作者:/img/20230515172614942341/0.jpg "/>
疑似Amber Group地址今日从币安提出200万枚ARB、50万枚DYDX:5月12日消息,据Spot On Chain数据显示,0x011d开头巨鲸地址(疑似Amber Group)于1个半小时前从Binance提币50万枚DYDX(约合99.5万美元)以及200万枚ARB(约合219万美元)。[2023/5/12 14:58:53]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。
在众多功能当中,我们需要特别关注下面两项功能:
转账
代转
DeFi平台M^ZERO完成2250万美元融资:金色财经报道,DeFi 平台 M^ZERO 完成 2250 万美元种子轮融资,本轮融资由 Pantera Capital 领投,Road Capital、AirTree、Standard Crypto、SALT Fund、ParaFi Capital、Distributed Capital、Kraynos Capital、Earlybird 和 Mouro Capital 参投。[2023/4/5 13:46:21]
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
税务SaaS平台Inkle完成150万美元Pre-Seed轮融资:2月6日消息,税务软件即服务(SaaS)初创公司Inkle宣布完成150万美元Pre-Seed轮融资,Picus Capital、Saison Capital和Force Ventures参投。
据悉,Inkle将利用新融资扩大其在美国、加拿大和拉丁美洲的市场,并进军加密税务领域。其服务基于聊天对话模式,目前客户包括Salesken、Mailmodo、Zoko和DriveTrain等。(VC Circle)[2023/2/6 11:50:23]
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。
现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
派盾:多链钱包UvToken遭遇攻击,黑客获利约150万美元:金色财经报道,据派盾预警监测,多链钱包UvToken遭遇攻击,UVT代币价格下跌99%,攻击者已将盗取的约5011枚BNB(价值约150万美元)转入Tornado Cash。[2022/10/27 11:47:58]
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
以太坊基金会获得超250万美元赠款:据Coindesk消息称,以太坊基金会正式宣布接受了其他机构对其进行的第一批赠款,总额超250万美元。共有13个项目获得数额不等的资金,用于可扩展性、安全性、开发经验、用户界面研究以及以太坊区块链的其他衍生产品。以太坊基金会是致力于推进和维护以太坊软件的非盈利组织。[2018/3/9]
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1.不要在Metamask中签署一切内容;
2.花点时间了解你所签署的内容;
3.对传统的批准事项要格外小心。
撰文:NoahSmith,Noahpinion 编译:饼干,链捕手 VitalikButerin是加密世界中知名且深受喜爱的人物之一,他与GavinWood共同创建的以太坊已成为整个Web3世界的领导者.
1900/1/1 0:00:008月30日,最高人民法院、最高人民检察院、部联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》.
1900/1/1 0:00:002021年元宇宙概念兴起,2021年度十大网络用语中,元宇宙入选。在英国《经济学人》网站发表的题为《下一个是什么?2022年值得关注的22项新兴技术》的文章中,元宇宙入围.
1900/1/1 0:00:00“只有开放,Permissionless,才能更好地促进多元创新,才能带来更公平的基础设施,才能促进链上生态的流通和繁荣.
1900/1/1 0:00:00本文由MintVentures原创,原文发布于09月08日。本文对WEB3的定义和理解,以及如何选择合适的观察视角,作出了新颖的提示,很有启发性。为了方便读者更好的了解WEB3,特此推荐此文。Web3的底层价值是自由市场+信用机器.
1900/1/1 0:00:00原作:/img/20230515172727876903/0.jpg "/> 粉丝文化 Web3目前最重要的趋势之一就是对粉丝文化的重新构想,我们发现粉丝和创作者之间的界限正在变得模糊,并且开始思考如何对粉丝的二次创作做出奖励.
1900/1/1 0:00:00