前兩天,Solana區塊鏈上出現了安全預警,有?篇?章指出?個名為
https://officialsolanarares.net/mint/??釣??站在?戶批準之后,可以將?戶的原?代幣轉?。在該?章?中提到了?點:
惡意合約在?戶批準(Approve)后,可以轉??戶的原?資產(這?是SOL),這點在以太坊上是不可能的,以?太坊的授權釣?釣不?以太坊的原?資產(ETH),但可以釣?其上的Token。于是這?就存在“常識違背”現象,導致?戶容易掉以輕?。
其實該?章這?的說法是不甚準確的,混淆了批準交易和Solidity中ERC-20代幣授權這兩個不同的概念。
真實情況是通過Solana的簽名擴散機制,惡意合約直接盜取了?戶的SOL資產,和通常意義上的授權并沒有什么關聯。
Bitso集成Stellar網絡促進國際USDC支付:金色財經報道,拉丁美洲加密貨幣交易所Bitso集成Stellar的支付網絡Anchor Network,并與Stellar Development Foundation合作開發了一個解決方案,使世界各地的企業能夠在阿根廷、哥倫比亞和墨西哥進行USDC交易。[2023/7/19 11:05:05]
1.以太坊中的授權
在以太坊中,通常意義上授權是指?戶調?代幣合約,向其它地址授權?定處理額度,這樣我們在和其它?合約交易時,可以?便的?付ERC-20代幣。
在這?,授權是必須的,否則第三?合約?權處理?戶的代幣資產。同時,這種機制也伴?了?量的授權攻擊,只要你授權了惡意合約,惡意合約就可以轉?你的ERC-20代幣。
2.Solana中的授權
Coinbase網絡連接故障已經得到解決:金色財經報道,加密貨幣交易所Coinbase稱,網絡連接故障已經得到解決,此前系統出現故障。[2023/7/12 10:49:04]
在Solana中,代幣?般為官?提供的spl-token合約,它模擬了ERC-20代幣的?為,因此也存在類似的ERC-20授權?概念。同樣授權第三?合約后第三?合約可以處理?戶的代幣(注意不是原?幣SOL)。這點同以太坊是?致的,并沒有什么反常識。
3.Approve的涵義
不管在以太坊中還是在Solana中,我們習慣將Approve當作授權,因此?然?然的會認為是代幣授權。當我們使?MetaMask錢包時,如果是代幣授權交易會明確提示授權,并且所有交易彈出的?是?個確認按鈕。然?在Solana的?Phantom錢包?,彈出的是?個Approve按鈕,讓?很容易以為是授?
Cardano生態穩定幣Djed已上線主網:1月31日消息,Cardano 首個去中心化穩定幣 Djed 已上線主網,Djed的價格與美元錨定支持,并由Cardano的原生加密貨幣ADA的盈余支持。
此前報道,Djed 推出后,Cardano 用戶將能夠使用 Cardano 的原生 Token ADA 作為抵押品來鑄造 Stablecoin,Stablecoin 被設計為超額抵押,每枚 Djed 都需要超過 400% 的抵押品價值才能鑄造。[2023/1/31 11:38:53]
權交易。但真實情況是批準?次交易?并不是進?代幣授權。所以安全預警中出現的被盜?為,是?戶批準了?個未知交易,?不是?戶進?了SOL的授權操作,當然也就不能說是授權偷?了原?幣。
4.交易直接轉?原?貨幣
Brave瀏覽器發布v1.42更新,Brave錢包已支持Aurora:8月4日消息,據官方公告,Brave瀏覽器發布v1.42更新,該版本中Brave錢包已支持NEAR生態EVM擴容網絡Aurora,還新增了支持通過Ramp 在Solana和Polygon上購買BAT代幣。[2022/8/4 2:58:17]
交易轉?批準者的原?貨幣,例如SOL和ETH,是?常簡單的。在以太坊上的Solidity中,只要調??個?payabletransfe的函數就可以轉?交易?戶的ETH;在Solana中,相應的,只要調?系統合約的戶的SOL資產,這和我們平常講的代幣授權概念是沒有任何關系的。
函數也能轉移?交易?不同的是,在Solidity中,ETH轉移發?在合約調?的時候,因此錢包可以提前知道要轉移的ETH數量并顯示出來,??在Solana中,轉移是發?在合約內部的,因此錢包?法提前知曉你會被轉?多少SOL,當然也會?法顯示。只要你簽名認同了這筆惡意交易,你就相當于簽名認同了這次SOL轉移,這正是這次Solana上釣?盜取的問題所在。
以太坊L2網絡總鎖倉量為41億美元:金色財經消息,據L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為41億美元,近7日上漲8.38%。其中鎖倉量最高的為擴容方案Arbitrum,約20.9億美元,占比51.05%。其次是Optimism,鎖倉量8.07億美元,占比19.68%。dYdX占據第三,鎖倉量6.85億美元,占比16.7%。[2022/6/25 1:31:20]
?段類似如下的代碼就可以在合約內部轉移?user的SOL。
5.Solana中的簽名擴散機制
在Solana中,有?個簽名擴散機制。?戶調?合約A,此時合約A中?戶是簽名批準的。當合約A內部調?合約B時,?戶的簽名會隨著跨合約調??起擴散到合約B。因此,在合約B中,?戶也是簽名批準的。所以這?存在?個安全?險,當簽名?個惡意合約時,惡意合約就獲取了我們這個簽名,然?它可以拿我們這個簽名做任何事情!!!!!!!
