以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

無限代幣授權 —— 我們能做些什么?_C20:brc20錢包有哪些

Author:

Time:1900/1/1 0:00:00

近來以太坊上最火爆的領域就是DeFi。主要的DeFi應用包括ERC20代幣的借貸、質押和交易。若想在Uniswap、Aave和Yearn等DeFi協議上使用ERC20代幣,你需要授權dApp來使用這些代幣。這就是所謂的?*ERC20授權*?。這些授權對于DeFi平臺的運作來說必不可少,但是如果不加以控制,那將是非常危險的。

ERC20授權的必要性

有了以太坊上的原生代幣ETH,你就可以將ETH發送至該智能合約,同時調用智能合約功能。這是通過所謂的可支付函數實現的。但是,由于ERC20代幣本身就是智能合約,你無法通過直接將代幣發送到智能合約來調用其函數。

因此,ERC20標準讓智能合約使用?transferFrom()?函數代表用戶轉移代幣。為此,用戶需要允許智能合約代表他們轉移代幣。

這樣一來,用戶就可以將代幣“存入”智能合約,同時智能合約會更新其狀態來顯示這筆存款。相反,如果你將ERC20代幣發送至該智能合約,則合約不會更新其狀態。

數據:Wintermute Trading今日向Binance累計轉入265萬枚OP:5月29日消息,據鏈上數據分析師余燼監測,Wintermute Trading 地址今日已累計向 Binance 轉入 265 萬枚 OP,價值約合 431 萬美元。

據悉,Wintermute 此前曾于 2022 年 11 月 22 日至 2023 年 1 月 8 日期間陸續從 Binance、Coinbase 提幣共計 1903 萬枚 OP,該時段正是 OP 本輪上漲前的低位、低波動區間。

此前報道,據 Token Unlocks 數據顯示,5 月 31 日 8 時將有 154,618,822.65 枚 OP 解鎖,價值約 2.55 億美元,占總供應量的 3.6%。[2023/5/29 9:49:11]

例如,如果你將DAI“存入”Aave來賺取利息,你首先要允許Aave合約從你的錢包中取出一些DAI。然后你調用Aave合約里的函數,指定你想要存入的DAI的數量。然后,Aave合約使用?transferFrom()?函數從你的錢包中取出相應數量的DAI,并將同等數量的aDAI代幣記入你的賬戶。

USDC流通量截至5月25日已跌至290億枚附近:5月29日消息,據Circle官網數據,5月18日至5月25日期間,Circle共發行約12億枚USDC,贖回約17億枚USDC,流通量減少約5億枚。截止5月25日,USDC總流通量約為290億枚,資金儲備量為292億美元。[2023/5/29 9:49:01]

無限ERC20授權的危害

將特定數量的ERC20代幣存入合約時,你就可以選擇將授權額設成這個數量。然而,許多應用會向用戶要求無限授權。

這會帶來極好的用戶體驗,因為用戶不需要在每次存款時重新授權。設置無限授權后,用戶只需要同意一次,之后存款時就不會再重復這一過程。

但是,該設置存在很大的弊端。眾所周知,即使是成熟的項目,也有可能存在漏洞。一旦你給了這些平臺無限授權,不只是你的存款會陷入風險之中,你的錢包中的代幣也是如此。

數據:Uniswap繼續以63%的交易量份額主導DEX領域:金色財經報道,區塊鏈研究機構 Messari 發長推表示,再過去的一周時間里,L2s 連續第二周成為焦點,Optimism的“超級鏈”取得進展并將于最近推出,OP Stack 的格局正在擴大。ZK Rollup訂單簿DEX ZigZag 自發布以來用戶和交易量增長了 10 倍,迅速成為最受歡迎的平臺。Uniswap 繼續以 63% 的交易量份額主導 DEX 領域。[2023/4/1 13:38:20]

在Devcon5上,我第一次與PaulBerg談到了這個問題。在這次大會上,Paul就本文所討論的問題做了陳述。在開發Sablier時,Paul在他的智能合約中發現了一個漏洞,不僅所有存入該智能合約的DAI有風險,所有測試者的錢包中的DAI也是如此!

