宇宙链 宇宙链
Ctrl+D收藏宇宙链

币安、等主要钱包的合约授权风险 大机构真的安全吗?

作者:

时间:1900/1/1 0:00:00

主流交易所和机构在网络安全防护上无疑都投入了大量资金和人力,DilationEffect无法得知这些机构内部的安全水平和实施细节,但出于好奇,我们想尝试通过公开信息来对这些机构钱包地址做简单分析,见微知著,从普通用户角度来考量这些地址是否存在潜在安全风险,以及潜在风险敞口有多大。

本次快闪点评的数据全部来源于Etherscan、Debank等公开服务。

1、分析对象选择

查看Etherscan的Top1000Accounts,挑出其中打了标签的机构地址。

2、分析维度选取

由于不了解这些交易所和机构生成和管理钱包的技术细节,该如何对地址的安全性做分析?DilationEffect这次选取的维度是分析这些地址的合约授权情况。

因为地址被恶意合约取授权或者授权过的合约存在漏洞而导致被盗币是很常见的攻击。限制授权额度、定期清理授权已经成为最佳安全实践。那么这些大型交易所的地址做的如何呢,我们随机挑选几个地址来做分析。

数据:超2.4亿枚USDT从未知钱包转移至币安:8月15日消息,Whale Alert数据显示,240,236,616枚USDT(价值242,147,652美元)从未知钱包转移至币安。[2022/8/15 12:26:29]

案例一

地址:

Binance8(0xF977814e90dA44bFA03b6295A0616a897441aceC)

这是Binance余额最大的钱包地址,ETH链为100亿美金,其他链加起来一共161亿美金。部分资产截图如下:

查看此地址在ETH链的合约授权情况,发现提示32亿美金存在风险。当然这里并不是说一定存在确定性安全风险,这只是一种潜在风险敞口的可能性描述。

近7.8万枚LINK从币安转出,价值约115.8万美元:据Whale Alert数据显示,北京时间15:13:53,77900.47枚LINK从币安转入0xe014开头未知钱包地址,价值约115.8万美元,交易哈希值为:0xc8b2d981393f45286e30629bada70cd22138d0ea817840e85818747088fb5bb9。[2020/8/22]

那么我们具体来看看此地址是如何做授权的,比如什么币种授权给了什么合约,授权额度如何。以下摘录部分查询结果。

动态 | 开源项目Knockturn Allee获得币安实验室奖金:据6月12日币安实验室官方消息,开源项目Knockturn Allee及其开发者Alexey Miroshkin获得最新一轮币安实验室奖金。Knockturn Allee为一个Grin支付处理工具,目前Knockturn Allee提供API和WooCommerce/WordProcess插件两种形式,让商家可以接受Grin币支付。其开发者Alexey Miroshkin是Grin核心开发者,也是Grin理事会成员。币安实验室奖金由币安实验室3月份发起,专门奖励加密货币开源项目。据公开信息,4月份3个加密货币开源项目分别获得15000美元的币安实验室奖金。[2019/6/14]

这时我们会发现一个奇怪的现象,就是这个地址上有的币种限制了授权额度,有的币种却直接无限制,授权额度规则看起来并不统一。我们特别关注到BUSD、Matic、SHIB、SAND这几个余额较大的币种,地址余额分别为19亿美金、4.6亿美金、2.6亿美金、1.4亿美金,相关授权记录如下:

动态 | 赵长鹏证实币安保证金交易系统正在测试阶段:据币安官方消息,币安创始人兼CEO赵长鹏在8日的直播答问活动中证实,币安的保证金交易系统目前正处于测试阶段。币安向资深的保证金交易者寻求意见,并将邀请少数评论者参与最终的测试。[2019/5/9]

这里存在几个明显的问题:

一是对合约的授权没有定期清理。比如针对BUSD的合约授权,两年多过去了都没做过清理,要么没关注到要么觉得没必要。这说明Binance在内部安全管理上缺少对这块的系统覆盖。也许有人会说,已经分析过相关授权合约发现这些合约能做的操作有限,相对安全。但我们想说的是,这里首先并不是单纯的技术问题,而更多是安全管理的问题。即Binance在这里该如何全面系统的去管理第三方合约带来的风险,我们认为可以做的更严格深入。其实如果仔细看,你会发现Aave:LendingPoolV2是个可升级的代理合约,假如Aave合约被攻击,这里就是19亿美金的损失。

二是大量的币种授权额度无限制。一旦发生相应合约被攻击的极端情况,如果限制了授权额度会相应的降低风险。这同样暴露出Binance在内部安全管理上缺少对这块的系统覆盖。当然你会说这都是极端情况,但是对Crypto行业来说很多小概率事情历史上就发生了。我们需要提高风险敏感度,对风险要保持极度的厌恶是非常必要的。

动态 | 币安将在新加坡举办币安区块链周及黑客马拉松:据Cointelegraph报道,根据与Cointelegraph分享的新闻稿,加密货币交易所币安宣布计划于明年1月在新加坡举办币安区块链周。将包括会议,以及为期两天的币安SAFU(用户安全资产)黑客马拉松”比赛。[2018/12/7]

三是币种授权规则不统一,有些币种限制了额度,有些完全没限制额度,动作不统一。这说明Binance内部安全管理操作不明确,或者内部团队没有做好分工配合。

另外我们也很好奇,资产余额规模如此巨大的地址,为何要频繁参与Defi合约的操作呢?Binance是否可以做出更细粒度的地址规划和隔离设计呢?

