运营交易所的安全挑战 Part 2.1.1 — 风控 - 上币部分

Published on:

风控部分的文章,因为很长。所以我从大家比较有兴趣的主题先写。我想很多人比较有兴趣的部分,是上币。

上币的原则

上币是交易所收入的主要来源。是非常重要的一环。所以很多人都会好奇,交易所上币的原则是怎么样的。

多数人以为只要上币费给得多就上。但事实上不是这样的。上一个币要考量非常多因素。

而且坦白说,今年开交易所的技术难度比去年年初时开交易所难度高非常多。

以前交易所只需要接 BTC 一套资产,顶多 ETH 再一套资产。

今年要接的资产有:

  • BTC
  • BTC 及其分叉币
  • ETH
  • ETH 及其 ERC20 Token
  • 各种公链
  • 各种公链上的 Token ( 比如 Qtum, Neo, Steemit , XRP, EOS )
  • ERC20 Token 转成公链(的过渡过程)

很多人常常会批评常去的交易所,反应不够快,态度很烂,技术不行。不支持分叉币,不支持糖果空投,不支持那个代币转换。

实际上交易所是哑巴吃黄连。

交易所的选币标准

交易所如何选币?

外界可能比较猜测到的选币标准通常是:

  • 项目方给了多少钱
  • 与哪一些资本战略合作
  • 可以带来多少流量与交易深度
  • …..

其实撇除这一些常见因素,其实更多人可能不知道的是,交易所还更考虑一个币的界接 / 维护度 / 安全度。

为什么上这个币?为什么不上这个币?

资产分两种,一种本身是链,另一种是链上的 Token。

如果要是赚钱为基础考量的话,其实大多数交易所都宁愿只支持 ERC20 Token。

原因很简单,因为:

  • 钱包工程师是交易所极度希有的资源(许多交易所干到很大了,还只有 1-2 位,甚至钱包工程师可能是老板本人或 CTO 本人。。。。。)
  • 一个链的热钱包通常是一台独立机器(风控因素)

以 C/P 值来说,当然交易所比较有大的意愿去支持 ERC20 Token。因为毕竟跑在同一套架构上。甚至有些交易所架构,写的比较好,改个设定就能上一套币上去了。

其他的公链,除非是前十,具有极大的流动性。否则交易所愿意接入的意愿,也相对来说较低。

特别是很多公链或者分叉币的钱包,接口与架构做的极其粗糙蛋疼。甚至这些链本身转帐与校验的方式,就不符合交易所的架构安全规范。这种优先权就会被排的非常低。

更别说,是基于其他知名度比较低链(这边就不点名了)上的 Token 了。除非是资本特别关照交易所,否则一般交易所并不会想接这么蛋疼的活。

为什么交易所 2018 年中之后上币趋于保守?

2017 BTC 分叉币之乱

2017 年底的时候,最热的话题是分叉币,各家交易所为了争取交易所,一下说支持这个分叉币,一下又说支持那个分叉币。

后来为什么大家都不支持,或者是只打快照,但实际不接充提呢?

两个原因:

  • 打快照太耗交易所的资源。用户都非常在意自己领到精确数量的糖果。所以打快照需要钱包工程师或者数据库工程师全神贯注作业,甚至关闭站上充提。某种程度上相当干扰站上正常交易行为以及日常运作。
  • 本来说好的区块快照高度,一变再变。
  • 分叉币团队根本做不出钱包,导致无法充提。在这个情况下,交易所哑巴吃黄连,抢先发了糖果,却一直被骂单机币。但事实上是分叉币团队技术不够。
  • 许多分叉币后来被证明只是炒作,对交易所毫无维护价值。
2018 年初 - ETH 智能合约漏洞

在 2018 年初,开始很多团队涌入开设交易所。支持 ERC20 Token 大家不亦乐乎。甚至某段时期,有些交易所甚至不需要上币费,推用户自主上币。

但是一段时间之后,为什么又沈寂了呢?

