比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

AUTH:對 EIP-3074 的批評以及一種簡單的替代_AppleSwap AI

Author:

Time:1900/1/1 0:00:00

對于開發者來說,AUTH/AUTHCALL機制非常具有吸引力。它可以讓人們創建調用者來實現不同的批量處理策略、gas抽象模型和復雜的賬戶抽象方法等。這種靈活性源于這一機制賦予了開發者極大的自由。AUTH/AUTHCALL機制不要求開發者遵循特定的模式,而是要求用戶簽署一個commit哈希值,讓開發者基于commit自行設置限制。然而,這種靈活性是以犧牲安全性為代價的。在本文中,我想要介紹一種更簡單的替代方案。這個方案具備AUTH/AUTHCALL機制的絕大多數優點,但是風險遠低于后者。為什么簽署一個AUTHcommit所帶來的風險高于簽署一個與存在漏洞/惡意合約相關的事務?用戶在簽署與合約相關的事務時,所承擔的風險是已知的,即,可能會損失在該合約控制范圍內的資產。比方說,用戶給一個ERC20合約簽署了批準事務,授權惡意的DEX合約。這個惡意DEX合約就可以提走用戶在ERC20合約中的全部余額。但是,它無法從該用戶的其它ERC20合約中提走代幣,除非得到該用戶的批準。它也不能代表用戶進行其它操作,因為這也需要專門獲得用戶的批準。相較之下,EIP3074不僅要求用戶簽署“空白支票”,而且假設調用者是誠實且沒有漏洞的。一個惡意/存在漏洞的調用者可以代表用戶執行任何操作——訪問用戶持有的資產,代表用戶進行投票,控制用戶所有的合約等。更糟糕的是,調用者隨時都可以作惡,因為nonce實現是由調用者控制的。存在漏洞/惡意的nonce邏輯實現可以重放用戶過去的事務。如果commit驗證的其它部分的邏輯也存在漏洞,調用者就可以利用這個nonce邏輯實現來代表用戶執行任何操作。即使漏洞被發現,用戶也無法撤回空白支票。這個外部賬戶已經被永久入侵了。編寫一個正確的調用者程序很難,而且我們幾乎可以肯定,調用者會不定期出現錯誤,從EIP3074最后列出的調用者應該警惕的檢查/漏洞/情況非詳盡清單中可見一斑。這份清單勢必會變得越來越長,很可能伴隨著痛苦的發現過程。此外,惡意參與者可以編寫一個看似無害的調用者程序,但是故意留下一個細微的漏洞,等到大量外部賬戶授權該調用者之后才會被攻擊者利用。如果攻擊者沒有直接或立即利用這個漏洞從用戶那里竊取資金,這個漏洞可能很長時間都不會被發現。治理劫持示例

印度稅務部門針對 700 名加密投資者不繳稅進行調查:金色財經報道,印度稅務部門正在打擊因加密貨幣收益而未繳稅的行為。該部門正在審查約700名高價值加密交易投資者,并補充說當局正提議向他們發出通知。稅務部門官員表示,這些人中的大多數要么沒有在納稅申報表上申報加密收益,要么根本沒有提交納稅申報表。他們可能面臨 30% 的稅收、罰款和利息。印度中央直接稅收委員會(CBDT)的一位高級官員稱:我們有一長串從事加密資產交易但沒有納稅的名單,該名單包括高凈值人士、非居民印度人、初創公司、學生和家庭主婦。他們中的一些人從未提交過納稅申報表。

據稅務官員稱,有些人的收益超過 400 萬盧比,但他們要么沒有提交納稅申報表,要么在申報表上宣布零收入。此外,納稅人在納稅申報表中對加密交易的處理方式有所不同,一些人將收入申報為資本收益,而另一些人則將其申報為商業收入。(news.bitcoin)[2022/3/17 14:01:24]

惡意去中心化交易所EveSwap為其用戶編寫了一個調用者程序。這個調用者程序通過空投EVE代幣來為用戶提供gas資助,并批量處理用戶的批準和轉賬事務。EveSwap的調用者程序看似無害,而且永遠不會竊取用戶的代幣,因為這樣馬上就會露餡。用戶很開心。交易都成功了,交易費也很便宜。幾個月來平安無事。然而,每當有人使用EveSwap交易AliceSwap的治理代幣ALI時,會自動將用戶的AliceSwap投票權委托給EveSwap。一旦授權人數達到某個閾值,EveSwap就會通過治理提案劫持AliceSwap。EveSwap用戶不太可能注意到這個過程,因為交易總是成功的,但是最終會給AliceSwap帶來毀滅性的打擊。跨鏈重放示例