案例二

地址:

Kucoin6(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

这是Kucoin交易所的地址,其ETH链上有17亿美金,其他链加起来19亿美金。此地址资产截图如下:

查看此地址在ETH链的合约授权情况,发现提示11亿美金存在风险。同样的,这并不是指一定存在安全风险,而只是一种潜在风险敞口的可能性描述。

那么具体来看看Kucoin这个地址的授权情况。

哇!我们又发现了一些有意思的东西。

1、此地址的APE币种在2022-04-02授权给了Multichain的跨链Router合约,大家应该知道前几天Multichain出现了不可抗力因素的事件,但Kucoin并没有在第一时间取消对Multichain合约的授权。这体现出Kucoin在风险应急响应上还存在改进空间。

2、此地址的大金额币种USDT、USDC、KCS等全部都授权给了名为Bridge的合约,且授权额度完全无限制。简单分析后发现Bridge是KuCoin社区链KCC的跨链桥合约,但在KCC的官网上查看搜索,并没有发现相关的安全审计报告,这不禁又让人心一慌。大家还记得BNBChain的200万枚BNB攻击事件吗?

案例三

地址:

JumpTrading(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

这是机构JumpTrading的地址,其ETH链上有1.4亿美金,其他链加起来1.5亿美金。此地址资产截图如下:

查看此地址在ETH链的合约授权情况,发现提示2500万美金存在风险。同样的,这并不是指一定存在安全风险,而只是一种潜在风险敞口的可能性描述。

那么具体来看看JumpTrading这个地址的授权情况。

可以发现此地址上币种的授权不多,而且绝大部分的授权都做了额度限制,总体上管理得还不错。

但是USDC币种在2021-02-04授权给了Curve合约,未设置限额,且一直未取消。这一点需要做出提醒,如果不需要对应的合约操作,建议立即取消对此合约的授权。

总结

这次的快闪点评到这里就结束了。DilationEffect随机抽取了几个交易所和机构地址做分析,从结果来看,这些机构在合约授权方面做得并不是很完美,希望我们的分析能给相关机构提供参考。没有抽取到地址的交易所和机构,也可以参考上文中的分析过程来检查是否存在类似问题。

标签:ETHUSDKucoinETH钱包地址ETH挖矿app下载Etherael指什么寓意USD币USD价格kucoin是什么平台kucoinpro是什么kucoinpro介绍

比特币行情热门资讯
2023年元宇宙五大趋势已定 如何夺得先机?

在2022年,如果不碰到“元宇宙”一词,就很难行动。继Facebook在2021年底更名之后,几乎每个公司都渴望让我们了解他们对数字世界的愿景,让我们可以在一个虚拟平台上工作、娱乐和社交.

1900/1/1 0:00:00
BTC的链上视频游戏将成为现实?铭文获得革命性升级

近几个月来,BTC铭文引起了巨大的热议,使得BTC社区分成了两派。而最新的升级“Recursive铭文”可能同样具有争议性,因为这项升级将允许铭文“间接地”突破4MB的区块空间限制.

1900/1/1 0:00:00
元宇宙带来的游戏变革会是怎样的?

这场革命将需要整个技术堆栈的创新,从生产管道和创意工具,到游戏引擎和多人网络,再到分析和实时服务。您安装了每个人都在谈论的新跑酷游戏,您的化身立即获得了一套新技能.

1900/1/1 0:00:00
NFTfi来袭:如何借贷 NFT

目前DeFi最热门的领域之一是DeFi和NFT的交叉点,也被称为NFTfi。在当前的NFTfi生态中,已经有五花八门的品类.

1900/1/1 0:00:00
“0”penSea直面新贵对手Blur 限时零版税能奏效吗?

区块链2月18日讯面对新贵竞争对手Blur日益激烈的竞争,NFT市场OpenSea今天宣布将暂时取消2.5%的销售费用并减少创作者版税保护,以应对瞬息万变的市场.

1900/1/1 0:00:00
Coinbase CEO:我心目中的加密监管蓝图

概述:在监管治理和政策领域里人们最常问我的一个问题是,清晰的监管到底该是什么样子的。我在本文中概述了一个现实可行的蓝图,以确保我们对中心化主体的监管透明度,并在交易所之间建立公平的竞争环境,同时.

1900/1/1 0:00:00