原因在于业界出了几次的重大事故。大家才发现原来智能合约上的信息是「不可信」的。

一般来说:

  • 资安的重要意识是要假设用户的资料是恶意的,先行过滤一遍再进行处理。
  • 交易所对区块链资产的充值往往只是确认数字对不对,网路上的确认数够不够。防重复充值而不会去校验,这个值是不是合理的。

问题在于:

  • 一些发币项目方,并没有本事写智能合约,都是外包的。要码智能合约本身有问题,可以被偷印币。
  • 要不是智能合约被外包商留了恶意后门,可以无视拥有者权限任意转帐划币。

这下很多交易所就炸锅了。因为这样会造成

  • 被转帐虚假的数字,大量充值,大量提现。交易所热钱包被提光。
  • 攻击者恶意砸盘提币变成 ETH 走人。
  • 错帐
  • 项目方「升级」(其实是换掉)智能合约硬回溯。所以空窗期的损失有可能是交易所或者使用者承担。(因为通常被攻击,到项目方通知交易所,到交易所真正关闭交易。都存在著时间差。)

所以现在多数交易所,都需要上币方必须提交审计报告,甚至质押项目风险保证金。

2018 年中 - EOS 糖果

EOS 糖果,一开始各大交易所都支持的很迟疑。甚至表示负面态度。

事实上就是被 ETH 智能合约漏洞这个问题所搞到胆战心惊的。

  • EOS 本身是刚上线的 beta 版本软件,本身不知道存在什么致命性漏洞。(交易所光开充提都很小心保守)
  • EOS 上的 Token 本身也是智能合约。然而,这些智能合约没有经过审计。贸然支持实在不知道会有什么后遗症。
  • 再来,EOS 改进了「 ETH 智能合约不可升级的缺点」,可以链上升级。可以升级也不一定是什么好事。举个例子好了,若是项目方改变了合约里面的总量数字与合约持有者持有的 Token 总数。。。。。会发生什么事。
  • 可以升级甚至可能代表「第一次 OK 的审计报告」可能是无效的。
  • EOS 本身上有一些架构问题,目前陆续爆出 0day,还未修复,可能导致交易所冷钱包资源受损。

再来,某些 EOS 糖果的操作非常危险,甚至是需要动用到冷钱包本身操作去领取的。严重违反交易所本身的内控准则。

这都是为什么许多交易所对于 EOS 糖果这件事,并不是持激进态度。

交易所难为的地方在于许多区块链资产都是 beta 版软件上面跑 alpha 版架构。不支持了被用户骂侵吞资产,支持了交易所又暴露在巨大的技术风险下。

如何进行风控

上币的风控分两块

币本身的信用

  • 上某个交易所本身,甚至代表交易所检查过背景
  • 有些币是明显针对老年人的庞式骗局。答应上了到时候说不清

币本身的技术风险

  • 合约本身是否经过审计,没有低级的安全性问题与架构上缺陷
  • 项目方彼此的紧急通报机制与内部下架处理
  • 风险的承受范围
  • 异常交易风控的警报
  • 对区块链上传入数字的校验。(可疑的大额转帐,宁愿直接 drop,人工手工入帐出帐。)
  • 与生态圈的战略结盟,达到第一时间修复 0day。

运营交易所的安全挑战 系列文目錄

运营交易所的安全挑战 Part 2.1 — 风控

Published on:

如果要我形容过去一年开交易所的感想,大概只有一句话形容 — 在炸药堆上开公司。

公司内部人一句话说错,关键几行代码错,一个小时不留神,整个公司都很有可能直接完蛋。一般技术创业公司可能很难想像这是什么场景,以及这是什么挑战难度。

这不是因为公司风控薄弱。而是这整个区块链业界,需要风险控制的地方,实在远比想像中的要多太多了。

区块链技术本质上是解决人与人交易信任上的问题。

然而,这个世界大概却是我见过人心最险恶的世界 — 而且 — 知道业界各种险恶,各种套路,还得装得一切都没事。

险恶包括:

  • 人与人之间的交易毁约与蓄意欺诈。(场外交易)
  • 无节操的 PR 碰瓷(没有道德的业馀安全团队发假 FUD )
  • 利用信息不对称的市场操作与项目方绑架交易所(项目绑架上币)
  • 社交工程的各种花式套路(社交钓鱼)
  • 区块链资产因为各式原因的的不可「信任」(充满缺陷的智能合约资产)
  • 各种太多眼花缭乱的庞式骗局.