實際風險

IoTeX核心版本1.9.0發布,將在區塊高度21,542,761激活硬分叉:12月28日消息,IoTeX核心版本1.9.0發布,這是一次硬分叉,也是今年最后一次重大升級,將在區塊高度21,542,761激活,所有節點必須升級以保持與iotex鏈同步。[2022/12/29 22:13:14]

長期以來,無限授權的風險主要是理論上的。在Paul所開發的Sablier平臺正式上線之前,這個漏洞就被修復了。當時,還沒有出現利用ERC20授權的攻擊,但是只要平臺繼續要求無限授權,遲早會出狀況。

去年,我們已經看到了幾起利用ERC20授權的攻擊事件。

意外漏洞

今年早些時候,Bancor出現了一個漏洞,危及用戶資金。執行ERC20?transferFrom()?函數的函數變成了public屬性,因此任何人都可以執行該函數,并取走用戶錢包中的資金。Bancor執行了一次白帽黑客攻擊,控制了損失,并將資金還給了用戶。

Acala計劃分階段恢復運營,首先會使LP能夠從資金池中提取流動性:9月23日消息,Acala在異常增發鑄幣事件后公布進展更新,當前網絡已處于準備恢復運營的狀態,計劃分階段啟動Acala網絡,階段一將使LP能夠從資金池中提取流動性,階段2啟用除預言機之外的其余操作,階段3啟用預言機。[2022/9/23 7:15:36]

惡意利用漏洞

除了Bancor的意外漏洞之外,還有很多惡意利用漏洞的情況。在今年夏天的DeFi熱潮中,人們都在為各種以食物命名的DeFi分叉產品狂歡,其中也包括一些騙局。即使人們為了規避風險只存入少量代幣,他們錢包中的代幣也會因為無限授權而陷入風險。

ZenGo就在一個名為UniCats的項目中發現了可利用漏洞。人們可以存入Uniswap代幣,然后通過流動性挖礦獲得MEOW代幣。但是如果要存款,用戶必須提供?無限授權。如果項目遭到攻擊,攻擊者不僅可以拿走項目的存款,還可以拿走用戶錢包內的所有UNI代幣。

另一個例子是DegenMoney項目。DegenMoney項目采用了一種不怎么高明的辦法。這個項目沒有開發自己的智能合約,而是創建了一個前端來進行兩次授權交易。一次是向一個運行中的智能合約,另一次是向完全不同的地址。

由于很多人沒有專門檢查錢包地址,這就導致攻擊者可以取走用戶錢包中的代幣。

那硬件錢包呢?

總的來說,硬件錢包比手機、手提電腦和基于瀏覽器的錢包安全的多。原因是,控制資金的私鑰安全地存儲在硬件錢包中,并且永遠不會離開該設備。因此,通過硬件錢包,你可以確保沒人能竊取你的私鑰。

ERC20授權的問題在于,沒人需要竊取你的私鑰才能從你的錢包中取走代幣。因此,硬件錢包也無法防范本文所討論的惡意利用漏洞問題。

使用硬件錢包依然是一種好習慣,因為硬件錢包確實能保護你免受其它漏洞攻擊。但是,你需要注意的是,硬件錢包不能抵御授權漏洞和其它很多智能合約漏洞。

dApp開發者可以做些什么?

在Devcon的講話中,Paul提到了一些關于無限授權問題的解決方案。這些方案各有優缺點。其中最實用的方案是即批即用模式。在這種模式下,應用只會要求用戶授權確切的數額,而非不限額。

這種方案的用戶體驗確實會差一些,因為每當用戶想要發送交易時,都需要發送一筆新的授權交易,不能再像無限授權那樣一勞永逸。這個模式的缺陷是會增加交易費成本,如果交易費像去年那樣暴漲,就會帶來很大的麻煩。

另一種替代型方案是,可以讓用戶選擇僅授權當下需要花費的數額,還是授權更高的數額以便后續進行更多交易。已經有多個項目采用這種策略,例如1inch.exchange和Curve.fi。

另一個減少交易成本的解決方案是,采用EIP2612之類的標準,讓用戶可以通過簽署消息來設置其授權額度,無需再通過發送交易的形式。但是,這類標準并未得到廣泛采用,而且圍繞該標準打造的工具也不多。

用戶可以做些什么?

