DeFi 少做这一步 没有私钥别人也能转走你的资产

按历史情况看呢，国内的假期通常也都对应着市场热度和交易量的下降，加之今年还有出jin问题，不管冻结率有多高，这也会使更多的朋友短期对无脑冲，多一层顾虑，所以估计是没啥剧情，咱该玩玩该乐乐，回来说不定也还能有惊喜。

当然节前最后一期，这个内容还是很重要的，关于玩defi的授权安全隐患问题，你说要是亏完不能出jin可以归于能力问题，但这种莫名坑就真的很恶心对不对，正好今天也看到币圈一个短视频在说这个事情，我觉得还是有必要在这里专门提一下，让更多的朋友注意到。

其实关于授权隐患，咱们社区的小伙伴们应该多少是有点印象的，此前我们有专门讲过这个月靠uniswap空投暴富的其中很大一部分资深玩家，就是因为担心玩土狗项目安全问题而开了很多小号，没想到却意外收获了几千几万个uni。

跨链DeFi收益聚合器Formation Fi上线ALPHA v1 Beta版本:2月11日消息 ，跨链DeFi收益聚合器Formation Fi上线ALPHA v1 Beta版本，该收益挖矿允许一个地址存在25种以上不同的资产类别、资产池和资金库。[2022/2/11 9:45:12]

不过我们只是表面知道好像授权有一些坑，但有没有想过为啥这些dex、swap的都有这么个授权操作呢？

到底是不是坑，咱先从源头追溯。

这个授权呢，通俗来理解，就像去卖一辆二手车，需要找当地的一些中介或经销商，把车放到他们的平台，让更多有需求的买家看到它，那么这里的第一步就是你要和中介签署一份合同，这份合同表明了你授权该经销商来代理出售你的车。

swap类的去中心交易所的逻辑也是这样，授权，即这是一份你和交易所中介之间签订的合同，只不过在咱这叫——智能合约，它允许该平台有代理出售你资产的权限。

FATF新指南或让DeFi平台进行用户KYC验证:3月30日消息，金融行动工作组（FATF）发布了新的指南草案，如果实施该指南，甚至可能需要去中心化金融（DeFi）平台找到KYC的方法规则。（CoinDesk）[2021/3/30 19:31:02]

当然，上面的比喻只是为了方便理解，细心的小伙伴应该发现，dex交易又不是NFT还需要等待一个有缘人，直接砸到资金池里就好啦，为啥还要有授权这么个流程。

这其实源于以太坊合约的一个特性，对于erc20代币，直接从地址像目标合约转账，合约是接收不到的！(这也是为啥你们从传统交易所提币一般都会看到一句提示：请勿转到合约地址)

而dex呢，它就是一个底层依靠各种智能合约来运转的交易所，那这里没法把用户地址上的代币直接转到合约地址以便平台进行调用兑换，所以就加了这个授权操作，授的就是dex里的合约可以直接调用用户地址上的资产的权限。

DeFi战略游戏SOVI预计将于2月19日00:30（UTC+8）开启流动性挖矿:据DeFi策略游戏SOVI 官方消息，搭建于火币生态链Heco的SOVI将于2257600区块高度在官网正式开启流动性挖矿，预计时间在2月19日00:30（UTC+8）左右。

本次SOVI将开启两种挖矿模式，流动性挖矿及单币无损挖矿。流动性挖矿，支持SOVI/HT、SOVI/HUSD的流动性池。单币无损挖矿，支持SOVI、HT、HUSD及HPT资产单币质押。

SOVI.Finance是以区块链战略游戏为载体，创新性的IP+NFT资产+流动性挖矿优选平台，通过战略游戏开启区块链世界入口。SOVI.Finance技术代码已通过美国区块链安全审计机构Certik的智能合约审计。[2021/2/17 17:22:41]

