比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

TOKE:TokenPocket閃兌服務商被盜,快檢查你開通了多少“無限授權”_TOK

Author:

Time:1900/1/1 0:00:00

今日,跨鏈DEX聚合器TransitSwap遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超2100萬美元。

發現被盜后,TransitSwap技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前?TransitSwap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。

與此前被盜項事件不同的是,TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗,也再一次向我們明確了加密市場“黑暗森林”的恐怖法則,即使是錢包背書的便捷“閃兌”服務,依然存在被盜隱患。

NFT市場Rarible宣布支持DOGAMí原生Token DOGA:金色財經報道,據Rarible官方社交媒體報道,該NFT市場已宣布接受區塊鏈游戲DOGAMí原生Token DOGA,這意味著Rarible旗下250萬月活用戶可以使用自己的Tezos錢包直接連接到Rarible平臺,并使用DOGA購買和出售所有基于Tezos區塊鏈的NFT系列。

據此前相關報道,DOGAMí曾于2021年底完成600萬美元融資,育碧和Animoca Brands等區塊鏈游戲行業巨頭參投。[2022/9/12 13:24:11]

什么是閃兌?

目前,幾乎所有錢包都嵌入了DeFi功能,而一些錢包出于易用性的考量,更是創造了“閃兌”這一概念并加以應用。

Crypto.com:支持以太坊合并,合并期間的ERC20 Token轉賬暫停:8月19日消息,加密交易平臺 Crypto.com 在其官網發文表示,旗下 App 和交易平臺將支持以太坊合并,為確保用戶在升級期間和升級后的資金安全,將在合并期間暫停 Crypto.com App 和交易平臺在以太坊主網上的 ETH 和所有 ERC20 Token 的充值和提現,交易不受影響。合并穩定后,將盡快恢復存取款。[2022/8/19 12:35:38]

所謂閃兌,即和錢包深度整合,在產品中擁有更明顯的獨立入口、更簡化的操作流程,更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如,“Approve”操作通常被簡單的一鍵式集成在交易流程中,用戶幾乎是無感的。

分析 | TokenInsight:BTC換手率顯著提高 下跌勢能減弱:據 TokenInsight 數據顯示,反映區塊鏈行業整體表現的 TI 指數北京時間 10 月 30 日 8 時報 573.69 點,較昨日同期下跌 19.3 點,跌幅為 3.25%。此外,在 TokenInsight 密切關注的 21 個細分行業板塊中,24 小時內漲幅最高的為錨定與儲備版塊,漲幅為 0.08%;24 小時內跌幅最高的為通訊版塊,跌幅為 9.57%。

另據監測顯示,BTC 急跌引起人氣熱度小幅反彈至 0.0849。全網交易額同比 3 日前上升 20.1%。BCtrend 分析師 Jeffrey 認為,BTC 下跌過程中市場換手率顯著提高至3.82%,下跌勢能減弱。[2018/10/30]

或是因錢包內置集成,用戶對其天然更具信任,也一定程度降低了防范意識。但究其本質,無外乎是錢包app集成的一款DEX,與其他DEX并無差異。這也給本次安全事件留下了隱患。

和君咨詢前合伙人趙大偉:Token經濟系統里,有社會企業家和通證經濟設計師兩個角色:和君咨詢前合伙人趙大偉表示,在Token經濟系統里面,有兩個角色非常重要,分別是社會企業家和通證經濟設計師。對于社會企業家而言,一定是要有格局和胸懷,因為只有關心解決多大的問題,才能做出多大的事業;對于通證經濟設計師而言,其作為Token經濟系統的制定者,一定要設計一個公平、可持續的經濟系統。[2018/3/26]

投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有,沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時,DEX是如何將一種資產拿走再轉移給你另一種資產的?

