以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

幣安、等主要錢包的合約授權風險 大機構真的安全嗎?_USD:KucoinETH錢包地址

Author:

Time:1900/1/1 0:00:00

主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力,DilationEffect無法得知這些機構內部的安全水平和實施細節,但出于好奇,我們想嘗試通過公開信息來對這些機構錢包地址做簡單分析,見微知著,從普通用戶角度來考量這些地址是否存在潛在安全風險,以及潛在風險敞口有多大。

本次快閃點評的數據全部來源于Etherscan、Debank等公開服務。

1、分析對象選擇

查看Etherscan的Top1000Accounts,挑出其中打了標簽的機構地址。

2、分析維度選取

由于不了解這些交易所和機構生成和管理錢包的技術細節,該如何對地址的安全性做分析?DilationEffect這次選取的維度是分析這些地址的合約授權情況。

因為地址被惡意合約騙取授權或者授權過的合約存在漏洞而導致被盜幣是很常見的攻擊。限制授權額度、定期清理授權已經成為最佳安全實踐。那么這些大型交易所的地址做的如何呢,我們隨機挑選幾個地址來做分析。

數據:以均價110美元買入5.2萬枚ETH的巨鯨于11小時前將12087枚ETH轉入了幣安:金色財經報道,據鏈上分析師余燼監測,一個在2018/12-2019/1以110美元的均價從Kraken提出5.2萬枚ETH(573萬美元),可能是抄了ETH大底的巨鯨。沉寂2年后,于11小時前分兩筆將12087枚ETH(2061萬美元)轉入了幣安。至此, 這巨鯨的5.2萬枚ETH已全部轉出至CEX:

2019/6,27198枚ETH轉入Bitstamp,均價257美元;

2019/7-2021/8,12715枚ETH轉入Kraken,均價1911美元;

2023/8,12087枚ETH轉入Binance,均價1705美元;

該巨鯨以均價110美元轉入,均價998美元轉出,可能實現了4615萬美元(+804%)的收益。[2023/8/31 13:08:21]

案例一

地址:

Binance8(0xF977814e90dA44bFA03b6295A0616a897441aceC)

這是Binance余額最大的錢包地址,ETH鏈為100億美金,其他鏈加起來一共161億美金。部分資產截圖如下:

Galaxy Digital創始人:祈禱幣安與美國證券交易委員會和解:金色財經報道,加密貨幣投資公司Galaxy Digital創始人Mike Novogratz在社交媒體發文稱,八周前曾預測了時間幫助加密貨幣價格上漲的事情,分別是:1、美聯儲暫停加息;2、Ripple贏得訴訟;3、比特幣ETF;4、幣安/CZ與美國證券交易委員會和解。現在四個預測中有三個取得了巨大進展,雖然現在幣安還沒有進一步深入了解,但仍為幣安與美國證監會和解祈禱。[2023/7/16 10:57:21]

查看此地址在ETH鏈的合約授權情況,發現提示32億美金存在風險。當然這里并不是說一定存在確定性安全風險,這只是一種潛在風險敞口的可能性描述。

幣安將于5月26日移除APT/BRL、AMP/BTC等21個交易對:5月24日消息,據官方公告,幣安將于5月26日移除以下現貨交易對并停止交易:APT/BRL、AMP/BTC、BEL/ETH、FIS/BRL、GAL/ETH、GMT/BRL、PE/AUD、AVAX/AUD、AXS/AUD、DOT/AUD、FTM/AUD、LINK/AUD、SAND/AUD、SHIB/AUD、GMT/GBP、JASMY/BTC、KP3R/BNB、REI/BNB、SANTOS/BRL、STMX/BTC、XTZ/BNB。用戶仍可以在幣安平臺可用的其它交易對中交易上述幣種。[2023/5/24 15:22:54]

那么我們具體來看看此地址是如何做授權的,比如什么幣種授權給了什么合約,授權額度如何。以下摘錄部分查詢結果。

聲音 | 趙長鵬:幣安的信用卡支付功能不是為和Coinbase競爭:據bravenewcoin報道稱,伴隨幣安開通信用卡支付功能,幣安和Coinbase的競爭將進一步升級。趙長鵬推特評論道,不是競爭,只是提供更多選擇,一同促進行業發展。Fundstrat聯合創始人Thomas Lee在趙長鵬推特下評論,交易所提供的法幣交易通道對于構建加密世界基礎設施至關重要,并且有助于使加密貨幣更具實用性,幫助其成為一個資產類別。[2019/2/10]

這時我們會發現一個奇怪的現象,就是這個地址上有的幣種限制了授權額度,有的幣種卻直接無限制,授權額度規則看起來并不統一。我們特別關注到BUSD、Matic、SHIB、SAND這幾個余額較大的幣種,地址余額分別為19億美金、4.6億美金、2.6億美金、1.4億美金,相關授權記錄如下:

聲音 | 幣安:沒有證據表明數據由幣安泄漏:據CCN此前報道,名為“ExploitDOT”的賣家聲稱在暗網出售從一些領先的加密貨幣交易所獲得的用戶KYC數據。對此,幣安公關負責人Leah Li表示,已調查了相關照片,但沒有證據表明數據是由幣安泄漏。安全是幣安最為重視的事情,會最大限度地確保平臺上不發生數據泄露事件。[2019/1/25]

這里存在幾個明顯的問題:

一是對合約的授權沒有定期清理。比如針對BUSD的合約授權,兩年多過去了都沒做過清理,要么沒關注到要么覺得沒必要。這說明Binance在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說,已經分析過相關授權合約發現這些合約能做的操作有限,相對安全。但我們想說的是,這里首先并不是單純的技術問題,而更多是安全管理的問題。即Binance在這里該如何全面系統的去管理第三方合約帶來的風險,我們認為可以做的更嚴格深入。其實如果仔細看,你會發現Aave:LendingPoolV2是個可升級的代理合約,假如Aave合約被攻擊,這里就是19億美金的損失。

二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況,如果限制了授權額度會相應的降低風險。這同樣暴露出Binance在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況,但是對Crypto行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度,對風險要保持極度的厭惡是非常必要的。

三是幣種授權規則不統一,有些幣種限制了額度,有些完全沒限制額度,動作不統一。這說明Binance內部安全管理操作不明確,或者內部團隊沒有做好分工配合。

另外我們也很好奇,資產余額規模如此巨大的地址,為何要頻繁參與Defi合約的操作呢?Binance是否可以做出更細粒度的地址規劃和隔離設計呢?

案例二

地址:

Kucoin6(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

這是Kucoin交易所的地址,其ETH鏈上有17億美金,其他鏈加起來19億美金。此地址資產截圖如下:

查看此地址在ETH鏈的合約授權情況,發現提示11億美金存在風險。同樣的,這并不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。

那么具體來看看Kucoin這個地址的授權情況。

哇!我們又發現了一些有意思的東西。

1、此地址的APE幣種在2022-04-02授權給了Multichain的跨鏈Router合約,大家應該知道前幾天Multichain出現了不可抗力因素的事件,但Kucoin并沒有在第一時間取消對Multichain合約的授權。這體現出Kucoin在風險應急響應上還存在改進空間。

2、此地址的大金額幣種USDT、USDC、KCS等全部都授權給了名為Bridge的合約,且授權額度完全無限制。簡單分析后發現Bridge是KuCoin社區鏈KCC的跨鏈橋合約,但在KCC的官網上查看搜索,并沒有發現相關的安全審計報告,這不禁又讓人心一慌。大家還記得BNBChain的200萬枚BNB攻擊事件嗎?

案例三

地址:

JumpTrading(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

這是機構JumpTrading的地址,其ETH鏈上有1.4億美金,其他鏈加起來1.5億美金。此地址資產截圖如下:

查看此地址在ETH鏈的合約授權情況,發現提示2500萬美金存在風險。同樣的,這并不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。

那么具體來看看JumpTrading這個地址的授權情況。

可以發現此地址上幣種的授權不多,而且絕大部分的授權都做了額度限制,總體上管理得還不錯。

但是USDC幣種在2021-02-04授權給了Curve合約,未設置限額,且一直未取消。這一點需要做出提醒,如果不需要對應的合約操作,建議立即取消對此合約的授權。

總結

這次的快閃點評到這里就結束了。DilationEffect隨機抽取了幾個交易所和機構地址做分析,從結果來看,這些機構在合約授權方面做得并不是很完美,希望我們的分析能給相關機構提供參考。沒有抽取到地址的交易所和機構,也可以參考上文中的分析過程來檢查是否存在類似問題。

Tags:ETHUSDKucoinETH錢包地址ETH挖礦app下載Etherael指什么寓意USD幣USD價格kucoin是什么平臺kucoinpro是什么kucoinpro介紹

幣安交易所app下載
自治世界:完全鏈上游戲深度分析_區塊鏈:NFT區塊鏈工程專業學什么

在這篇文章中,1KX將分析鏈上游戲的潛力以及它們如何改變游戲產業,包括游戲制作、游戲玩法、社區建設和商業模式等方面.

1900/1/1 0:00:00
耐克玩轉Web3的秘訣都在這里了_RTF:NFT幣RTF價格

最近幾年興起的Web3技術給許多傳統企業帶來了新的啟發,這其中不乏一些全球商業巨頭。耐克公司作為當今年輕一代的文化偶像,自然不會錯過嘗新的機會.

1900/1/1 0:00:00
觀點:我所理解的Layer0、1、2層到底是什么?_區塊鏈:以太坊

這是我第一篇宏觀分析類型的文章,之前的文章都是分析某一個具體的項目,這次想試著講講更宏大也是我更不擅長的領域,同時也把之前零散發在Twitter上的內容結構化整理成一篇文章.

1900/1/1 0:00:00
一文讀懂Lybra Finance:LSD賽道新穩定幣協議_USD:ETH挖礦app下載

在以太坊升級完成后,LSD賽道還有哪些可以參與的新機會和看點?新的穩定幣也許是其中之一。LybraProtocol,一個通過超額抵押ETH生成穩定幣的協議,并且可以將存入的ETH轉換為stETH.

1900/1/1 0:00:00
Bankless:當前鏈游的虛假承諾及真正的 Web3 游戲架構_OPC:MOD

當以太坊在2087年最終成為主流,美聯儲不再存在時,歷史學家會將Crypto的起源追溯到2011年的一個時刻,當時暴雪削弱了VitalikButerin《魔獸世界》中角色的“虹吸生命”法術.

1900/1/1 0:00:00
那些可以替代Chrome、Twitter等Web2應用的Web3產品_Mirror:Audius幣是什么幣

Web3產品正在替代用戶最喜歡的Web2應用程序,而且采用速度比你想象的要快。隱私和去中心化是吸引開發人員使用區塊鏈技術改進當今Web2應用程序的兩個最具吸引力的功能.

1900/1/1 0:00:00
ads