近來以太坊上最火爆的領域就是DeFi。主要的DeFi應用包括ERC20代幣的借貸、質押和交易。若想在Uniswap、Aave和Yearn等DeFi協議上使用ERC20代幣,你需要授權dApp來使用這些代幣。這就是所謂的?*ERC20授權*?。這些授權對于DeFi平臺的運作來說必不可少,但是如果不加以控制,那將是非常危險的。
ERC20授權的必要性
有了以太坊上的原生代幣ETH,你就可以將ETH發送至該智能合約,同時調用智能合約功能。這是通過所謂的可支付函數實現的。但是,由于ERC20代幣本身就是智能合約,你無法通過直接將代幣發送到智能合約來調用其函數。
因此,ERC20標準讓智能合約使用?transferFrom()?函數代表用戶轉移代幣。為此,用戶需要允許智能合約代表他們轉移代幣。
這樣一來,用戶就可以將代幣“存入”智能合約,同時智能合約會更新其狀態來顯示這筆存款。相反,如果你將ERC20代幣發送至該智能合約,則合約不會更新其狀態。
Arbitrum:AIP-1.1和AIP-1.2提案已獲投票通過:7月7日消息,以太坊Layer2網絡Arbitrum官方宣布,Arbitrum社區關于擴大ARB Token持有人監督和治理權力的兩項提案AIP-1.1和AIP-1.2已獲投票通過,并稱很快將7億ARB轉移至智能合約控制的鎖定。
提案AIP-1.1建議將基金會剩余的7億ARB置于智能合約控制的鎖定中,四年內解鎖。根據提案,在社區成員批準Token分配預算之前,基金會將無法使用Token。
提案AIP-1.2旨在修改Arbitrum生態系統的幾個治理文件,包括將在鏈上發布改進提案所需的ARBToken數量的門檻從500萬降低到100萬。[2023/7/7 22:24:15]
例如,如果你將DAI“存入”Aave來賺取利息,你首先要允許Aave合約從你的錢包中取出一些DAI。然后你調用Aave合約里的函數,指定你想要存入的DAI的數量。然后,Aave合約使用?transferFrom()?函數從你的錢包中取出相應數量的DAI,并將同等數量的aDAI代幣記入你的賬戶。
數字資產交易公司Crossover Markets完成635萬美元種子輪融資:金色財經報道,數字資產交易公司Crossover Markets完成635萬美元種子輪融資,Two Sigma、Flow Traders、Laser Digital和Wintermute Ventures等參投。據悉,Crossover Markets正推出一個加密貨幣交易平臺CrossX。[2023/3/22 13:18:08]
無限ERC20授權的危害
將特定數量的ERC20代幣存入合約時,你就可以選擇將授權額設成這個數量。然而,許多應用會向用戶要求無限授權。
這會帶來極好的用戶體驗,因為用戶不需要在每次存款時重新授權。設置無限授權后,用戶只需要同意一次,之后存款時就不會再重復這一過程。
但是,該設置存在很大的弊端。眾所周知,即使是成熟的項目,也有可能存在漏洞。一旦你給了這些平臺無限授權,不只是你的存款會陷入風險之中,你的錢包中的代幣也是如此。
灰度比特幣信托負溢價率為46.82%:金色財經報道,鏈上數據顯示,當前灰度總持倉量達205.01億美元,主流幣種信托溢價率如下:BTC,-46.82%;ETH,-54.08%;ETC,-65.99%;LTC,-55.99%;BCH,-35.04%。[2023/2/17 12:13:07]
在Devcon5上,我第一次與PaulBerg談到了這個問題。在這次大會上,Paul就本文所討論的問題做了陳述。在開發Sablier時,Paul在他的智能合約中發現了一個漏洞,不僅所有存入該智能合約的DAI有風險,所有測試者的錢包中的DAI也是如此!
