作者:/img/2022103205524/0.jpg" />
Web3平台Ecosapiens完成350万美元种子轮融资:金色财经报道,Web3平台Ecosapiens完成350万美元种子轮融资,Collab+Currency领投, Celo的首席财务官Alex Witt、Moonbirds的前首席运营官Ryan Carson、Boost VC、Slow Ventures、Menlo Ventures和Alumni Ventures Blockchain Fund等参投。[2023/4/5 13:44:54]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC 是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用 USDC。
在众多功能当中,我们需要特别关注下面两项功能:
转账(transfer)
代转(transferFrom)
Web3基础设施WalletConnect宣布完成1250万美元融资:金色财经报道,Web3基础设施WalletConnect宣布完成1250万美元融资,?1kx、Union Square Ventures、Shopify、ConsenSys和Gnosis领投。WalletConnect希望为非托管钱包提供社交功能,例如钱包到钱包的聊天和身份验证。?[2022/11/3 12:14:19]
当你需要在钱包之间转移 USDC,或其他 ERC20s 时,就需要用到转账功能。它可以将 Token 从调用者(调用该功能的地址)转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
蔡国强NFT项目以250万美金义拍成交:官方消息,7月16日北京时间21:00,蔡国强受上海外滩美术馆特别委托的首个NFT项目《瞬间的永恒——101个火药画的引爆》,于TR Lab线上平台以250万美金(约1620万元)义拍成交,作品将向公众展出至8月14日。本次拍卖所得一半赠予上海外滩美术馆,用于支持美术馆的未来发展及其数字艺术的研究计划。另一半所得将助力纽约蔡基金会。[2021/7/19 1:03:10]
当你与合约产生互动时,它们会通过代转功能来转移你的 Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的 USDC,那么理论上它就可以拿走你所有的 USDC。
动态 | Binance将为初创公司提供50万美元投资以换取10%股权:据Cryptoglobe8月26日消息,加密货币交易所Binance将开始通过其新的孵化计划为加密创业公司提供50万美元投资以换取10%的股权。张磊和Binance Labs董事Christy Choi指出,这笔钱将帮助初创企业的创始人,让他们专注于自己的产品和服务。值得注意的是,Binance还没有决定投资是在法定货币,加密货币还是两者兼而有之。除了资金,该公司还将通过指导,技术建议和网络访问来帮助加密创业公司。[2018/8/26]
现在让我们回到 Joe 的故事当中,转走他全部 USDC 的确实就是 transferFrom 功能。然而,只有当 Joe 批准合约使用他的 USDC 时,transferFrom 才能发挥作用。但事实上,Joe 坚信自己没有批准任何事项。
可是,DeBank 的交易记录清楚地显示,在漏洞发生前 10 分钟,该恶意合约可以无限使用账户中的 USDC。那么问题就在于,如果不是 Joe 本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe 确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan 上的信息显示,Joe 本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光 Joe 全部的 USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用 1inch dApp 时,你就可以体验到这一功能。如果你想在上面出售 USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch 便获取了你全部 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC,但这却给了恶意合约机会。
Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了 Joe 的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了 Joe 钱包全部 USDC 的使用权限。然后,只要它调用 transferFrom 功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask 会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1. 不要在 Metamask 中签署一切内容;
2. 花点时间了解你所签署的内容;
3. 对传统的批准事项要格外小心。
区块律动BlockBeats
媒体专栏
阅读更多
金色早8点
Bress
链捕手
财经法学
PANews
成都链安
Odaily星球日报
自比特币诞生以来,区块链已经发展了十三个年头,对、经济与文化都影响深远。区块链技术的发展经历了 Layer1 的底层账本探索和 Layer2 的应用拓展,区块链也从 1.0 时代的货币和支付去中心化,走向了 2.0 时代的市场去中.
1900/1/1 0:00:00原文标题:《What will mark zuckerberg's metaverse actually look like.
1900/1/1 0:00:00中国最知名的数字藏品平台,最终还是没能熬过这个酷热的夏天。8 月 16 日上午,腾讯旗下的数字藏品平台「幻核」正式发布公告:即日起,所有通过本平台(包括腾讯新闻数字藏品馆)购买过数字藏品的用户可自行选择继续持有或发起退款申请.
1900/1/1 0:00:00原文标题:《如何拿到 Web3 世界的天使投资?这里有一份现存 Grant 资讯的最全盘点》撰文:TinTinlandGrant,中文译名「津贴、拨款」,这一诞生于 Web3 的独创概念,正在扮演公链红海中扩张生态的重要角色.
1900/1/1 0:00:00头条 ▌俄罗斯财政部宣布加密货币跨境支付可能即将合法化9月5日消息,俄罗斯财政部副部长阿列克谢·莫伊谢耶夫在接受俄罗斯24电视频道采访时表示,财政部和俄罗斯银行已经重新考虑了他们对加密货币的处理方式.
1900/1/1 0:00:00原文标题:《a16z:能挺过熊市的项目方 Treasury 管理指南》(Treasury Management: A Guide to Navigating Downturns)撰文:Jeff Amico,Maggie Hsu.
1900/1/1 0:00:00