宇宙链 宇宙链
Ctrl+D收藏宇宙链

TokenPocket闪兑服务商被盗,快检查你开通了多少“无限授权”

作者:

时间:1900/1/1 0:00:00

今日,跨链DEX聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2100万美元。

发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前?TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。

Tokensoft宣布支持波卡平行链插槽拍卖:据官方消息,Tokensoft宣布对参与平行链插槽拍卖的波卡项目提供技术支持。波卡社区项目可以使用Tokensoft平台启动对波卡平行链插槽的竞价,以DOT筹集资金,并将数字资产分发给波卡社区成员。[2021/8/18 22:21:52]

什么是闪兑?

目前,几乎所有钱包都嵌入了DeFi功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。

所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。

YFX与TokenPocket钱包达成战略合作:据最新消息,跨链去中心化永续合约交易所YFX与去中心化钱包TokenPocket已达成战略合作,TokenPocket钱包将在品牌建设、资源共享等全方位推动YFX衍生品生态发展。

YFX是一个基于以太坊、波场、币安智能链、火币生态链、OKEx公链、波卡的跨链去中心化永续合约平台,提供高达100倍永续合约交易BTC、ETH等资产。与常见的自动做市商模式(AMM)不同,YFX采用领先的QIC-AMM做市商池交易方式。YFX的目标是建立一个可以与CEX在衍生品交易赛道上竞争的DEX。[2021/3/25 19:17:50]

或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。

动态 | Neufund已在其Equity Token产品中筹集了300万欧元:总部位于柏林的Neufund是一家基于区块链的资产标记化和股权投资平台,已经通过Equity Token产品筹集了300万欧元。大部分筹集的资金来自著名的欧洲投资者,包括风投,天使投资人和私人投资。[2018/12/11]

投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?

授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。

或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无审核关系。

imtoken转ETH撸币术揭秘:近日,微信群充斥着“转0个ETH到xxxxx地址可获取xx枚xx币”的信息,单看此条并无问题,用户确实可接收到几百几千不等的代币(其价值暂且不论)。子一般是将几条这样的消息组合一并发送。通过前几条转0个ETH 的真实无害消息让用户收到币后放松警惕,通过中间或者后续几条,“转0.01 或0. 1 个ETH至xx地址获取xx枚xx 币”行。当用户转币后,要么收不到币,要么收到一些永远不会上交易所的垃圾币。请大家保护好自己的筹码,不要因为贪小便宜,因小失大。[2018/2/26]

Uniswap尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。

现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。

项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更改简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。

而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。

简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

而对已经授权的用户来说,还可发起取消授权操作。

常用取消授权网站如下:

1.Dappstar:https://tac.dappstar.io/#/

2.Revoke:https://revoke.cash/

3.Approved.zone:https://approved.zone/

4.?RabbyWallet?

此外,一些区块链浏览器也支持用户查看并取消授权。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盗,责任全在用户吗?

“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?

在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。

至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。

DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的田亮资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。

被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”

去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。

标签:TOKETOKKENTOKENTokenBankAlaskan Malamute TokenEmpire TokenX-TOKEN

中币交易所热门资讯
“零版税”矛盾激化,热门NFT项目QQL将X2Y2加入黑名单

昨日,生成艺术NFT项目QQL通过拍卖QQLmintpassNFT的方式筹集了近1700万美元,并且当天全天交易量持续攀升,至今天占据了Opensea24小时交易排行榜的首位,目前地板价为19.1ETH.

1900/1/1 0:00:00
狗狗币DOGE和柴犬SHIB处于亏损状态时投资的顶级加密货币

在市值最大的前15种加密货币中,狗狗币(DOGE)和柴犬(SHIB)是唯一未能对抗空头的代币。两种代币都在白天进行了回撤,这让投资者开始思考下一步应该在哪里投资.

1900/1/1 0:00:00
Axelar (WAXL)

一、项目简介? Axelar为Web3提供安全的跨链通信。我们的基础设施使dApp用户能够一键与任何链上的任何资产或应用程序进行交互。Axelar是一个覆盖网络,通过权益证明和无许可协议传递图灵完备的消息.

1900/1/1 0:00:00
Shiba Inu价格预测 – SHIB即将开始新的反弹吗?

Shibainu(SHIB)在过去24小时内上涨了1%,达到0.00001123美元。这种温和上涨是在整个加密货币市场出现类似走势的背景下出现的,在本周早些时候可以说是过度悲观之后,价格略微向上修正.

1900/1/1 0:00:00
消息人士:Celsius Network 创始人在平台冻结客户账户前提取了 1000 万美元

ForesightNews消息,据英国《金融时报》援引消息人士报道,CelsiusNetwork创始人兼前首席执行官AlexMashinsky在Celsius在6月份停止客户提款前几周从现已破产的Celsius提取了1000万美元.

1900/1/1 0:00:00
九月CPI仍有博弈机会 十月需更注重风险市场细节变化10.1

九月已经彻底结束了,结束的最后一天公布的美国PCE数据确实如预期一样的差,而风险市场给出的反应是先跌后涨,跌的原因大家都很清晰了,毕竟美联储说过相对CPI来说会更加关注PCE的数据.

1900/1/1 0:00:00