很多人以为开交易所很风光,收收项目方天价上币费,发发糖果,刷刷量没什么技术可言。

所谓安全哪有啥?不就是:

  • 防钓鱼
  • 冷热钱包
  • 代码审计

哪有什么好说嘴的?

事实上,大众所知的只是区块链科普媒体上的小小一环。要好好保护用户资产的议题远比这个深入的多。

业务机制需要做到的风控部分

  1. 场外交易
  2. 场内交易
  3. 糖果
  4. 羊毛党耗用资源问题
  5. 智能合约风控
  6. 上币方道德风险以及上币维护成本

因为这个议题也很大,于是我会拆成若干篇文章细讲。

运营交易所的安全挑战 系列文目錄

运营交易所的安全挑战 Part 1 - 如何保护使用者的资产

Published on:

黑客(入侵型)攻击交易所主要有两种手段:

  • 针对交易所本身的设计瑕疵攻击
  • 针对交易者进行社交攻击,诱骗拿到密码或者前往钓鱼网站

攻击交易所本身的设计瑕疵,本身难度比较高。可以把攻击交易所这件事,比喻为抢银行。

来硬的抢银行,难度可能比较高,因为有些银行防御系数非常高。不容易打的下来

但是对使用者进行社交攻击,就比较简单了。所谓社交攻击类似就是像骗密码。有时候要抢钱不一定得直接硬碰硬抢银行,合法拿本子进去银行大摇大摆提现容易的多。

什么是社交攻击?

人类对于自身信息的保护意识与技巧,其实是这当中最脆弱的一环。

所谓社交攻击就是黑客利用一系列人与人之间的互动去让被害者上当。

举例来说,常见的两种社交攻击技巧:

  • 用户无意中上到假的网站,输入真的密码。输入正确密码,却没有办法登入。但是也没有立刻意识到这是诈骗网站,即时把自己密码改掉。
  • 用户收到钓鱼信件,信件是由熟人寄来的。通常诈骗的手法是希望被害者打开副档名 .pdf 或 .docx 的内容阅览。而被害者一打开这些文件,马上就被植入木马。而这些木马会监测使用者在电脑的各种输入。。。。。(包括密码)

不容易被入侵的防御意识是:

  • 只用 iPhone 不用 Android
  • 只用 Chrome 不用其他浏览器
  • 使用 Mac 而不使用 Windows
  • 不同网站使用不同密码
  • 仔细检查网址是否是假的网址
  • 网址是否有上 https
  • 对于熟人寄来要求开档案的邮件,一律不打开。
  • 使用会自动侦测有害附件的邮箱(如 Gmail)
  • 邮箱也上二步验证。(这是最多人缺乏的意识,很多黑客喜欢攻击邮箱,因为很多网站的防御机制是透过邮箱确认。邮箱被入侵,会连这第二道防线也沦陷)

防社交攻击,说到容易做到难

社交攻击难以被防御的问题在于:

  • 很多人只是买个币,并不是电脑高手,也不是有被害妄想症的人,不可能防这个防那个。
  • 有一些防御细节牵扯到技术细节,一般人无法短时间吸收,更难以宣导。通常是中一次奖才会痛。

而且中国大陆用户的使用习性,可能让这件事又变得更加困难。

  • 很多人用的不是 Chrome / Firefox,而是不知哪里来的加料浏览器。(本身电脑还中了毒)
  • 绝大多数人惯用手机不是 iPhone,而是系统底层容易被入侵的 Android。
  • 多数人邮件使用的是 qq / 163 邮箱,不是 gmail。

所以要让使用者保持「安全」,这件事是很难做到的。因为使用者本身就不是待在安全的环境里。

交易所该怎么防:预设使用者已经被盗,但无法让被盗者一次得逞

所以交易所该怎么做呢?

