買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > NEAR > Info

LANA:Solana授權釣?事件解析:授權轉移還是直接偷??_solana幣今日價格行情

Author:

Time:1900/1/1 0:00:00

前兩天,Solana區塊鏈上出現了安全預警,有?篇?章指出?個名為https://officialsolanarares.net/mint/釣??站在?戶批準之后,可以將?戶的原?代幣轉?。在該?章中提到了?點:惡意合約在?戶批準(Approve)后,可以轉??戶的原?資產(這?是SOL),這點在以太坊上是不可能的,以太坊的授權釣?釣不?以太坊的原?資產(ETH),但可以釣?其上的Token。于是這?就存在“常識違背”現象,導致?戶容易掉以輕?。其實該?章這?的說法是不甚準確的,混淆了批準交易和Solidity中ERC-20代幣授權這兩個不同的概念。真實情況是通過Solana的簽名擴散機制,惡意合約直接盜取了?戶的SOL資產,和通常意義上的授權并沒有什么關聯。1.以太坊中的授權

Solana鏈上NFT銷售總額突破28億美元:11月16日,據Cryptoslam數據顯示,Solana鏈上NFT銷售總額已突破28億美元,截至目前為2,805,459,370美元,交易量達到14,662,292筆。本月FTX暴雷事件引發Solana NFT拋售,MagicEden、OpenSea和Solanart等Solana鏈上NFT市場交易量增長。[2022/11/17 13:15:36]

在以太坊中,通常意義上授權是指?戶調?代幣合約,向其它地址授權?定處理額度,這樣我們在和其它合約交易時,可以?便的?付ERC-20代幣。在這?,授權是必須的,否則第三?合約?權處理?戶的代幣資產。同時,這種機制也伴?了?量的授權攻擊,只要你授權了惡意合約,惡意合約就可以轉?你的ERC-20代幣。2.Solana中的授權

Jito Labs推出Solana MEV儀表盤:7月6日消息,Jito Labs宣布推出Solana MEV儀表盤,并表示從今年1月以來已對360億筆交易進行了分類,在借貸協議Mango和Solend中標記了原子套利和清算交易。Jito Labs表示,預估今年以來套利和清算交易的利潤最低為4500萬美元,但96%的套利和清算交易的嘗試是失敗的。此外,包含MEV交易的區塊數量今年已增長到25%。Jito Labs還表示,Solana將通過增加本地費用市場等方式緩解MEV的負面影響,Jito Labs也將推出包括MEV分發系統、區塊構建器等產品來優化網絡使用體驗。[2022/7/6 1:54:16]

在Solana中,代幣?般為官?提供的spl-token合約,它模擬了ERC-20代幣的?為,因此也存在類似的ERC-20授權概念。同樣授權第三?合約后第三?合約可以處理?戶的代幣(注意不是原?幣SOL)。這點同以太坊是?致的,并沒有什么反常識。3.Approve的涵義

Solana Ignition Hackathon亞洲賽區41個項目獲得超24萬美元資助:10月31日,Solana Ignition Hackathon@Asia在DoraHacks開發者激勵平臺HackerLink結束報名和投票,來自亞洲各地區的41個團隊項目共收獲超過24萬美元資助,其中10萬美元來自于由Solana Foundation,Serum和Slope資助的二次方投票獎金池,14萬美元來自于社區資助。同時,來自亞洲賽區的StepN與Banksea也在全球賽區中獲得了獎項。

黑客松結束后,HackerLink將開啟反女巫攻擊(sybil-attack)閉源檢查的寬限期,并在寬限期結束后公布亞洲賽區最終排名結果。[2021/11/1 21:13:30]

不管在以太坊中還是在Solana中,我們習慣將Approve當作授權,因此?然?然的會認為是代幣授權。當我們使?MetaMask錢包時,如果是代幣授權交易會明確提示授權,并且所有交易彈出的是?個確認按鈕。然?在Solana的Phantom錢包?,彈出的是?個Approve按鈕,讓?很容易以為是授權交易。但真實情況是批準?次交易?并不是進?代幣授權。所以安全預警中出現的被盜?為,是?戶批準了?個未知交易,?不是?戶進?了SOL的授權操作,當然也就不能說是授權偷?了原?幣。4.交易直接轉?原?貨幣

Solana(SOL)將于5月13日16時上線ZBG:據ZBG官方消息,Solana(SOL)已于5月12日16時開啟充值和提幣服務。并將于5月13日16時開啟SOL/USDT交易對。

Solana是一個單層區塊鏈,采用委托權益證明協議,其專注點是在不犧牲去中心化或安全性的前提下提供可擴展性。Solana擴展方案的核心是一個名為“歷史證明(PoH)”的去中心化時鐘,旨在解決缺乏單個可信賴時間源的分布式網絡中的時間問題。通過可驗證的延遲功能,PoH算法允許每個節點使用SHA256算法在本地生成時間戳。因此免除了在網絡中廣播時間戳的需求,從而提高整個網絡的效率;SOL是Solana區塊鏈的本地令牌。[2021/5/13 21:57:59]