實際風險
長期以來,無限授權的風險主要是理論上的。在Paul所開發的Sablier平臺正式上線之前,這個漏洞就被修復了。當時,還沒有出現利用ERC20授權的攻擊,但是只要平臺繼續要求無限授權,遲早會出狀況。
北京立法保障數字經濟發展:金色財經報道,《北京市數字經濟促進條例》25日經北京市第十五屆人民代表大會常務委員會第45次會議表決通過,為北京市數字經濟發展提供法治保障。
北京市經濟和信息化局副局長王磊介紹,條例明確了數字基礎設施的規劃布局、建設內容和保障措施,提出加快建設信息網絡基礎設施、算力基礎設施和新技術基礎設施,同時也要求推進傳統基礎設施的數字化改造,促進數字技術與傳統基礎設施的深度融合,設立統一的城市碼體系和時空基準底座,統籌建設數字公共服務基礎設施,推進智能設施建設。
數字產業化方面,條例明確支持數字產業基礎研究和關鍵核心技術攻關,提升基礎軟硬件、核心元器件、關鍵基礎材料和生產裝備的供給水平,強化關鍵產品自給保障能力;重點培育高端芯片、新型顯示、基礎軟件、工業軟件、人工智能、區塊鏈、大數據、云計算等數字經濟核心產業。(新華網)[2022/11/25 20:46:10]
去年,我們已經看到了幾起利用ERC20授權的攻擊事件。
美國財政部將Tornado Cash列入黑名單,禁止美國公民使用:8月8日消息,美國財政部海外資產控制辦公室(OFAC)將TornadoCash納入制裁名單(SDN),包括其網站以及多個以太坊和USDC錢包地址。所有美國個人和實體都被禁止與TornadoCash或任何與該協議綁定的以太坊錢包地址進行交互。(CoinDesk)[2022/8/8 12:10:22]
意外漏洞
今年早些時候,Bancor出現了一個漏洞,危及用戶資金。執行ERC20?transferFrom()?函數的函數變成了public屬性,因此任何人都可以執行該函數,并取走用戶錢包中的資金。Bancor執行了一次白帽黑客攻擊,控制了損失,并將資金還給了用戶。
惡意利用漏洞
除了Bancor的意外漏洞之外,還有很多惡意利用漏洞的情況。在今年夏天的DeFi熱潮中,人們都在為各種以食物命名的DeFi分叉產品狂歡,其中也包括一些騙局。即使人們為了規避風險只存入少量代幣,他們錢包中的代幣也會因為無限授權而陷入風險。
ZenGo就在一個名為UniCats的項目中發現了可利用漏洞。人們可以存入Uniswap代幣,然后通過流動性挖礦獲得MEOW代幣。但是如果要存款,用戶必須提供?無限授權。如果項目遭到攻擊,攻擊者不僅可以拿走項目的存款,還可以拿走用戶錢包內的所有UNI代幣。
另一個例子是DegenMoney項目。DegenMoney項目采用了一種不怎么高明的辦法。這個項目沒有開發自己的智能合約,而是創建了一個前端來進行兩次授權交易。一次是向一個運行中的智能合約,另一次是向完全不同的地址。
由于很多人沒有專門檢查錢包地址,這就導致攻擊者可以取走用戶錢包中的代幣。
那硬件錢包呢?
總的來說,硬件錢包比手機、手提電腦和基于瀏覽器的錢包安全的多。原因是,控制資金的私鑰安全地存儲在硬件錢包中,并且永遠不會離開該設備。因此,通過硬件錢包,你可以確保沒人能竊取你的私鑰。
ERC20授權的問題在于,沒人需要竊取你的私鑰才能從你的錢包中取走代幣。因此,硬件錢包也無法防范本文所討論的惡意利用漏洞問題。
使用硬件錢包依然是一種好習慣,因為硬件錢包確實能保護你免受其它漏洞攻擊。但是,你需要注意的是,硬件錢包不能抵御授權漏洞和其它很多智能合約漏洞。
dApp開發者可以做些什么?