我认为实做交易所安全很重要的一个态度,是直接假设所有的使用者的信息都是极其可能被盗,甚至已经被盗。

关键在于如何使用者在密码已经被拿到的情况下,还能保护使用者的资产。

技术性阻挡一次性沦陷

主要办法就是开启多重因素 ( Multi Factor )。

几个可以具体且可以确切阻挡的作法是:

  • 当侦测到使用者上次登入与这次登入的 IP / 浏览器不同时,要求使用者必须在邮箱里面确认。(假设 Email 没被盗的情况下)
  • 关键提取资产步骤,必须请使用者输入二步验证码,才能进行提币申请。(这里可以确认是本人操作)
  • 提币申请发出后,必须请使用者再去确认一次提币动作。(假设 Email 没被盗的情况下)
  • 请使用者设置防钓鱼码,确认以交易所名义寄来的信,确实是交易所寄来的。

这些都是一些目前主流交易所预设会上的技术手段。尽量避免使用者因为一道密码沦陷,甚至邮箱沦陷,整套资产蒸发的风险。

内部风控机制

另外还可以做的是交易所内部的风控动作。

所谓风控动作比较像是侦测可疑性事件并且主动进行阻挡:

  • 使用者是否提币到高危地址。(已经被回报为诈骗者变现主要钱包)
  • 使用者是否近期不活跃,突然转出大额资产。提币确认由机器处理转为人工客服处理。
  • 多个使用者被同一 IP 登入,快速冻结所有相关帐号
  • 同一 IP 尝试多个帐号密码,直接 ban 掉
  • 针对不同活跃度使用者,区分风险等级。高风险使用者出现不寻常动作,立刻冻结相关权限。

运营交易所的安全挑战 系列文目錄

運營交易所的安全挑戰 Part 0

Published on:

因为 2017 年区块链趋势兴起,明显的造富潮。所以造成很多人不是在买币的路上,就是在开交易所的路上。

即便到现在,还是会有人问我关于创业开交易所该具备哪些条件,对于开交易所跃跃欲试。

坦白说,我认为开交易所,需要天时地利人和。甚至是不只天时地利人和,还需要相当扎实深厚技术功底。

因为开交易所的难度可能是一般 FinTech 的几十倍不夸张。因为真不是开个站就会有人愿意存钱交易这么简单的事。更别说,果做起来,有人愿意存大量的钱在这里,那么站方又怎么保护这些资产?

之前一两个月,我曾经与安全厂商 Sqreen 合作发表了一篇关于交易所安全性的英文专访文章。

这次打算花更多时间,来专门写一篇有关于交易所安全性的专门文章。

什么是经营交易所技术上最挑战的部分?

若说 2018 年区块链行业最赚的行业是什么?我不会说是开交易所,甚至不会说是发币(除非立志狂印超多空气币杀韭菜)。我认为是当区块链黑客(入侵类型的那种)。

为什么呢?

这里列一些我看过业界的几种情况:

  1. 许多区块链资产持有者,资安意识匮乏,很容易因为一些小钱(比如空投或代开钱包)就把自己私钥交出去了(各种花式被拐)。
  2. 许多发币者,智能合约不是自己写的,而是由外包写的。所以一但币的合约出现问题,而且这个币已经上了交易所,加上(ETH)智能合约不能修改。很可能因为时间差问题,造成交易者与交易所的重大损失。
  3. 链本身机制不成熟,可能因为链本身的 0day 导致交易所被攻击。
  4. (EOS)的合约上链之后可以被修改,导致即使第一次看到的版本是可信的,只要 Owner 有心作恶。合约爱怎么改就怎么改,使用者与交易所不会马上察觉。
  5. 交易所的部分代码出现问题(可能交易下单引擎有 race condition),导致使用者可以自己印钱出来。转手提币到其他交易所直接变现逃逸。
  6. 使用者对于自己的密码保管不当,被撞库。或者交易所没有防恶意撞库。而且没有对提限等敏感操作设防,导致资产被偷走。

我还可以列出几十种曾经发生过的案例,限于篇幅写到这里。总而言之,大致上分成这几种类型:

  • 许多使用者,完全没有资安意识以及资安知识。但交易所必须在机制上做到即便使用者没有相关知识,就算遭受到恶意钓鱼,也不至于死伤惨重。
  • 交易所本身也是一个成长型 Startup,在一般 Startup,推出功能的速度是最被看重的。架构稳定与 Bug 优先权是次要的。除非有老练架构师在的交易所,否则团队写代码难以有资安优先的潜意识。而只要一个 Bug,可能就会让整个交易所的当季利润当场蒸发,甚至直接破产。
  • 交易所接入的数字资产,本身是(高度)不稳定且不成熟的开源软件。链与合约本身都有可能(一转眼变成)是恶意的。

所以,我才会说也许当一个区块链黑客(入侵型),可能远比开交易所来的划算。

那么,资安是经营交易所技术上最挑战的部分吗?我认为也不是。经营一个交易所要注意的部分非常的多。

  • 交易底層系統的設計
  • 促進交易系統與交易者活躍度的設計
  • 交易系統效能上的延展度與抗壓度
  • 如何選幣?(項目靠譜度,項目介接技術難度,項目後續維護性)
  • 風控系統的設計(如何降低用戶的損失,如何降低站方的損失,如何第一時間阻斷攻擊)
  • 內控系統的設計(如何分層管控內部存取敏感資訊,以及資產如何分散風險異地配置)

資安只是其中的一環。但這個項目卻是一失守,所有其他一切都變得不重要的一環。也是一般技術 Startup 最脆弱的一環。

  • 交易底层系统的设计
  • 促进交易系统与交易者活跃度的设计
  • 交易系统效能上的延展度与抗压度
  • 如何选币? (项目靠谱度,项目介接技术难度,项目后续维护性)
  • 风控系统的设计(如何降低用户的损失,如何降低站方的损失,如何第一时间阻断攻击)
  • 内控系统的设计(如何分层管控内部存取敏感资讯,以及资产如何分散风险异地配置)

资安只是其中的一环。但这个项目却是一失守,所有其他一切都变得不重要的一环。也是一般技术 Startup 最脆弱的一环。

如何建置高可靠的交易所?

这篇文章可能会很长,我打算拆成一个系列持续连载。主要会分成几个主题:

  • 如何保护使用者的资产(在教育层面以及系统机制层面)
  • 如何做风控
  • 如何做内控
  • 以资安为重点的编程架构设计
  • 与资安协力厂商的合作

运营交易所的安全挑战 系列文目錄

平静处理事情的绝佳方法

Published on:

最近学到了一个非常牛逼的方法,叫做「A4纸书写法」,这个方法出自于赤羽雄二的「零秒思考」一书。

使用方法也非常简单:

  • 遇到苦恼与愤怒的事情,生氣時別急著找人抱怨
  • 拿出一張 A4 開始發洩,真實的把腦袋裡面浮現的字寫下來
    • 不管是遇到的爛人,爛狀況
    • 自己的情緒
    • 自己的苦惱
    • 衍生的解法
  • 以条列的方式写下来
  • 写完一张 A4 后,把第一章 A4 里面浮现的问题,再逐一展开来写
  • 一样是把脑袋浮现的念头写下来

一旦写到两三张后,就会走出困境。有办法知道自己的问题,也列得出后续代办的 TODO。

摆脱自己的情绪

这个方法刚开始是同事介绍的,本来用时还半信半疑。但是写了几张 A4 纸之后,越写脑袋有更清楚的感觉,开始逐渐上瘾。

写到后来,我开始明白这是什么道理。

人脑是有带宽限制的。情绪也会占据短期注意力(通常只能记住五件事)。 一旦短期注意力被情绪满满的占住,不是不理智,就是会陷入情绪负循环。 被占住没有好方法可以解,通常只有睡觉可以解决。

