宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 非小号 > 正文

TokenPocket 闪兑服务商被盗,快检查你开通了多少“无限授权”

作者:

时间:1900/1/1 0:00:00

作者:LoopyLu,星球日报Odaily

今日,跨链??DEX?聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2100万美元。

发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前?TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

此外,安全团队PeckShield已确认黑客资金流向。

与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。

Aptos质押开发者:在交易所上线的Aptos Token不会来自公共供应:金色财经报道,据从事Aptos质押开发工作的Solana开发人员Paul Fidika在社交媒体上透露,FTX、Coinbase和Binance上线出售的Aptos Token不会来自于该项目的公共代币供应,他表示自己作为开发人员的个人参与经验导致他对该项目感到失望。Paul Fidika还透露了其他几个问题,包括:

1、Aptos没有社区运营也没有免许可验证者,所有101位验证者均由Aptos Labs / Foundation亲自挑选,验证者必须在开曼群岛签署一份仲裁协议才能包含在内。

2、Aptos使用了虚假的权益证明共识机制,其机制只用于经济而非安全(因为投资者喜欢PoS,因为如果流通供应大部分被锁定,则容易维持更高的Token价格),几十个私钥(或更少)可以通过一些交易停止网络(1/3质押)或接管网络(2/3质押)。

3、无法跨矿池共享权益。

4、AptosBFTv4只是DiemBFTv4重命名,使用的是HotStuff算法;这意味着如果有一些缓慢的验证者,网络性能会迅速下降,而这也是Aptos必须密切控制其验证人集的另一个原因。[2022/10/19 17:31:51]

什么是闪兑?

Tokenlon近24h交易量达到4300万美元:据欧科云链OKLink数据显示,截至今日11:30,近24小时以太坊上Dex协议总交易量约合6.17亿美元。其中排名前五的分别是Uniswap 2.94亿美元(+3.68%),Curve 1.55亿美元(+4.97%)以及1inch 0.47亿美元(+56.27%)。

此外Tokenlon近24小时交易量达到0.43亿美元,交易量环比上涨133%。[2020/9/27]

目前,几乎所有钱包都嵌入了?DeFi?功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。

所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。

TokenSoft加入加密游说组织Blockchain Association:金色财经报道,证券型代币平台TokenSoft已加入美国首个加密货币游说组织Blockchain Association。TokenSoft将与知名的加密货币公司和资深技术人员携手合作,以吸引已经对该领域表示出兴趣的立法者和其他监管机构。[2020/4/28]

或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。

合约授权潜藏了多少风险?

“没有人可以强行拿走你的加密资产”,是投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?

分析 | TokenInsight:BTC链上主要指标均有所升高 场内投资者依然有较大信心:据 TokenInsight 数据分析,近24小时内,BTC链上转账数292,620,同比24小时前上升4.8%;链上活跃地址数631,356,同比24小时前上升12.5%;BTC在中心化交易所24小时交易量83.4亿美元,同比24小时前增长15.9%;近24小时内存储地址BTC数量同比减少3,631枚。独立分析师 James 认为,从数据上可以看出此次BTC价格大跌并非由多数持有者抛售所致,且存储地址BTC数量虽减少三千余枚,但与之前大跌相比,流出量明显减少,反映出市场依然对BTC有较大信心。[2018/11/15]

授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。

或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无审核关系。

分析 | TokenInsight:近24小时BTC链上活跃度微降:据 TokenInsight 数据分析,近24小时内,BTC链上转账数246,845,同比24小时前下降2.1%;链上活跃地址数506,281,同比24小时前下降3.3%;交易所成交量39.8亿美元,同比24小时前上升1.86%;近24小时内存储地址资金同比减少19枚。 独立分析师 James 认为,目前BTC在中心化交易所内的成交量有所上升,但存储地址资金并未有较大流出,预计短期内BTC走势会趋于稳定。[2018/11/12]

审计=安全?

即使授权之后合约拥有转移加密资产的能力,但这种能力只在合理的范围内使用,这依然是安全的。而如果经过可信安全机构审计,是否即表示这种能力不会被滥用,只在用户进行交易时转走交易额的必要资产?