在Devcon的講話中,Paul提到了一些關于無限授權問題的解決方案。這些方案各有優缺點。其中最實用的方案是即批即用模式。在這種模式下,應用只會要求用戶授權確切的數額,而非不限額。
這種方案的用戶體驗確實會差一些,因為每當用戶想要發送交易時,都需要發送一筆新的授權交易,不能再像無限授權那樣一勞永逸。這個模式的缺陷是會增加交易費成本,如果交易費像去年那樣暴漲,就會帶來很大的麻煩。
另一種替代型方案是,可以讓用戶選擇僅授權當下需要花費的數額,還是授權更高的數額以便后續進行更多交易。已經有多個項目采用這種策略,例如1inch.exchange和Curve.fi。
另一個減少交易成本的解決方案是,采用EIP2612之類的標準,讓用戶可以通過簽署消息來設置其授權額度,無需再通過發送交易的形式。但是,這類標準并未得到廣泛采用,而且圍繞該標準打造的工具也不多。
用戶可以做些什么?
由于ERC20授權是很多智能合約所不可或缺的部分,完全停止授權的方案并不可行。但是在可能的情況下,請盡量避免無限授權。
人們已經比一年之前更加了解這一問題,因此有些dApp可以讓用戶選擇只授權當前需要花費的數額,但是大多數dApp依然不行。盡管如此,高端用戶還可以通過Metamask的界面來降低其授權額度。
在使用dApp時,請你思考一下是否需要經常使用這個dApp,以及你是否信任這個項目,還是說你只會偶爾使用這個dApp,或者根本不信任這個項目。無論是哪種情況,你最好都要定期查看你的授權額度,并取消對不再使用的dApp的授權。
為便于檢查并撤銷這些授權,我開發了一種名為revoke.cash的工具。通過這個工具,你可以查看地址的代幣余額和授權額度,之后就可以輕而易舉地撤銷或降低授權。類似的工具還有approved.zone等。
結論
許多去中心化應用的運行都離不開授權,但是無限授權通常并不利于安全性。2020年已經出現過幾起利用ERC20授權的漏洞事件,人們對這個問題的認識比一年前深得多。作為一名用戶,你可以采取一些措施來降低上文所述風險,包括定期查看并撤銷多余授權。
Tags:C20RC20ERC20RC2ethereum和erc20區別PlayCoin [ERC20]erc20幣價格wrapped SIENNA (ERC20)
金鼎財金:12.20BTC行情分析前言:財富的差距其實就是一個機遇,當你看到這篇文章的時候,也許能幫助你走出困境, 晚間多單策略走出提醒 晚間18點給出23350?-?23400多單策略.
1900/1/1 0:00:00導語:如果你覺得雄哥說的有道理,能授漁于你,并且盈利可觀,那就關注并轉發文章是對雄哥最大的支持.
1900/1/1 0:00:00大家好,我是珊珊,專注BTC、ETH等數字貨幣領域的專業金融分析,持續更新認為會對您有用的最新數字貨幣行情及相關資訊。面對金融市場,沒有難做的交易,只有看不懂的行情.
1900/1/1 0:00:00DeFi顯然是開啟早期加密貨幣市場機遇的基石。 采訪 12月17日,Cointelegraph中文舉辦線上訪談對話欄目HUB,本期主題為《預測2021:DeFi和公鏈的新景觀》,邀請到了Find.
1900/1/1 0:00:00比特幣早間跳水下破支撐無力企穩,小幅反彈再次回調試探,但23200一線支撐堅守陣地使得空頭不得不鎩羽而歸,后續幣價呈一步一回頭走勢慢性上漲到達24100附近回落.
1900/1/1 0:00:0012月20日,2020網易未來大會·區塊鏈與人工智能專場論壇于杭州盛大舉行。在現場,網易區塊鏈總經理顧費勇以《區塊鏈3.0——區塊鏈創新產品的春秋時代》主題進行演講,分享了其對未來區塊鏈發展趨勢.
1900/1/1 0:00:00