你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。
安全公司Zellic发现WETH中一个轻微且无害的错误:11月19日消息,安全公司Zellic研究发现了WETH中一个轻微且无害的错误,由于不考虑SELFDESTRUCT/coinbase eth传输,通过SELFDESTRUCT(自毁)函数将ETH注入WETH合约中,会增加合约中的ETH余额,但不会铸造任何新Token,使得WETH合约中totalSupply函数变量不同步,即WETH Token的总量是小于或等于WETH中的原生ETH余额。
目前在整个以太坊主网上,WETH已参与超过1.25亿笔交易,有超过7%的以太坊交易涉及WETH;此外,在过去一年中,在4.2亿次以太坊交易中,其中的11.5%涉及WETH。[2022/11/20 22:07:49]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。在众多功能当中,我们需要特别关注下面两项功能:转账代转
狗狗币联合创始人:从本质上讲狗狗币只是一个共享的数据库和网络:金色财经报道,狗狗币联合创始人Shibetoshi Nakamoto发推表示,从本质上讲,狗狗币只是一个共享的数据库和网络,以虚拟币的形式增加数据库条目,并以狗币为吉祥物。其余的只是关于人们如何决定使用它和重视它。加密货币很简单,人们很复杂。[2022/8/17 12:31:48]
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
声音 | Zcash开发公司ECC高管:现在的目标是让Zcash变成一个人们可以构建“用于所有DeFi应用程序”的平台:Zcash开发公司Electric Coin Company(ECC)的营销和业务发展副总裁Josh SwihartSwihart表示,现在的目标是将Zcash变成一个人们可以构建“用于所有DeFi应用程序”的平台,并补充说:“如果要贷款,如果要进行DAO(去中心化自治组织),那么所有这些工作也可以使用zcash完成。 …最终,我们希望zcash shielded[地址]可在以太坊智能合约中使用。”[2019/10/13]
动态 | 加密货币Zcash背后的ECC公司打算建立一个新的可扩展zcash区块链:据cointelegraph援引Forklog报道,加密货币Zcash背后的ECC公司打算建立一个新的可扩展zcash区块链,Forklog表示,ECC正在考虑实现分片,这是一种可伸缩性解决方案。[2019/6/24]
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
现场 | 标准共识创始人陈怀远:一个完整的区块链项目由四部分组成:金色财经现场报道,在今日举办的2018全球媒体峰会上,BIMG高级研究员、标准共识创始人陈怀远发表题为《评判区块链项目的维度》的演讲,他表示,对利益的疯狂无限放大了人心中的恶,但行业不是个局。价值判断并不复杂,但生态建立完成之前只有空想没有价值。一个完整的区块链项目由四部分组成,Token经济模型、共识机制、公链主网、开发者社区。[2018/7/19]
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。如何避免今后遇到类似的问题?1.不要在Metamask中签署一切内容;2.花点时间了解你所签署的内容;3.对传统的批准事项要格外小心。原地址
如何获得Arbitrum生态敞口Arbitrumseason即将到来。在成功完成Nitro之后,Arbitrum有望在流动性、用户和活动方面进一步增长。 此外,还有几个催化剂,准备从增强的交易能力中受益,并帮助推动这一趋势.
1900/1/1 0:00:00人们通常会把NFT项目分为交易平台、游戏、艺术、收藏品、虚拟世界等几大类,这其实是顶层用户所看到的NFT应用或者是搭建在协议层之上的Dapp。如果用一个更全局的视角分析,除了Dapp之外,还有服务NFT的底层基础设施和中间网络协议.
1900/1/1 0:00:00Optimism是以太坊上占主导地位的第2层之一。自8月初以来,Optimism的锁定总价值(TVL)已跃升约26%。 资料来源:L2Beat这是因为有大量的市场机会,允许用户通过使用一系列不同的应用程序来赚取其治理代币OP.
1900/1/1 0:00:00加密货币市场动荡起伏。在过去的一年里,价格剧烈波动,直到最近才从活跃的“冬天”中反弹。Treasury管理是项目方管理资源的方式,确保企业能够持续经营,和手头有足够的运营现金.
1900/1/1 0:00:00每个人都在期待以太坊合并事件,这一事件预计在9月15日发生。 有一个老生常谈的话题:MEV,从三明治攻击到剥削NFT卖家。这一次,话题的核心是MEV和Merge,即将到来的PoS时代的可提取价值是否还有未来.
1900/1/1 0:00:00Web2世界允许每一个人在网络中创建内容,比如我们可以很轻松的在Facebook、Reddit或Twitter等社交平台创建内容,我们通常将它称之为“UGC”,即用户生产内容,这些内容以不同的形式存储在平台拥有的服务器中.
1900/1/1 0:00:00