另外可以解决的方式,就是找朋友喝酒吐苦水。吐苦水其实是一种强制释放注意力的方式,透过叙述的方式,释放短期注意力,把话越说越明白。

但是吐苦水是有代价的。

  • 朋友未必有时间听你吐苦水
  • 就算有时间,长久下来对方也觉得你是个负面的人

另外,如果对方不是个引导者,而只是个情绪接收器。多半吐苦水,能宣泄掉的是情绪。情绪宣泄完,还是没有明确的方法往前。

A4 纸书写法 = 驴耳朵

而 A4 纸书写法其实充当的就是驴耳朵的功用。

透过手工书写,能够有效把注意力聚拢。而且将情绪都发泄到纸上,写了两三张后,明确就会知道问题在哪了。

比如若书写了当天对某某的不满,其实反过来看这些抱怨的内容,就代表其实你不满的是对方违背你个人的原则或者做事的原则。

那么应该做的是,把个人的原则与做事的原则写下来,公告或落实在生活中。

我通常在书写到第二张纸后,就有办法把情绪,原则,TODO 很快的梳理开来。

这其实也是一个把不确定性问题,梳理到确定性问题,再找出解答的方法。

动手做

当然,这个方法非常好用。但是为什么不是很多人流通,并养成习惯。

我个人的原因猜测是这样子的。在情绪产生时,很多时候下意识只想到都是对方的错,对方应该如何如何。

而在书写 A4 或是日常撰写 ORID 时,常常不小心就会变成对自己深刻的检讨。

没有人喜欢一天到晚检讨自己。不是病态的人,并不会有检讨自己上瘾的感觉。

但是,我觉得人与人的差距,就在于一个人有没有办法摆脱自己的情绪,客观的面对自己的不足做出检讨改进,摆脱自己老是陷入的失败回圈里面。

这才是成长的核心重点。

如何在熊市保持理智不割肉?

Published on:

这是币市里面头号的一个经典问题。

我们都知道要在币市里面赚钱,最佳的原则

  • 低买高卖
  • 选定优质资产低点时购入,高点适当出货
  • 不碰吸血传销币,以免本金被吸

道理很简单,但是很少人能做到。

主要问题出在哪呢?

人类的大脑里面有两套系统,一套叫快系统,一套叫慢系统。

心理学家认为,人类的大脑是在所谓的双重系统中运行的。其中一个系统就是迅速的、直觉的、反应性的,此时的大脑会恒定地抵抗或逃避警觉,并不需要有意识地思考或努力,其运作方式类似自动驾驶仪,这是大脑的快系统。而另一个系统较慢,它更慎重、周密、有逻辑,因此在认知上需要付出更多努力,这是大脑的慢系统。
由于冷静的慢系统很费脑力,因此我们习惯把思考的时间花在热情的快系统上,容易在第一时间做出自发的、直觉的、反应性的、快速的判断。只有当某件事真正吸引了我们的注意力、迫使我们停下来或者使我们大为震动时,我们才开始意识到应求助于更深邃的、自省的、冷静的慢系统。但无论你是先启动哪种系统,大脑都会预先接受第一眼看到的事情,即便这件事并非真实。

问题了。慢系统的启动是非常费力的。甚至,需要足够的知识去培训。也就是:

  • 遇到突发状况,得训练先识别这信息是真是假
  • 根据越多的环境变量,去下出品质足够好的决策

问题来了,在币市里面

  • 信息极度不对称
  • 很多人对整个币圈的大环境,与经济的大环境是没有感知的
  • 原始的大脑只知道损失就要逃跑,有赠送的奖品立刻就要冲进去拿
  • 以为群众的结论就是真正的结论

所以当熊市时,就很容易鬼哭神嚎了。

另外,也有另外一个很重要的元素:血清素。

血清素是一种有助于提振精神,防止情绪低落或抑郁的重要大脑化学成分。 当血清素降低到一定数量时,便会出现注意力集中困难等问题,会间接影响到个人的计划和组织能力,此种状况下还经常伴随压力和疲惫感,如果血清素水平进一步降低,还会引起抑郁等更严重的问题。

很多人割肉时,多半是夜晚。很少在白天。因为在晚上,人是很难控制集中注意力,而且血清素低,很容易情绪一再降到低点。

那么在血清素低的时候,就容易做出后悔莫及的事了。

然而,你是不可能知道自己不知道的事。

所以,这时候念书就派上用场了,一个人要是知道自己有什么问题,先知道并且知道解法。那么下次再做这件事情时,就会三思再做动作。

像我一向在情绪低点时,往往是不做任何动作的。

我往往只会马上去做一件事,就是去睡觉。

睡觉治百病,真的,而且也防割肉。

如何保持快速学习的能力

Published on:

一直以来,很多人最常问我的一个问题是:如何保持快速学习的能力。

这边整理分享几个诀窍:

  1. 时时抱持解决问题的心态
  2. 练习拆分问题架构的能力
  3. 看书,整理,练习,复盘
  4. 优化学习的方法与路径

时时抱持解决问题的心态

很多人对学习这个词,与努力方向有很大的误解。

举个最常看到的例子,很多人立志要学习英语与编程。然而,立志是立志,执行是执行。很少人立了这两个志向之后能成功。这是为什么呢?