由于ERC20授權是很多智能合約所不可或缺的部分,完全停止授權的方案并不可行。但是在可能的情況下,請盡量避免無限授權。

人們已經比一年之前更加了解這一問題,因此有些dApp可以讓用戶選擇只授權當前需要花費的數額,但是大多數dApp依然不行。盡管如此,高端用戶還可以通過Metamask的界面來降低其授權額度。

在使用dApp時,請你思考一下是否需要經常使用這個dApp,以及你是否信任這個項目,還是說你只會偶爾使用這個dApp,或者根本不信任這個項目。無論是哪種情況,你最好都要定期查看你的授權額度,并取消對不再使用的dApp的授權。

為便于檢查并撤銷這些授權,我開發了一種名為revoke.cash的工具。通過這個工具,你可以查看地址的代幣余額和授權額度,之后就可以輕而易舉地撤銷或降低授權。類似的工具還有approved.zone等。

結論

許多去中心化應用的運行都離不開授權,但是無限授權通常并不利于安全性。2020年已經出現過幾起利用ERC20授權的漏洞事件,人們對這個問題的認識比一年前深得多。作為一名用戶,你可以采取一些措施來降低上文所述風險,包括定期查看并撤銷多余授權。

Tags:RC2RC20C20ERC20brc20錢包有哪些ethereum和erc20的地址一樣嗎Fair BERC20

比特幣最新價格
  陳楚初:比特幣新高跳水千余點 日內多單需謹慎_300:cosmos

今日快訊: 據12月20日消息,咨詢公司Edelman金融服務執行主席RicEdelman表示,隨著越來越多的機構投資于比特幣,圍繞比特幣的討論正在發生180度的轉變.

1900/1/1 0:00:00
炎王論幣:2020.12.21 晚間比特幣行情分析與操作策略 解套_以太坊:比特幣最新消息新聞24小時

  比特幣在多次反彈中止步24000附近,與此同時有大批資金流出,走勢偏弱,比特幣晚間再度下跌千余點,空頭情緒逐漸強勢.

1900/1/1 0:00:00
12--20 比特幣日內連續震蕩 后市走勢如何?_HIV:萊特幣

今天比特幣在凌晨進行一波拉升之后,一直在一個區間里面震蕩回調整理為主了,今天的行情沒什么看頭,甚是無聊的要命,各種炒幣群里都是一片死寂,沒什么人進行交流的,看來區塊鏈已經成了無幣區塊鏈了.

1900/1/1 0:00:00
金佳說幣:12.22ETH凌晨行情分析與操作建議:_ETH:UNC

金佳說幣:12.22ETH凌晨行情分析與操作建議:從4小時圖來看,目前價格613置附近波動,MACD紅色動量持續放量,KDJ三線目前處于50軸下方向上運行,CCII線超賣區上揚趨勢.

1900/1/1 0:00:00
Waves Enterprise如何通過前瞻布局混合鏈在企業級區塊鏈市場里脫穎而出_VES:區塊鏈工程專業學什么及就業方向

1995年,出生于烏克蘭的亞歷山大·伊萬諾夫走進莫斯科羅蒙諾索夫國立大學理論物理系,但年輕氣盛的他似乎對沉悶的物理世界并不感興趣,反而迷上了寫代碼,于是他開始在課余時間嘗試自學軟件編程.

1900/1/1 0:00:00
金融論幣:12-20 午間BTC行情分析_COSM:osmo幣歷史最高價

前言: 領導人不學習,不加強修養,不僅缺心,而且缺德,最笨的人就是出色的完成了根本不需要干的事,最愚蠢的人,就是用他的聰明才智努力犯錯誤的人,最缺德的人.

1900/1/1 0:00:00
ads