最近關于用戶和Move智能合約交互,不需要授權(Approve)是更安全還是更不安全的爭論很多,這里嘗試用通俗的方式來解釋一下二者背后的區別以及Move這樣設計背后的思想。
我們先理解一下用戶和智能合約交互的方式。當我們簽了一個交易,去調用一個鏈上的智能合約,就好比從物理世界進入了一個智能合約的數字世界,我們在這個數字世界有一個分身,而這個分身做什么,是智能合約定義的。
在EVM中,每個合約都相當于一個獨立的小世界,分身進入這個世界后,只能操作用戶在當前合約世界中的狀態。
比如進入swap世界,想用自己的usdt交換其他資產,而usdt存在定義usdt的那個合約世界,沒辦法直接在swap中以自己的身份從usdt合約里提取資產。于是用戶只能先去usdt的合約世界執行approve,告訴usdt的合約,swap可以代自己提取自己的資產,然后再進入swap世界進行操作。
美國SEC宣布向7名個人提供超過1.04億美元的獎勵:金色財經報道,美國SEC宣布,向7名個人提供超過1.04億美元的獎勵,他們的信息和協助促成了SEC執法行動以及另一機構提起的相關行動的成功。該獎項的總金額是SEC舉報人計劃歷史上的第四大獎項。[2023/8/6 16:21:33]
操作完成之后,再去usdt那邊取消授權。但這里的approve和revoke操作都需要獨立的交易,用戶往往為了節省gas費用,不進行revoke,結果如果swap合約出安全問題,用戶的資產就可能在不知情的情況下被盜取。
而在Move中,所有的合約都在一個大的數字世界運行。用戶的數字分身可以自由的在合約間移動,執行任何操作,同時用戶的狀態存在用戶自己的存儲空間。
西班牙銀行A&G將推出加密投資基金,CACEIS擔任托管方:7月25日消息,西班牙私人銀行A&G將在向監管機構國家證券市場委員會(CNMV)注冊后推出一款加密投資基金產品。據稱,這將是西班牙首個此類基金。
該銀行表示,投資者對加密貨幣投資表現出“極大的興趣”,加密投資“可以通過更安全、更受監管的投資產品,實現更有效的風險管理和控制。”A&G還稱,“受監管專業人士參與”的基金對加密貨幣投資者來說是一個安全的選擇。
另一家銀行CACEIS將擔任該基金的托管方,而普華永道將擔任其審計機構。據悉,CACEIS銀行是歐洲銀行業巨頭Crédit Agricole和桑坦德銀行的聯合資產服務部門。[2023/7/25 15:57:28]
用戶從swap入口進入,從自己的余額提取usdt,交換,存儲可以在同一個交易里原子化完成。這種模式給合約帶來更自由的組合模式,可以玩出很多EVM上很難實現的組合玩法,這也是EVM上的賬戶抽象方案想實現的模式。當然,這也帶來了新的安全挑戰。
前Silvergate Bank董事會成員Rebecca Rettig擔任Polygon首席政策官:2月10日消息,加密友好銀行Silvergate Bank董事會成員Rebecca Rettig已經辭職,并加入Polygon Labs擔任首席政策官,負責為公司制定合理的加密貨幣政策。據悉,Rettig辭職不是由于與公司、銀行或董事會就與公司或銀行的運營、政策或慣例有關的任何事項發生任何爭議或意見不一致所致。[2023/2/10 11:58:40]
那EVM中能否直接增加一個特性,讓合約間的調用可以把用戶身份直接帶過去?這個技術上是可以實現的,但EVM中支持動態調用,可以調用任意地址的合約,讓這種操作的風險變的很難度量,同時EVM的狀態變更對用戶和錢包都不友好,錢包很難通過狀態變化對用戶進行提示。
