USD:分析EVM 和 Move 的兩種方案，思想及區別_Moviebloc

最近關于用戶和Move智能合約交互，不需要授權(Approve)是更安全還是更不安全的爭論很多，這里嘗試用通俗的方式來解釋一下二者背后的區別以及Move這樣設計背后的思想。

我們先理解一下用戶和智能合約交互的方式。當我們簽了一個交易，去調用一個鏈上的智能合約，就好比從物理世界進入了一個智能合約的數字世界，我們在這個數字世界有一個分身，而這個分身做什么，是智能合約定義的。

在EVM中，每個合約都相當于一個獨立的小世界，分身進入這個世界后，只能操作用戶在當前合約世界中的狀態。

比如進入swap世界，想用自己的usdt交換其他資產，而usdt存在定義usdt的那個合約世界，沒辦法直接在swap中以自己的身份從usdt合約里提取資產。于是用戶只能先去usdt的合約世界執行approve，告訴usdt的合約，swap可以代自己提取自己的資產，然后再進入swap世界進行操作。

慢霧創始人余弦：保持IOS系統更新習慣，另外建議盡量不要使用iMessage功能:金色財經報道，卡巴斯基首席執行官尤金·卡巴斯基在社交媒體上稱，我們發現了一種針對 iOS 的新網絡攻擊，稱為三角測量。攻擊從帶有惡意附件的 iMessage 開始，利用 iOS 中的多個漏洞安裝間諜軟件。無需用戶操作。

對此，慢霧創始人余弦轉發提醒稱，這黑客組織是下血本的，一條 iMessage 消息不需要什么用戶交互即可靜默地在你的 iOS 上植入木馬，遠程控制你的 iPhone，禁用升級、重啟恢復、偷錢包的能力肯定也是綽綽有余，但這個組織的意圖不是這個。不過還是別大意，系統保持更新習慣（雖然木馬會禁用更新，這個可能也可以作為判斷你 iPhone 是否正常的點），另外強烈建議，iMessage 這功能沒什么軟用就別用了…[2023/6/2 11:53:30]

操作完成之后，再去usdt那邊取消授權。但這里的approve和revoke操作都需要獨立的交易，用戶往往為了節省gas費用，不進行revoke，結果如果swap合約出安全問題，用戶的資產就可能在不知情的情況下被盜取。

Beosin：Euler Finance攻擊者轉移約188萬美元資金:3月17日消息，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年3月16日，Euler Finance攻擊者將1000個ETH和100個ETH分別轉到0xc66dfa84bc1b93df194bd964a41282da65d73c9a(Euler Finance Exploiter 4)和0x098b716b8aaf21512996dc57eb0615e2383e2f96（Ronin Bridge Exploiter

）。

此前消息，2023年3月13日，DeFi借貸協議Euler Finance遭受攻擊，損失近2億美元。[2023/3/17 13:10:18]

而在Move中，所有的合約都在一個大的數字世界運行。用戶的數字分身可以自由的在合約間移動，執行任何操作，同時用戶的狀態存在用戶自己的存儲空間。

葡萄牙銀行Bison Bank與瑞士數字資產銀行Sygnum達成合作推出加密交易服務:金色財經報道，葡萄牙銀行 Bison Bank 宣布與瑞士數字資產銀行 Sygnum 達成合作，通過旗下加密子公司 Bison Digital Assets 為客戶推出比特幣和以太坊等加密貨幣購買、出售和持有服務。Bison Digital Assets 是葡萄牙第一家由銀行全資擁有的“虛擬資產服務提供商”（VASP），并且獲得了葡萄牙央行 Banco de Portugal的批準，Bison Bank 表示將利用 Bison Digital Assets 安全地持有客戶數字資產，并在傳統金融世界和加密金融世界之間建立一座受監管的橋梁。（雅虎財經）[2023/1/17 11:16:40]

用戶從swap入口進入，從自己的余額提取usdt，交換，存儲可以在同一個交易里原子化完成。這種模式給合約帶來更自由的組合模式，可以玩出很多EVM上很難實現的組合玩法，這也是EVM上的賬戶抽象方案想實現的模式。當然，這也帶來了新的安全挑戰。

研究：比特幣的價格比開采成本更便宜:金色財經報道，根據Glassnode數據，目前開采一個比特幣的成本是18.8萬美元，而一個比特幣的價格是165771.8美元。

此外，Tradingview的數據表明，比特幣的價格現在低于其電力成本。比特幣的價格目前比比特幣能量價值低60%左右，這是基于網絡使用的能量瓦數。這是自2020年3月13日價格達到4K美元和2015年1月14日價格達到160美元以來的最大折扣。（cryptoslate）[2022/12/22 21:59:43]

那EVM中能否直接增加一個特性，讓合約間的調用可以把用戶身份直接帶過去？這個技術上是可以實現的，但EVM中支持動態調用，可以調用任意地址的合約，讓這種操作的風險變的很難度量，同時EVM的狀態變更對用戶和錢包都不友好，錢包很難通過狀態變化對用戶進行提示。

而Move中解決這個安全挑戰有兩個方法：

1.在預執行合約的時候把合約執行后的狀態變更提示給用戶，讓用戶可以知道這個交易操作了自己的哪些重要資產，以及執行后的結果。這個方法StarMask中已經實現，參看鏈接以及附圖https://starcoin.medium.com/starmask-v4-6-0-display-the-token-changes-that-caused-by-a-transaction-from-any-dapps-9d4930825d2b…

2.可能有部分合約可以通過設置條件，讓一部分用戶預執行的時候無法發現狀態變更。@0xmetazen的分析https://twitter.com/0xmetazen/status/1582581013972414465…但Move中沒有動態調用，合約在部署時，它的執行邏輯就是確定的。可以通過靜態分析字節碼，得到合約所有可能路徑上操作的狀態，在區塊瀏覽器或錢包里提示給用戶。

1當區塊號為偶數則偷，否則不偷，那就有一半的概率繞過錢包檢測；2從錢包檢測完交易，到交易執行上鏈，有一個時間窗口，黑客可以在這個時間窗口內插入執行的更快的交易來臨時改變合約狀態，讓合約變的可以盜取用戶資產，錢包當初的檢測是沒問題的EVM和Move的兩種方案，帶來的安全風險是不一樣的。Approve方案的安全風險是把一個即時的授權變為長期授權，它的風險不是立刻發生的，比如合約漏洞未被發現或者惡意合約放長線釣大魚。而一旦發生，用戶往往很被動，很多用戶可能都忘記授權過哪些合約了。

而Move的方案給了合約更大的自由權，遇到惡意合約會有較大風險，但這種風險是即刻發生的，是可以通過技術手段來檢測的。最壞的情況，至少前面沖的快到人趟坑了，可以給后面的人警示，惡意合約會快速暴露出來

最后，世上沒有銀彈，不可能靠用了某種技術就解決了所有安全問題，需要鏈，工具，用戶一起努力。對Move用戶的安全建議：

1.選用狀態變更提示更完備的錢包，并嘗試理解錢包的提示。

2.不要隨意和來源未知或未開源的DApp交互。

3.如果做不到上面兩點，可以等別人先趟一下坑

責任編輯：MK

Tags：USDMOVSDTMOVEusda幣多少人民幣MovieblocISDT幣MoveX

酷幣下載