授權就成為了這一切的關鍵。用戶于DEX出售資產之前,需先執行“Approve”操作,這一操作之后合約便擁有了動用用戶某種代幣的權限。

或者描述的更加直白一些:只要你做了授權,無需打開錢包、無需執行操作、無需私鑰,該合約就可以不經你的許可,支配你授權的資產。這是由以太坊的機制和授權模型所決定的,與項目方的道德操守、安全規范、代碼審計都并無審核關系。

Uniswap盡管擁有隨時將用戶錢包清空的能力,但并不會真的這么做一樣。但動態來看,這一邏輯依然是危險的。

現代軟件開發,升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中,擁有Transparent和UUPS兩種升級方法,借助于這兩個功能,合約代理和升級幾乎是業界合約的標配。

項目方是如何進行合約升級的呢?通常,用戶所訪問的合約并非直接運行業務邏輯的核心合約,而是一個“代理合約”,代理合約接收到用戶請求之后將其轉發到核心的業務合約,再由業務合約進行處理。而合約升級即是更改簡單來說,智能合約盡管不可修改,但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。

而即便是最安全的合約,只要進行“合約升級”,其業務合約就已發生變化,此前的審計報告也淪為了一張廢紙。

簡單來說,今天你所交互的合約是安全的,但明天訪問同樣的這個項目,可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。

而對已經授權的用戶來說,還可發起取消授權操作。

常用取消授權網站如下:

1.Dappstar:https://tac.dappstar.io/#/

2.Revoke:https://revoke.cash/

3.Approved.zone:https://approved.zone/

4.?RabbyWallet?

此外,一些區塊鏈瀏覽器也支持用戶查看并取消授權。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盜,責任全在用戶嗎?

“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責于用戶的安全意識嗎?

在此類事件中,DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。

至今,仍有多少加密用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。

DeFi濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的田亮資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。

被盜事件發生后,神魚就已在推特做出呼吁,“呼吁一下項目方規范使用授權功能,用多少授權多少,不要無限授權,大家都放心。”

去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎?“保護你的資產,沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立,需要的不是復雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要行業里每一個參與者共同的努力。

Tags:TOKETOKTOKENKENKripton tokenFSP TokenOTCBTC TokenHBTC Captain Token

幣安app官方下載最新版
NFT:上帝模擬鏈游Apeiron恒星NFT預售及試玩版邀請開啟_APE$幣

什么是Apeiron Apeiron是世界首個上帝模擬NFT鏈游,結合了上帝模擬游戲+Roguelike+ARPG+卡牌玩法.

1900/1/1 0:00:00
WEB:在消費領域,除了創新Web3還需要提升實用性_區塊鏈存證的特征有

原文作者:TaosEdmondson,dmg高級合伙人 原文翻譯:白澤研究院 像大多數事物一樣,互聯網也是一場動人的盛宴.

1900/1/1 0:00:00
區塊鏈:ZT JINGAN即將上線KMC_BALA幣

親愛的ZT用戶: ZTJINGAN板即將上線KMC,並開啟KMC/YPT交易對。具體上線時間請關註平臺公告.

1900/1/1 0:00:00
GATE:Gate.io 非首發上線Startup項目Fidance(FDC)及免費認購規則公告(免費瓜分941,213,381個FDC)_GAT

關于Gate.ioStartup免費空投計劃為回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.

1900/1/1 0:00:00
BIN:幣安調整LIT U本位永續合約維持保證金階梯和資金費率上限乘數公告(2022-10-03)_Binance Cartel

親愛的用戶: 幣安合約將於2022年10月03日21:00調整LITU本位合約的維持保證金階梯,調整內容包含最大槓桿和維持保證金率。請用戶參考更新後的維持保證金階梯限額進行下單.

1900/1/1 0:00:00
SUI:9/30跟單交易好禮獎不停【手機紅包隨機禮】_加密貨幣

尊敬的唯客用戶您好! 跟單交易好禮獎不停 活動時間:2022/09/21?12:00至2022/10/04?11:59- 福利五:手機紅包隨機禮 活動方式: CertiK獲SUI頒發50萬美元漏.

1900/1/1 0:00:00
ads