注意，在以太上，这个特性只限于像erc20这样的代币，eth自身是有强制转账机制，可以直接地址转到合约里。

58学院直播间：稳定币的增发有利于DeFi行业稳定发展:8月20日晚8点，58学院第十一期AMA《万众狂欢的DeFi，老币圈与新币圈存在鄙视链?》邀请到了牛市财经CEO Vicky做客直播间。Vicky表示，随着DeFi行业不断发展完善，市场对稳定币的需求也会增长。例如这次疫情，投资者大多都选择了稳定币避险，再加上3月份的币市大跌和DeFi市场的火热，这些都促进了市场对稳定币需求的增加。合规是稳定币最大的优势。稳定币由公司监管运营，由监督机构批准，具备合法的储备金账户，还有审计机构定期核准其流通量与储备金的匹配度。目前来看，稳定币的增发更加有利于DeFi行业稳定发展。[2020/8/20]

所以，在使用dex时，用户会发现交易eth是没有什么授权的，但其他所有的erc20代币在第一笔交易时都会先有一个授权，英文名是approve：

之后再交易时就不会出现了。

那是因为，目前上到未来的宇宙第一所uni下到各种野鸡swap，对于这些资产授权的设置都是——无限额度！

下图是我在比特派钱包里检测的授权情况(此处没有收广告费)：

也就是只要你授权过，交易所如果想，是可以转走你所有资产，注意哦，这个意思是，假如你有10万usdt，只在dex里交易过1万u，理论上来说它是可以转走你全部10万u的，而不只是交易过的那个额度。

这个授权额度是可以自定义的，但应该是考虑到使用体验吧，所有资产基本都是无限模式，不然没交易几次又要重新授权，又要多花手续费，还每个币都要单独授权，这么麻烦还怎么取代cex呢？对吧。

不过一般来说像uniswap、compound这些主流项目，安全性也还好，毕竟这么多眼睛盯着，项目方不会故意去改合约，漏洞概率也是非常小的，只是这给很多土矿提供了动歪心思的动机，特别是它是很隐秘的，不清楚的小白会认为币在自己钱包里，但实际上只要做了授权，恐怕就和放在中心化交易所没啥区别了。

最开头那个群聊图片说的就是这个事儿，而且注意是发生在波场上，其实今天的重点也不在以太上，而是传染了以太这个特性的其他链，至少波场和币安智能链现在是有这样的授权操作，而相对来说它们的问题项目和bug是会多一些的，需要格外注意资产安全，特别是usdt这种授权过的账号，不要长期放u在里面。

其实我不太懂他们为啥要“沿用”这样的特性，之前有咨询过一些接近开发人士，有人是认为这是一个“缺陷”的(我也不太懂以太上为啥要这样，柚子上是可以直接转账的，希望有大佬能给予解答)。

不过既然暂时改变不了，我们该怎样防范这方面的风险呢？

1.对于不交易的持仓资产可以选择取消授权

像上面图中右边有个“回收授权”按钮，是可以直接解除，当然要收少量gas费，同时如果你下次要进行这个币的交易需要重新授权。

上面这个检测在比特派钱包——ETH钱包首页找到——以太安全中心——输入地址即可查看你所有的授权情况。

另外旁白君还推荐了一个工具：

https://approved.zone/

它是一个查看授权，并还可以修改每个币的最大转账额度的工具，不过这里仅做个了解吧，我就不细说了，因为修改额度对我们来说没啥卵用，不能完全阻止作恶又还可能需要多次授权消耗手续费。

2.分号使用，交易完及时转出资产

比起上面的取消授权，我会更推荐还是多号分工操作，毕竟市场是多变的，很难说不会去追高曾经看不起的币种，另外除了以太，其他链上是没有上面这种工具的。

主号只存放资产，不适用任何应用，小号去swap，交易结束及时转回资产，当然对于以太上这会多一点gas成本，其他链就好多了，不过对于其他链，这是必做的功课。

结语

swap千万条，安全第一条，操作不规范，钱送陌生人。

最后在这里代表风火轮社区祝大家中秋国庆快乐！阖家欢乐！

标签：DEFIDEFEFISOVAlchemist DeFi AurumXDEFI Governance TokenEfinityBSOV币

币安下载热门资讯