宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > PEPE > 正文

ERC20 无限授权 方便自己也方便黑客 有没有解决方案?

作者:

时间:1900/1/1 0:00:00

随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了,而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有ERC20授权?

有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。

Coinbase:ETH所有ERC-20 Token存取款已全部恢复:金色财经报道,Coinbase Asset在社交媒体上表示,ETH所有ERC-20 Token存取款已全部恢复。此前,ETH和几乎所有ERC-20 Token已恢复存取款,而Optimism(OP)出现延迟发送和接收的情况。[2022/9/16 6:59:40]

那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

Coinbase正调查以太坊和ERC-20存取款延迟问题:金色财经报道,Coinbase表示,目前正在调查以太坊和ERC-20存款和取款的延迟问题。[2021/6/11 23:29:16]

授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。

比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

动态 | 比特币日交易额超60亿美元,仅次于Visa,Mastercard:据todaysgazette消息,加密货币分析师Kevin Rooke?近日发推,列举了一个比特币与美国四个主要支付网络的每日交易额排行。Visa以303亿美元的日交易额占据最大份额,其次是日交易额162亿美元的万事达卡(Mastercard),比特币以63亿美元的交易额排名第三,美国运通和Square分别以32亿美元和2亿美元的数额排名第四和第五。[2019/5/26]

无限ERC20授权的问题

授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

动态 | 公链项目 ThunderCore 主网低调上线:由康奈尔大学计算机科学副教授 Elaine Shi 参与创立的公链项目 ThunderCore 主网已经低调上线,有投资人表示已经收到该项目代币 Thunder Token。尽管 ThunderCore 团队没有在任何渠道发布主网上线的消息,但是从项目开发者社区发现,ThunderCore 主网区块浏览器已经可以查看主网区块状态,ThunderCore 主网从 26 日开始已经开始生成区块。项目官方网站上也已经提供了一份针对投资人的换币说明,指引投资人如何进行操作,以收到 ThunderCore 主网上的原生代币 Thunder Token。有多位投资人表示,ThunderCore 团队目前正在向投资人发放原生代币,计划首先向第二轮投资人发放,然后再向第一轮投资人发放。ThunderCore 目前已经融资 5000 万美元,投资人包括 Pantera Capital、Huobi Capital、MetaStable、FBG Capital、SV Angel、真格、Hashed、Sora Ventures、zk Capital、Kinetic 等多家机构。(链闻)[2019/3/1]

在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2.分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发。

标签:EFIDEFIDEFUNDEVAL DEFIOrigen DEFI99DEFI币FundToken

PEPE热门资讯
MicroStrategy 首席执行官:比特币的波动性总是会让短期投资者失望

比特币忠实信徒、Microstrategy董事长兼首席执行官MichaelSaylor再次重申了对比特币未来发展的信心.

1900/1/1 0:00:00
DeFi贷款的现状

概述 自2017年以来,抵押不足的贷款一直是DeFi难以实现的圣杯。目前,通过Maker、Compound和Aave等平台,大部分的DeFi都是以过度抵押的形式提供相对循环的用例.

1900/1/1 0:00:00
资产管理公司从CME比特币期货空头转为多头

随着比特币价格本周短暂跌破3万美元,各种投资者预计比特币价格可能跌至2万美元,但越来越多的资产管理公司开始在CME押注比特币将出现短期上涨.

1900/1/1 0:00:00
一周必读10篇 | a16z:加密技术互联网上从未有过 有望改变世界

1、专访a16z马克·安德森:加密技术互联网上从未有过有望改变世界的运作方式一个更基本的事实,即加密技术有望从架构层面改变科技、进而改变世界的运作方式。分布式共识,是互联网上从未有过的东西。。

1900/1/1 0:00:00
冒充交易所客服的始作俑者

近年来,在涉及虚拟货币相关的犯罪中,类已经逐渐步入“发展期”,成为了增长最快的违法犯罪类型。分子“与时俱进”,纷纷地玩起了区块链,充分结合以往在电信行业的经验,将魔爪伸入币圈,赚的盆满钵满.

1900/1/1 0:00:00
41岁比特币富豪溺亡 持币量成谜

「41岁的外国人在加拉比托的赫莫萨海滩溺亡。」6月23日时,刊登在哥斯达黎加当地媒体的这则事件新闻并未引起注意,直到新闻中溺亡的「41岁外国人」被证实为是比特币的早期投资人、MPEx交易所创始人MirceaPopescu.

1900/1/1 0:00:00