買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TOK:TokenPocket 閃兌服務商被盜,快檢查你開通了多少“無限授權”_TOKEN

Author:

Time:1900/1/1 0:00:00

作者:LoopyLu,星球日報Odaily

今日,跨鏈??DEX?聚合器TransitSwap遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超2100萬美元。

發現被盜后,TransitSwap技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前?TransitSwap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

此外,安全團隊PeckShield已確認黑客資金流向。

與此前被盜項事件不同的是,TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗,也再一次向我們明確了加密市場“黑暗森林”的恐怖法則,即使是錢包背書的便捷“閃兌”服務,依然存在被盜隱患。

DeHealth與Chainlink達成合作,以保護并Token化用戶私人醫療數據信息:7月28日消息,DeHealth 宣布與 Chainlink 達成合作,以加速 DeHealth 生態系統的發展并保護用戶的私人醫療數據信息。Chainlink 將幫助 DeHealth 建立安全,可靠和可擴展的 DeHealth dApp 和分散的數據存儲且基于 EVM 的私有區塊鏈 DHLT 網絡。通過結合 Chainlink 的分散式預言機和 DHLT 網絡,為智能合約提供一致與安全的市場數據來源。(news.yahoo)[2022/7/28 2:42:54]

什么是閃兌?

目前,幾乎所有錢包都嵌入了?DeFi?功能,而一些錢包出于易用性的考量,更是創造了“閃兌”這一概念并加以應用。

所謂閃兌,即和錢包深度整合,在產品中擁有更明顯的獨立入口、更簡化的操作流程,更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如,“Approve”操作通常被簡單的一鍵式集成在交易流程中,用戶幾乎是無感的。

Axie Infinity游戲Token SLP暴跌至0.005美元,較歷史高點下挫99%:5 月 18 日消息,據CoinGecko數據顯示,P2E 鏈游 Axie Infinity 的游戲 Token SLP 已跌至 0.005 美元區間,過去 7 天跌幅為 34.8%,較此前 0.399 美元的歷史高點下挫 99%。

Axie Infinity 是當前規模最大的區塊鏈游戲之一,SLP(Small Love Potion)在該游戲中被成為愛情藥水,是整個游戲結構中的核心,在 Axie Infinity 中每一只飼養的寵物都是需要消耗 SLP,如果 SLP 歸零,意味著 Axie 寵物價值可能會大幅縮水。[2022/5/18 3:24:05]

或是因錢包內置集成,用戶對其天然更具信任,也一定程度降低了防范意識。但究其本質,無外乎是錢包app集成的一款DEX,與其他DEX并無差異。這也給本次安全事件留下了隱患。

安全警報:xtoken發生閃電貸攻擊:8月29日,區塊鏈安全公司peckshield發推表示,@xtokenmarket發生閃電貸攻擊,其xSNX合約漏洞被利用,其他合約沒有類似的漏洞,正在進行調查并暫停了xSNX合約。此前報道,xToken于5月遭到攻擊,xToken中的xBNTa合約和xSNXa合約分別遭受了“假幣”攻擊和預言機操控攻擊,損失約2500萬美元。[2021/8/29 22:44:55]

合約授權潛藏了多少風險?

“沒有人可以強行拿走你的加密資產”,是投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有,沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時,DEX是如何將一種資產拿走再轉移給你另一種資產的?

授權就成為了這一切的關鍵。用戶于DEX出售資產之前,需先執行“Approve”操作,這一操作之后合約便擁有了動用用戶某種代幣的權限。

BW已于6月16日15點上線熱門幣種TOKAU,漲幅高達33%:據官方消息, BW已于6月16日香港時間15:00上線熱門幣種TOKAU,開放TOKAU / USDT交易對,現漲幅高達33%。

TOKAU為用戶提供專屬的IP文化,TOKAU 允許加入的偶像 IP發布愿望清單,并邀請粉絲發送 NFT 禮物,從而滿足他們的愿望,并回饋以特殊福利。詳情請查看BW官方公告。[2021/6/16 23:41:05]

或者描述的更加直白一些:只要你做了授權,無需打開錢包、無需執行操作、無需私鑰,該合約就可以不經你的許可,支配你授權的資產。這是由以太坊的機制和授權模型所決定的,與項目方的道德操守、安全規范、代碼審計都并無審核關系。

審計=安全?

即使授權之后合約擁有轉移加密資產的能力,但這種能力只在合理的范圍內使用,這依然是安全的。而如果經過可信安全機構審計,是否即表示這種能力不會被濫用,只在用戶進行交易時轉走交易額的必要資產?