Genesis:沒有重大的凈信用風險敞口,未持有任何中心化交易所發行的代幣:金色財經報道,加密貸款機構Genesis發推稱,關于今天的市場事件,其管理了貸款賬簿并且沒有重大的凈信用風險敞口。此外,Genesis未持有任何中心化交易所發行的代幣。我們繼續在所有產品上滿足全球客戶的需求。[2022/11/9 12:36:56]
而Move中解決這個安全挑戰有兩個方法:
1.在預執行合約的時候把合約執行后的狀態變更提示給用戶,讓用戶可以知道這個交易操作了自己的哪些重要資產,以及執行后的結果。這個方法StarMask中已經實現,參看鏈接以及附圖https://starcoin.medium.com/starmask-v4-6-0-display-the-token-changes-that-caused-by-a-transaction-from-any-dapps-9d4930825d2b…
2.可能有部分合約可以通過設置條件,讓一部分用戶預執行的時候無法發現狀態變更。@0xmetazen的分析https://twitter.com/0xmetazen/status/1582581013972414465…但Move中沒有動態調用,合約在部署時,它的執行邏輯就是確定的。可以通過靜態分析字節碼,得到合約所有可能路徑上操作的狀態,在區塊瀏覽器或錢包里提示給用戶。
1當區塊號為偶數則偷,否則不偷,那就有一半的概率繞過錢包檢測;2從錢包檢測完交易,到交易執行上鏈,有一個時間窗口,黑客可以在這個時間窗口內插入執行的更快的交易來臨時改變合約狀態,讓合約變的可以盜取用戶資產,錢包當初的檢測是沒問題的EVM和Move的兩種方案,帶來的安全風險是不一樣的。Approve方案的安全風險是把一個即時的授權變為長期授權,它的風險不是立刻發生的,比如合約漏洞未被發現或者惡意合約放長線釣大魚。而一旦發生,用戶往往很被動,很多用戶可能都忘記授權過哪些合約了。
而Move的方案給了合約更大的自由權,遇到惡意合約會有較大風險,但這種風險是即刻發生的,是可以通過技術手段來檢測的。最壞的情況,至少前面沖的快到人趟坑了,可以給后面的人警示,惡意合約會快速暴露出來
最后,世上沒有銀彈,不可能靠用了某種技術就解決了所有安全問題,需要鏈,工具,用戶一起努力。對Move用戶的安全建議:
1.選用狀態變更提示更完備的錢包,并嘗試理解錢包的提示。
2.不要隨意和來源未知或未開源的DApp交互。
3.如果做不到上面兩點,可以等別人先趟一下坑
責任編輯:MK
最近,在Balaji的《網絡國家》一書中和在Web3投資者之間被廣泛提倡的一個概念是,Web3的終局將是主權社區或網絡國家.
1900/1/1 0:00:00通往未來的關鍵一步。 作者|武靜靜?編輯|趙健元宇宙在當下了成為了擺在科技公司面前的那顆“藥丸”。沒有人知道它究竟是什么,但人們如此迫切地需要它帶來的可能性.
1900/1/1 0:00:00——V神一直想要的“賬戶抽象”是什么?——私鑰是億級用戶web3應用的最大障礙嗎?——錢包能像傻瓜相機一樣易用嗎?下一代錢包大戰一觸即發.
1900/1/1 0:00:00本文將與鏈上身份有關的不同領域列舉出來,并概述每一個領域中的代表項目。 徽章 鏈上徽章是最常見的類別,即通過完成鏈上或鏈下任務而獲得的代幣或NFT.
1900/1/1 0:00:00在今年年初的時候,我曾發表過一個關于加密貨幣/區塊鏈應用規模化的短期/中期/長期觀點的文章。從那時起已經超過9個月了,市場周期已經轉為看跌.
1900/1/1 0:00:00本文包含一套標準草案,我們作為行業的先行者可以嘗試制定這些標準,以在等待完整的聯邦監管制度的同時明確并保護客戶。將其視為行業規范手冊,力圖建立共識.
1900/1/1 0:00:00