火幣全球站臨時升級VET/USDT交易對 預計19:00恢復:火幣官方剛剛發布公告稱,火幣全球站于12月11日17:30起對VET/USDT交易對進行臨時升級(預計19:00恢復)。期間資產不受影響。[2020/12/11 14:56:32]

EIP3074合理地建議commit應該包含chainid。但是,這是由調用者,而非協議執行的。在另一條鏈上有著相同地址的調用者可能會跳過該檢查。EveSwap在兼容EVM的BobSpongeChain上運行,后者支持EIP3074。EveSwap在BobSpongeChain上部署了一個誠實的調用者。用戶使用該調用者在BobSpongeChain上交易,然后使用橋將資產轉移到以太坊上。EveSwap使用同一個部署密鑰在以太坊上部署了另一個地址相同的調用者。這個在以太坊上的調用者不會檢查commit,只會檢查ownerOnly,并充當其所有者的通用AUTH/AUTHCALL代理。這樣一來,EveSwap就可以劫持用戶在以太坊上的外部賬戶并卷走他們的資產了。用戶從未在以太坊上交易過,運行在BobSpongeChain上的調用者程序又經過了嚴格的安全審查。盡管如此,用戶還是丟失了全部資產。以太坊通過EIP155的重放保護來防范這種情況。AUTHCALL沒有重放保護。由于所有commit檢查都交給調用者完成,我們失去了以太坊提供的一切交易保護。攻擊是在所難免的,因為保護措施很隨意。如果要接受EIP3074,AUTH消息必須明確包含chainid,而非將其作為commit的一部分。我們還能采取什么別的手段?

分析 | Coinbase BTC/USD 對 Bitfinex 負溢價?Bitmex期貨Bid/Offer價差不斷擴大:據TokenGazer數據分析顯示,截止至6月13日17點整,BTC價格為$8120.3,市值為144,128.1MM,主流交易所24H BTC交易量約為$755.9MM,較昨日上升3.29%,BTC在震蕩中上行,于昨日晚間再度突破8000點位,目前在8100點位盤整,目前,BTCUSD/Coinbase對BTCUSDT/Bitfinex處負溢價狀態,后市或有一定下行風險;算力方面,BTC目前算力為53.5E,波動較小;活躍地址數保持相對穩定狀態;期貨方面,4月份以來,Bitmex的比特幣期貨Bid/Offer價差不斷擴大,到5月中旬達到0.69%,隨后流動性有所提升,價差縮小到3月中旬以來的平均水平,但價格波動依然不大。其它交易所的情況似乎并未改善,如Deribit。尤其是日本最大的比特幣交易所BitFlyer,流動性甚至更差了,Bid/Offer價差有上升趨勢。[2019/6/13]

我的提議是實現一個更明確的機制,在協議層面強制規定commit的含義。commit結構將是類型化的,錢包會以用戶可讀的形式將commit呈現出來。用戶可以確切地知道事務是什么樣子的,并確信這個事務不會在任何鏈上重放,無需依賴于調用者程序開發者的品行和能力。一個可能的實現:AUTH將使用包含授權調用列表的類型化結構代替commit哈希值。每個調用都將指定{nonce,to,gas,calldata,value,chainid}。簽名將被驗證,整個授權調用列表將保存為authorized_transactions而非authorized地址變量。AUTHCALL將得到一個新的參數index,該參數指向最后一個AUTH創建的列表中的地址。用戶地址的nonce將隨AUTHCALL遞增。nonce并非由調用者存儲,而是實際的賬戶nonce。利:用戶可以清楚地了解情況。安全性由協議保障。依然支持批處理和賬戶抽象。弊:nonce實現,不支持并行。復雜調用者程序的事務處理起來很繁瑣,因為用戶必須查看并接受整個調用列表。不同的實現可能支持不同的nonce方案。但是,無論我們使用什么機制,該機制必須由協議而非調用者執行。無論如何都應該避免讓復雜調用者執行大量用戶調用。復雜操作應該作為普通的智能合約實現,而非嘗試實現使用多個外部賬戶調用的算法。替代方案:完全避免硬分叉