原因是:学英文其实是一个超大的目标,而真正的重点在於,去学英文以後,要干嘛呢?

* 有些人学英语是希望能够出国可以问路点饭简单生活
* 有些人学英语是为了能够看技术文件
* 有些人学英语是为了要能够回商务信件

总之每个人学英语是有不同的原因。但最常见也最常失败的狀況,是這個人認為学英文等于迈向成功之路,所以发了心要学英文。

而这就是一个经典的误区。

学英文之所以等于迈向成功之路,是因为英文能力牛逼了後,能够解决特定问题,所以个人的价值提升,接著才有後面的成長。

而所謂「學英文」是一个很大的范围目標,一個看不到终点的目標,努力到一半很容易半途放棄。

所以,我认为,快速学习的重点第一个是搞清楚你有什么问题要解,而不是直接跳进去学习。

有了清楚的目标,就有清楚的反馈,自然有成就感,就能推進自己快速进步。

练习拆分架构问题的能力

有了目标之后,接下来就是要去练如何拆分问题的架构了。

学习本質上來說是一个连续型事件,目的是要解决最終的大问题。

而大问题内又分小问题,又分轻重缓急。所以练习拆的能力,是相对重要的。一但懂得拆解架构,那么找到核心问题与答案的速度就会增加。连带找到有效资源的速度也会飞升。

一直以來,学习的重点是针对重点去学习,而且学會马上能够解决问题的方法,从来不是从基础练起。

看书,整理,复盘

一直以來,我坚信一件事:是这个世界上的历史是不断重复的,只是场景,人物,媒介,不断地在改变。

因此,问题的常见答案,或类似的型态,书上一定有,或网上前辈的演讲一定有。很多粗的答案,中等粒度的答案。实际上找书就会有,甚至如果自己领域找不到,跨个界,會赫然看到答案就躺在地上。

所以需要做的其实是整理出自己的问题与架构,然后去实际找书上的类似场景来解决。

当然,找到答案还不够。自己必须内化成自己的解决方案。才能够有效解决问题。甚至,跟別人不同的地方在於,我常常会習慣性的多做一件事,就是:进行复盘,并且把复盘的心得造成框架重复使用。

一但反覆进行了这个动作,将来遇到同样事件时,就会越来越熟练。甚至找到答案的速度越来越快,甚至会出现灵机一动的脑洞解法。

优化学习的路径与方法

在这个时代,学习的管道是无限框廣的的。可以透過买书,跨境买书,买付费课,上网看演讲录像,去进行个人的学习。

但我觉得重要的是,不管自己学习媒介摄取方式是什么,你如何优化自己的学习速度。

像我本身就非常清楚自己的优势在于视觉上的学习,如速读。对于音频与视频还有英文材料,消化速度非常慢。但这三个渠道的内容,往往又满满干货。甚至是那里有满满干货,很多人跟我一样也吃不下来。

那么我的策略就是去改变这些学习管道的载体。

比如说我就会写程式将购买的英文书籍,转成中文,用极速读书法快速略读,形成自己的新知框架。将音频节目,视频节目透过网路付费服务,转换成文稿。去避掉我时间与耐性不够去听完这些材料的缺点。

而这些方法是一般人没有想过,想过也不曾付诸去实行的。所以很多人会对我学习能力有个相当快速的感知。

我认为实际上不是我在学习上天赋异禀。而是我一路上不停的在优化我解决问题的手段,拆解问题的思考架构,以及摄取资讯的优化手段。

以上,分享给大家。

學會好好說話

Published on:

最近在受公關技巧的訓練,開始發現原來做人老實直白,並不是一個好的選項。更多時候,人際溝通上,更需要的是有技巧的對等交流。

後來又更發現,很多時候我們追求談判技巧的提升,並非正解。更正確的是必須摸清楚對話中權力的配置。

這部分的技巧,在喜馬拉雅的

裡面五百多則,多有很詳盡的探討。

原本我只認為這則專輯裡面,探討的是如何「把話說漂亮」的技巧。但是深鑽進去,更多的是做人與進退的道理。

真是學習了。

散戶投資最需要看的是什麼?