在上述的偷盜事件中,?戶同惡意合約?3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v進?交易,該合約直接調?系統合約轉移?戶的SOL,因為簽名隨著調??起擴散到了系統合約,因此系統合約認為該筆交易也是批準過的,是正常的,所以就轉?了?戶的資產。
6.具體被盜交易
其中?筆被盜交易:
https://explorer.solana.com/tx/4j33JSGRS6rD5irzW1cA9wjQAvAgVDAnBTrGRjqtqBBWXspTzU5HpEFwTeCC2uD9hH9eA2Pw5ddHyd5JyG6h6cNq
我們可以看到該交易涉及的輸?賬號:
這其中:
?戶賬號:4XF4wyjein7ZN4RPM6YK2mC2mC6T41cZAoKjJqpP19fR
SOL轉移賬號:BepccLHDcXqqHi6MfpTDo9Sfc5tmRjmSC1XY48Tb8HuY
惡意合約地址:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v
從上可以看出,?戶賬號調?合約后轉移了1.2545SOL到轉移賬號。同時我們可以看到并沒有涉及到spl-token代幣合約,出產沒有通常意義上的授權這么回事。
其交易打印出的?志為:
從?志中也可以判斷,惡意合約僅是簡單的調?了系統合約轉?了?戶的SOL,因此?戶簽名批準了對惡意合約的交易,這個簽名也擴散到了系統合約,因此判定有效。
7.結論
在Solana中,不要輕易確認或者批準任何來歷不明的交易,因為它可以拿你的簽名代表你做任何事情。
關于Fairyproof
Fairyproof是一家專注區塊鏈生態安全的公司,公司主要通過“代碼風險檢測+邏輯風險檢測”的一體化綜合方案服務了諸多新興知名項目。
團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊團隊正式收入。
團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目,并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。
Tags:SOLLANASolanaSOLASOLAPE Tokensolana幣總量solana幣官網solana幣下半年會漲到多少價格
原標題:區塊鏈游戲蹭元宇宙熱點,號稱玩游戲就能賺錢,收益超萬倍!律師:涉嫌違法元宇宙概念大火,區塊鏈游戲也搭上順風車。“攜手v神,馬斯克實現火星夢”.
1900/1/1 0:00:00在本文中,我們將介紹5個MetaMask替代品,它們可以用于跨以太坊和其他區塊鏈的DeFi。MetaMask在全球擁有數百萬用戶,是以太坊和其他區塊鏈上與dapp交互的最受歡迎的Web3錢包.
1900/1/1 0:00:00與Web2.0同行,為何我們需要聚合器?在Web2.0和Web3.0中,有一點是共通的,那就是用戶對提高便利性,減少搜尋成本的產品和工具的需求.
1900/1/1 0:00:00這是一篇系列文章,本文將探討Web3的創始人和建設者如何使用一些Web2的增長框架來擴展出更成功的產品.
1900/1/1 0:00:00金色虎年開新禮 路虎抽獎倒計時2小時:1月30日20:00,由金色財經推出的虎年開新禮,將迎來最后一輪環節終極大禮路虎車一輛,將在幸運號碼池中抽取1個號碼,快速報名參加請點擊原文鏈接.
1900/1/1 0:00:00作為加密圈最硬核而私密的會議,中本聰圓桌已經舉行第八屆了。著名加密朋克、Casa聯合創始人和CTOJamesonLopp近日參加了本次中本聰圓桌,并發文回顧了會議.
1900/1/1 0:00:00