏。
> 风险提示: Meme 币波动巨大,请使用风险承受范围内的资金参与。
$币安人生
通过最新的交易数据分析,我们可以从以下几个核心逻辑看清当下的布局机会:
1. 筹码大洗牌,抛压进入尾声
24小时资金净流入数据显示,资金在经历了一波剧烈的流出后,曲线已经开始在底部走平并呈现微弱的反弹迹象。这意味着大单抛售最猛烈的阶段已经过去,主力资金的离场动能衰减。虽然主力净流入目前仍为负值,但小单的接盘情绪依然活跃。这种大户割肉、散户进场接力的过程,让筹码完成了去中心化,通常是下一波爆发的前奏。
2. 持仓集中度回调,筹码结构更健康
场内持仓集中度曾出现过一次极速的断崖式下跌,这表明原本高度集中的筹码已经充分分散到二级市场。对于一个 Meme 币来说,过度集中的持仓就像是随时会落下的利剑,而现在的结构比早期更加健康,有效降低了单一地址砸穿盘面的风险,为后续的稳步拉升打下了基础。
3. 顶级叙事引擎:不仅是代币,更是文化符号
币安人生诞生于创始人在社交媒体上的互动,这种由顶级交易所创始人直接提供的叙事力量极其罕见。
* 历史高度: 曾触及 0.507 美元的高点。
* 当前价格: 约在 0.0719 美元附近,较峰值已大幅回调。
* 市值潜力: 约 7220 万美元。对于一个拥有庞大社区基数、背靠 BNB Chain 核心生态的华语第一 Meme 来说,这个市值正处于明显的价值洼地。
4. 极高的换手率与生命力
目前成交量与市值的比率高达 21.97%。在加密货币领域,超过 20% 的换手率意味着极强的流动性与市场关注度。你可以随时进场或离场,这种高频交易代表热度从未消失,资金只是在低位进行换手和蓄势。
💡 总结:为什么要在此位置布局?
Meme 币的核心逻辑在于共识和位置。
* 论共识: 币安人生代表了东方的叙事力量,是 BNB Chain 挑战其他公链 Meme 地位的尖刀。
* 论位置: 目前 0.07 美元附近的价格,既是多空交战的心理关口,也是主力资金重新寻找平衡的成本区。
跌出来的空间就是未来的利润。当市场在恐惧中完成换手,聪明的资金往往已经完成了低位埋伏。
> 风险提示: Meme 币波动巨大,请使用风险承受范围内的资金参与。
$币安人生
Übersetzung ansehen
币安人生走到底了吗?
$币安人生
$币安人生
Übersetzung ansehen
【熊市撸毛系列三】币安红包转账活动0.001U赢100U
1、主页点击右上角图表
2、点击支付活动
3、点击转账活动
4、填写币安支付ID:59845069
1、主页点击右上角图表
2、点击支付活动
3、点击转账活动
4、填写币安支付ID:59845069
Melde dich an, um weitere Inhalte zu entdecken