交易轉?批準者的原?貨幣,例如SOL和ETH,是?常簡單的。在以太坊上的Solidity中,只要調??個payabletransfe的函數就可以轉?交易?戶的ETH;在Solana中,相應的,只要調?系統合約的戶的SOL資產,這和我們平常講的代幣授權概念是沒有任何關系的。函數也能轉移?交易?不同的是,在Solidity中,ETH轉移發?在合約調?的時候,因此錢包可以提前知道要轉移的ETH數量并顯示出來,?在Solana中,轉移是發?在合約內部的,因此錢包?法提前知曉你會被轉?多少SOL,當然也會?法顯示。只要你簽名認同了這筆惡意交易,你就相當于簽名認同了這次SOL轉移,這正是這次Solana上釣?盜取的問題所在。?段類似如下的代碼就可以在合約內部轉移user的SOL。

5.Solana中的簽名擴散機制

在Solana中,有?個簽名擴散機制。?戶調?合約A,此時合約A中?戶是簽名批準的。當合約A內部調?合約B時,?戶的簽名會隨著跨合約調??起擴散到合約B。因此,在合約B中,?戶也是簽名批準的。所以這?存在?個安全?險,當簽名?個惡意合約時,惡意合約就獲取了我們這個簽名,然?它可以拿我們這個簽名做任何事情!!!!!!!在上述的偷盜事件中,?戶同惡意合約3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v進?交易,該合約直接調?系統合約轉移?戶的SOL,因為簽名隨著調??起擴散到了系統合約,因此系統合約認為該筆交易也是批準過的,是正常的,所以就轉?了?戶的資產。6.具體被盜交易

其中?筆被盜交易:https://explorer.solana.com/tx/4j33JSGRS6rD5irzW1cA9wjQAvAgVDAnBTrGRjqtqBBWXspTzU5HpEFwTeCC2uD9hH9eA2Pw5ddHyd5JyG6h6cNq我們可以看到該交易涉及的輸?賬號:

這其中:?戶賬號:4XF4wyjein7ZN4RPM6YK2mC2mC6T41cZAoKjJqpP19fRSOL轉移賬號:BepccLHDcXqqHi6MfpTDo9Sfc5tmRjmSC1XY48Tb8HuY惡意合約地址:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v從上可以看出,?戶賬號調?合約后轉移了1.2545SOL到轉移賬號。同時我們可以看到并沒有涉及到spl-token代幣合約,出產沒有通常意義上的授權這么回事。其交易打印出的?志為:從?志中也可以判斷,惡意合約僅是簡單的調?了系統合約轉?了?戶的SOL,因此?戶簽名批準了對惡意合約的交易,這個簽名也擴散到了系統合約,因此判定有效。7.結論

在Solana中,不要輕易確認或者批準任何來歷不明的交易,因為它可以拿你的簽名代表你做任何事情。

Tags:SOLSOLASolanaLANASOLDIERSolaryssolana幣今日價格行情solana幣挖礦

NEAR
ISLAND:Castle Island Ventures推出2.5億美元基金,關注Web3等領域_Ceva Island

Odaily星球日報譯者|余順遂加密風險投資機構CastleIslandVentures宣布推出規模達2.5億美元的風投基金,該基金的出資方包括捐贈基金、資產管理公司和家族理財室等.

1900/1/1 0:00:00
SLP:全方位解讀Axie Infinity(二):GameFi社區收益達到150億美元之路_INFD

相關閱讀: 全方位解讀AxieInfinity:GameFi如何破千萬玩家大關 AxieInfinity即將達到1000萬的所有玩家,可以說是當今最常用的區塊鏈應用.

1900/1/1 0:00:00
WEB:高光一年后,人仰馬翻的NFT:深度剖析NFT行業四大亂象_Web3 Inu

NFT領域可以說是如今Crypto圈子內最熱鬧的地方,從各路明星帶貨到各大品牌將NFT列為品牌宣發的新戰場,越來越多人開始了解到NFT蓬勃的生命力,并開始收藏自己的第一個NFT.

1900/1/1 0:00:00
BLO:FTX進軍3000億美元規模奢侈品市場,任命全球奢侈品合作伙伴關系負責人_LOC

翻譯:律動BlockBeatsFTX在周三表示,Platt開始新職務后,將為他們尋找尚未涉足加密貨幣領域的大型奢侈品品牌——這是一個價值3,000億美元的市場.

1900/1/1 0:00:00
加密貨幣:2022年最值得關注的13個加密行業新KOL_區塊鏈

Odaily星球日報譯者|Moni 如果縱觀整個金融領域,如今的加密貨幣還不能算是一個成熟的行業,但由于發展速度迅猛,這一領域已經誕生出了許多億萬富翁、杰出的開發者、以及名人明星.

1900/1/1 0:00:00
區塊鏈:嘉楠科技2021年報:全年收入近50億,年末預收款大增_MAR

北京時間3月3日,嘉楠科技公布了2021年第四季度財務報告以及2021年全年的財務報告。報告顯示,嘉楠科技2021年第四季度收入為21.846億元人民幣(合3.428億美元),同比2020年第四.

1900/1/1 0:00:00
ads