原文作者:@korpi87
原文编译:Kxp,BlockBeats
你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。
那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。
传美国SEC或将把Crypto.com列为下一个起诉目标:金色财经报道,在对加密货币交易所币安和Coinbase提起诉讼后,有消息称美国证券交易所或将把Crypto.com列为下一个起诉目标。据加密KOL @CryptoTea_ 在社交媒体披露,被美国证券交易委员会列为证券的SOL、SAND、MATIC、MANA、ALGO等代币均已在 Crypto.com平台上架,此外这家交易所还推出了原生代币CRO并提供质押服务,这些都可能被监管机构视为证券出售行为。另据加密情报平台Arkham监测,昨日一个Crypto.com平台上的巨鲸向币安交易所转入了3万枚 ETH,按当时价格计算价值约合5520万美元。[2023/6/9 21:27:07]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。
Numen:公链Aptos的VM虚拟机中存在的一个高危级别安全漏洞:金色财经报道,新加坡安全公司Numen Cyber Technology检测到Aptos公链的VM虚拟机中存在的一个高危级别安全漏洞,攻击者利用此漏洞可以在Aptos虚拟机中执行攻击者精心构造的特定代码,导致控制公链节点或使其瘫痪,Aptos Labs官方已经证实此漏洞的存在,Numen Cyber Labs已协助官方修复该安全漏洞。[2022/10/10 10:29:17]
在众多功能当中,我们需要特别关注下面两项功能:
转账
代转
上海市科学技术协会马兴发:区块链将进入一个发展新时期:6月21日,2020长三角(上海)区块链应用创新大赛于杨浦举行。上海市科学技术协会党组书记、副主席马兴发指出,区块链既是数字经济时代的前沿新技术,也是互联网之后的“新基建”中信息基础设施的重要内容,将进入一个发展新时期。(中国新闻网)[2020/6/21]
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。
现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1.不要在Metamask中签署一切内容;
2.花点时间了解你所签署的内容;
3.对传统的批准事项要格外小心。
标签:SDCUSDUSDCJOEPoolTogether USDC TicketBABYBUSDusdc币价格Joey Inu
a16z是技术和加密货币领域最有成就的投资者之一。-尽管拥有令人印象深刻的业绩记录,但该公司多年来也犯了一些错误。-它的一些最糟糕的注包括OpenBazaar、Diem、Basis和BitClout.
1900/1/1 0:00:007:00-12:00关键词:V神、Coinbase、韩国、SevenSevenSix1.V神:信标链硬分叉定于9月6日,请节点运营商提前更新客户端;2.Coinbase发布用户隐私保护及合规政策说明.
1900/1/1 0:00:00公链之首以太坊的「一举一动」都受到整个加密圈的关注,以太坊升级自然是大家最关心的话题之一。以太坊计划于2022年第二季度进行「合并」,即实现由PoW转向PoS,此共识机制的转变也成为近期讨论的热点.
1900/1/1 0:00:00亲爱的用户: “全站嘉年华,每日合约交易抽奖”活动正在进行中,活动详情及8月26日获奖用户如下:活动时间:2022年8月24日00:00至2022年8月31日24:00重庆两江新区发布关于“区块链”“虚拟货币”投资风险的预警提示:11.
1900/1/1 0:00:00金色财经消息,Cryptoleaks网站指控其公司与AvaLabs之间秘密协议的中心的律师KyleRoche在Medium上的一篇帖子中做出了回应,否认与AvaLabs之间存在任何秘密协议.
1900/1/1 0:00:008月22日-8月28日一周时间内,明星项目进展中值得关注的事件有:Sui发布全节点和验证节点选择公告,决定接纳500个全节点运营商;ArbitrumOne完成影子分叉迁移.
1900/1/1 0:00:00