動態 | BP 對 EOS 全區塊歷史都進行了存儲 只是有 5 個 BP 做了歷史索引并對外提供查詢接口:據 IMEOS 報道,針對“只有 5 個 BP 存儲了全部 EOS 區塊數據”的謠言消息,IMEOS 向 EOS ASIA 郭達峰求證,該消息是對EOS WEEKLY 的誤解。實際情況是所有 BP 都存儲了全區塊歷史,只是有 5 個 BP 使用了“History API”插件,提供區塊歷史數據的索引和查詢。[2019/2/17]

還有一個選擇是完全避免AUTH機制,并通過vbuterin建議的另一種交易池來解決賬戶抽象和批量處理問題。利:無需硬分叉,可由智能合約和可以感知這些智能合約的節點支持。可用于一切支持EIP3074的實現,而不會引入額外的風險。弊:不向后兼容已有的外部賬戶。用戶需要部署一個合約錢包并將資產轉移到該錢包內。除非要求在不遷移的情況下支持已有的外部賬戶,否則這個選擇看起來更安全。原地址:https://blog.mycrypto.com/eip-3074/作者:MaartenZuidhoorn翻譯&校對:閔敏&阿劍

動態 | Bitfinex有個不存在的USDT/USD交易對 交易量達4500萬美元:據cryptoglobe報道,Bitfinex的CoinMarketCap頁面顯示,Bitfinex有個USDT/USD交易對,交易量達4500萬美元以上,但是該交易對并未出現在Bitfinex網站上,考慮到Bitfinex和Tether最近在銀行業務方面的問題,交易者懷疑Bitfinex參與了沖銷交易(Wash Trading)。Bitfinex回應到,這來自Tether錢包的存取款記錄,“CoinMarketCap會跟蹤我們的API,他們顯示這一交易對不是我們可以控制的,也不是我們推動的。”[2018/10/24]

Tags:AUTHESWAPESWBITAuthorshipTreeSwapAppleSwap AIBitOnyx

比特幣最新價格
NFT:NFT平臺Autograph將開發饑餓游戲、暮光之城等IP,IP衍生品新賽道?_FRAPPE價格

熱點解讀——NFT平臺Autograph將開發饑餓游戲、暮光之城等IP,IP衍生品新賽道? 饑餓游戲 暮光之城由橄欖球運動員TomBrady創辦的NFT平臺Autograph宣布與獅門影業和數字.

1900/1/1 0:00:00
RAD:重塑DeFi樂高游戲規則:Layer1協議Radix從頭開始搭建金融世界_DIX

本文來自AscendEX研究院,星球日報經授權轉載。很長一段時間以來,加密行業一直都在追尋和思考未來的金融世界會是什么樣子,當DeFi引發的大型革新運動蔓延開來的時候,許多人發現其根本意義就是創.

1900/1/1 0:00:00
比特幣:Black Bitcoin Billionaire:打破偏見,為少數族裔創建的金融烏托邦_Calamari Network

價格高低并不是比特幣的全部,它背后的自由和公平,使得新世界的構建成為可能。而想要廢除舊世界的秩序,首先要改變世界由白人和男性主導的現狀.

1900/1/1 0:00:00
加密貨幣:交易所進化之路:傳統交易所、中心化交易所再到去中心化交易所_ok鏈的去中心化交易所連接

在現代交易環境中,我們可以對中心化和非中心化的交易所進行區分。這兩類交易所是由加密貨幣交易開創的全新概念.

1900/1/1 0:00:00
比特幣:億萬富豪、NBA球隊老板終究也沒逃過「比特幣真香」定律?_比特幣

前有世界首富馬斯克,后有億萬富翁貝索斯,福布斯排行榜名列前茅的這些富豪們對加密資產的言論和行動,給尚且小眾的區塊鏈圈子帶來陣陣風云.

1900/1/1 0:00:00
加密貨幣:報稅服務商,加密企業合規之路上必不可少的組件_加密貨幣是什么意思

今日奧地利加密資產稅務報告公司Blockpit宣布完成超過1000萬美元的A輪融資,該輪融資獲MGV領投,FabricVentures、ForceoverMassCapital等參投.

1900/1/1 0:00:00
ads