Published on:

最近朋友在問我讀什麼書。其實我最近不看書,多是「看」喜馬拉雅。

喜馬拉雅是一個公開的 Public Podcast 服務,但是上面我聽最多的是很多名家的連載精品課。其實很多人不知道,這上面的名家精品課,不知道比市面上的書,乾貨多少倍。

金融與投資方面推薦幾個課我很喜歡的:

  • 馬紅漫的價值投資課
  • 陳志武的金融課
  • 夏春的投資必修課

讀下來的感想是,當中我覺得草根的散戶,最重要的,其實反而不是需要看什麼價值投資的評斷。(當然這也很重要)

而是如何讓自己握得住。

很多時候,明擺著,公開的明牌就在那裡。但多數人就是握不住,拋了再握,握了再拋,反覆的被割。

我們都知道要賺錢需要逢低買進,逢高賣出。但是許多人是逢高追高,逢低割肉。活生生的被當了韭菜被割了一百遍。

而這恰好是書上學不到的,通常一個人真是得被反覆割了一百遍後,割到傾家,才會守紀律。前提是,還得弄得到資本東山再起。

但是多讀兩本行為金融學,至少就可以被少割八十遍。

還有兩本書可以推薦:

  • 數學家妙談股市
  • 理性市場謬論

裝備升級經驗 - 三宅一生

Published on:

有時候去接受一些奇怪的 challenge 才能讓自己成長。。。

剛剛點了一輪衣櫃,才發現我的衣櫃裡面常用外出服已經換成一排三宅一生了。

說起來很妙,跟三宅一生起緣是這樣的。去年年中參加開始參加愛飯團米其林團。因為要吃高級日料以及法餐的,要求穿正裝參加。

只顧著寫 code 與買幣的我,每天都只穿 tshirt 短褲在辦公室晃來晃去,哪可能衣櫃有啥正裝阿。最高級的衣服就是 superdry ...去哪生正裝,真是頭疼死我 :(

因為出發在即,我北京的朋友推薦我去秀水街定做西裝,號稱 2-3 天就可以拿貨。這是當時最快可以搞到西裝的辦法。

所以,我第一次參加米其林團,其實穿秀水街西裝參加的(掩面)。(雖然店家幫我做的西裝也挺帥的)

但是每次去參加。老是穿 102 套秀水街西裝。其實我自己也是很不好意思。在參加第二團時,我無意間認識一團香港來的朋友,當中有位朋友 style 與我類似,他每天都穿很帥且獨特的西裝。

於是,我請教他他身上的衣服可以在哪買?我很想買。

他說銀座剛好有店,我們可以趁吃飯空檔一起去去逛。

我一去就上癮了。直接買了兩套(基本款西裝)。出門隨口問了一下這牛逼的店中文名到底是啥,沒想到就是三宅一生。

既然買了就當場換穿去吃飯,結果大家就開始跟我討論三宅一生了。然後我才認識到原來很多商人喜歡穿三宅一生,因為 1) 不容易撞衫 2) 有型 3) 過瘦與過胖都不要緊,穿起來一樣好看 4) 衣服都不用折,塞行李箱皺巴巴直接拿出來穿也沒事

後來從此就成癮了,只要去日本出差,必排一天去補貨。最後就不小心衣櫃一排都是三宅一生了。

去秀水街那次奇妙旅程也讓我發現一件事,秀水街有能力快速「列印衣服」。於是我也(定做)列印了一排卡其褲。

所以現在基本出門很難煩惱自己到底要穿啥了。基本上就是挑一件 Tshirt 外面一件三宅一生襯衫,下面卡其褲。。。。。隨時都能很潮。

要是不去參加旅行團,衣服應該一輩子沒機會升級。