BFX上線TokenBetter,開盤最高漲幅300%:據TokenBetter行情顯示,BFX(BFXToken)今日15:00上線TokenBetter。截至目前,BFX開盤價為0.03USDT,最高報價0.09USDT,最高漲幅300%,現報0.0339USDT。

據悉,BFX致力于打造綜合性數字金融衍生品交易市場,是全球數字資產合約交易數量最多的平臺之一。BFXToken是BFX.NU發行的權益通證,整體采用通縮回購模式,平臺承諾每月至少會拿出50%交易手續費收入,用于BFXToken二級市場的通縮回購,持有BFXToken的成員,也可享受平臺“75折”優惠抵扣交易手續費、動態相應VIP等級、平臺幣直接兌換永久VIP,共三類服務。[2020/6/8]

靜態來看,這一邏輯是成立的。就如同?Uniswap??盡管擁有隨時將用戶錢包清空的能力,但并不會真的這么做一樣。但動態來看,這一邏輯依然是危險的。

現代軟件開發,升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中,擁有Transparent和UUPS兩種升級方法,借助于這兩個功能,合約代理和升級幾乎是業界合約的標配。

項目方是如何進行合約升級的呢?通常,用戶所訪問的合約并非直接運行業務邏輯的核心合約,而是一個“代理合約”,代理合約接收到用戶請求之后將其轉發到核心的業務合約,再由業務合約進行處理。而合約升級即是更改簡單來說,智能合約盡管不可修改,但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。

而即便是最安全的合約,只要進行“合約升級”,其業務合約就已發生變化,此前的審計報告也淪為了一張廢紙。

簡單來說,今天你所交互的合約是安全的,但明天訪問同樣的這個項目,可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。

無限授權有多危險?

所幸的是,授權并不代表用戶隨時暴露于錢包清空的危險中下。授權機制還有一個重要規則即是授權是含有數量的。用戶“Approve”合約一定數量的代幣,合約最多只能動用這些數量,即使是錢包里該代幣數量再多,合約也已無法動用。

但危險的是,大多數DeFi合約都在無所顧忌索取用戶的“無限授權”,即在默認情況下,用戶所Approve的代幣數量為無限。

一個典型的“無限授權”操作,授權金額高達10的59次冪數量級

用戶如何防范?

沒有授權就沒有安全隱患。在執行鏈上操作之時,如需執行Approve操作,用戶應遵循“用多少、授多少”的原則。如果我只需賣出1000TOKEN,那即應手動修改Approve金額為1000。在計算合約轉移金額時是累積的,即若只授權1000、本次金額恰好交易了1000,合約授權額度恰好已耗盡。即使日后合約出現安全風險,也已無法再從用戶錢包中轉移走任何資產。

用戶可手動修改授權金額

而對已經授權的用戶來說,還可發起取消授權操作。

常用取消授權網站如下:

1.Dappstar:https://tac.dappstar.io/#/

2.Revoke:https://revoke.cash/

3.Approved.zone:https://approved.zone/

4.?RabbyWallet?

此外,一些區塊鏈瀏覽器也支持用戶查看并取消授權。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盜,誰的責任?

“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責于用戶的安全意識嗎?

在此類事件中,DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。

至今,仍有多少加密用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。

DeFi濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的田亮資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。

被盜事件發生后,神魚就已在推特做出呼吁,“呼吁一下項目方規范使用授權功能,用多少授權多少,不要無限授權,大家都放心。”

去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎?“保護你的資產,沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立,需要的不是復雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要行業里每一個參與者共同的努力。

Tags:TOKTOKENKENTOKEStella TokenAC eXchange TokenBQB TokenEA Token

pepe最新價格
數字人:從 Galxe 的 Passport 事件出發,看靈魂綁定代幣發展的四個趨勢_WEBN幣

作者:wesely,Defi之道當一個Web3項目開始推出需要KYC的服務時,結果可想而知。知名Web3憑證數據網絡項目Galxe在推出自己的Passport后,遭到罵聲一片,因為需要用戶的身份.

1900/1/1 0:00:00
WEB:Web3 瀏覽器 Opera 將增加對區塊鏈 Elrond 的支持_sperax幣一枚多少錢

鏈捕手消息,據CoinDesk報道,Web3瀏覽器Opera將把可擴展區塊鏈Elrond集成到其加密瀏覽器中,允許用戶通過其集成的Opera錢包訪問網絡.

1900/1/1 0:00:00
VITA:Vitalik:可通過部分區塊拍賣應對區塊構建者的中心化風險,長遠來看區塊生產需要第三者介入_VIT

鏈捕手消息,以太坊聯合創始人VitalikButerin發文表示,可通過部分區塊拍賣限制構建者權力以應對其中心化風險.

1900/1/1 0:00:00
NFL:收藏品交易保管平臺 MynaSwap 完成 600 萬美元種子輪融資, Blizzard Fund 等參投_INFLUENCE幣

鏈捕手消息,收藏品交易保管平臺MynaSwap完成600萬美元種子輪融資,BlizzardFund(Avalanche生態系統的基金)、SpartanCapital、WaveFinancial、.

1900/1/1 0:00:00
BAB:一文簡析 Binance 首個靈魂綁定代幣 BAB 潛在應用場景_TOKE

原文標題:《解析Binance首個靈魂綁定通證BAB潛在應用場景》作者:劉全凱,吳說區塊鏈 編輯:ColinWu 9月8日.

1900/1/1 0:00:00
GMT:STEPN 已上線 30 級運動鞋可挖 GMT 的功能_TEP幣

鏈捕手消息,MovetoEarn應用STEPN已開啟GMTEarning,通過30級Sneaker參與運動可挖取GMT收益.

1900/1/1 0:00:00
ads