静态来看,这一逻辑是成立的。就如同?Uniswap??尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。

现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。

项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更改简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。

而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。

简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

无限授权有多危险?

所幸的是,授权并不代表用户随时暴露于钱包清空的危险中下。授权机制还有一个重要规则即是授权是含有数量的。用户“Approve”合约一定数量的代币,合约最多只能动用这些数量,即使是钱包里该代币数量再多,合约也已无法动用。

但危险的是,大多数DeFi合约都在无所顾忌索取用户的“无限授权”,即在默认情况下,用户所Approve的代币数量为无限。

一个典型的“无限授权”操作,授权金额高达10的59次幂数量级

用户如何防范?

没有授权就没有安全隐患。在执行链上操作之时,如需执行Approve操作,用户应遵循“用多少、授多少”的原则。如果我只需卖出1000TOKEN,那即应手动修改Approve金额为1000。在计算合约转移金额时是累积的,即若只授权1000、本次金额恰好交易了1000,合约授权额度恰好已耗尽。即使日后合约出现安全风险,也已无法再从用户钱包中转移走任何资产。

用户可手动修改授权金额

而对已经授权的用户来说,还可发起取消授权操作。

常用取消授权网站如下:

1.Dappstar:https://tac.dappstar.io/#/

2.Revoke:https://revoke.cash/

3.Approved.zone:https://approved.zone/

4.?RabbyWallet?

此外,一些区块链浏览器也支持用户查看并取消授权。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盗,谁的责任?

“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?

在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。

至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。

DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的田亮资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。

被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”

去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。

标签:TOKKENTOKENTOKECamelTokenUvTokenGet Money TokenYan Token

非小号热门资讯
NFT 交易市场 NeoSwap 完成 20.25 万美元 pre-seed 轮融资

据bizjournals报道,根据提交给美国证券交易委员会的文件披露,NFT交易市场在pre-seed轮融资中募集202,500美元,GossamerCapital参投,资金将用于支付现有员工的工资以及雇用新员工.

1900/1/1 0:00:00
Lifeform:获币安 labs 独家种子轮投资,Web3 视觉 DID 杀出重围

作者:星球君,ODAILY星球日报随着元宇宙的发展,DID?热度居高不下,域名服务沉寂过一段时间后在熊市逆势反弹引爆热点,各种域名项目迅速涌现.

1900/1/1 0:00:00
加密做市商 Wintermute 偿还了 DeFi 协议 TrueFi 总共 9600 万美元的债务

据CoinDesk报道,加密做市商Wintermute在被黑客入侵后数周偿还了DeFi协议TrueFi总共9600万美元的债务。TrueFi贷款是Wintermute从DeFi贷款平台获得的已知最大未偿还债务之一.

1900/1/1 0:00:00
晚报 |赵长鹏与 SBF 签署收购 FTX 的非约束性意向书;Su Zhu 表示或以新的目标重建家园

整理:Creed,ChainCatcher“过去24小时都发生了哪些重要事件”?1、赵长鹏:打算完全收购FTX.com并帮助解决流动性紧缩,已与FTX签署非约束性意向书赵长鹏发推称,“今日下午FTX寻求我们的帮助,流动性紧缩严重.

1900/1/1 0:00:00
SBF 正面回应全文:FTX 究竟发生了什么?将如何挽救局面?

来源:Odaily星球日报北京时间今晚10点,FTX?创始人?SBF连发22条推文,出面回应了近期FTX遭遇流动性危机背后的原因.

1900/1/1 0:00:00
SBF 谈监管:稳定币如何分类、SEC 监管现货的问题、监管架构清晰对产业的影响

来源:FTX 加密货币迈向主流后,美国财政部、SEC、CFTC,以及各国监管机构都想要将加密货币纳入监管,本文将整理近来的监管动向,以及聚焦FTX创办人SBF对监管的看法,让读者了解目前监管的趋势.

1900/1/1 0:00:00