今日,跨链DEX聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2100万美元。
发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前?TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。
与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。
ARB Token为防止机器人滥用,本次空投建立积分制:3月16日消息,以太坊 Layer2 扩容解决方案 Arbitrum 正式宣布将发行原生 Token ARB 并公布 Token 经济学。据悉,ARB 初始总供应量为 100 亿枚,总供应量将以每年至多 2% 的速度膨胀。
其中,11.62% 分配给用户,1.13% 分配给 Arbitrum 生态中的各个 DAO,17.53% 分配给 Offchain Labs 投资者,26.94% 分配给 Offchain Labs 团队成员、未来团队成员、贡献者,42.78% 分配给 Arbitrum DAO 金库。
为防止机器人滥用,本次空投建立了许多反女巫规则,并建立积分制,每 1 分对应一个具体的空投 Token 数目:1、如果空投接收者的钱包交易全部发生在 48 小时内,则减去一分;2、如果空投接收者的钱包余额低于 0.005 ETH,并且钱包没有与多个智能合约交互,则减去一分;3、若在此前 Hop 协议赏金计划期间,空投者钱包地址被识别为女巫攻击者地址,则其将被取消资格。
目前 Arbitrum 已公布的空投查询页面,仅支持用户查询空投情况,具体空投发放日期为 3 月 23 日。[2023/3/17 13:09:01]
什么是闪兑?
江苏建湖检方对“PlusToken”主犯提起公诉,涉及会员近193万:江苏省盐城市建湖县人民检察院审查起诉的“PlusToken”特大网络案有了最新进展。“PlusToken”特大网络案主要犯罪嫌疑人周某某通过微信等途径积极宣传、推介“PlusToken”钱包 App 的方式,发展下线会员近193万名,因涉嫌犯组织、领导活动罪被该院提起公诉。经司法鉴定中心鉴定,被告人周某某在“PlusToken”钱包App中使用电话注册了4个账号,共计发展会员1929575名,涉及金额共计约1400万余元。[2020/5/21]
目前,几乎所有钱包都嵌入了DeFi功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。
所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。
动态 | imToken宣布与域名商MMX合作:加密火币钱包imToken宣布与域名公司MMX达成战略合作,imToken创始人兼CEO何斌表示:此次合作打破了传统域名DNS和以太坊的界限,用户在imToken中就可以用加密货币购买域名。未来网站、邮箱、加密钱包帐户、数字身份……都可能打通,因此域名生意很有可能成为区块链落地的一个突破口。[2018/10/9]
或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。
投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?
分析 | TokenInsight:BTC大额转账较昨日下降33.59%:据TokenInsight数据显示,北京时间2018年8月16日 12:00:00至8月17日 12:00:00,比特币大额转账(100BTC及以上)总交易额为181,907.68BTC,较昨日下降33.59%;大额转账笔数为693笔,较昨日下降9.53%。此时段单笔转账最高为6,664.35BTC,该交易由钱包地址1H1HHMDgJT11XrZg9TRU7enooejhsG1fUk发起,该钱包地址隶属于Huobi交易所,其中5,370.20BTC为内部转账。此时段转账总额最高的单个钱包地址为1Kr6QSydW9bFQG1mXiPNNu6WpJGmUa9i1g,其为Bitfinex交易所热钱包地址,该地址共转账6,769.89BTC,由18笔交易构成。[2018/8/17]
授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。
或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无审核关系。
Uniswap尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。
现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。
项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更改简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。
而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。
简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。
而对已经授权的用户来说,还可发起取消授权操作。
常用取消授权网站如下:
1.Dappstar:https://tac.dappstar.io/#/
2.Revoke:https://revoke.cash/
3.Approved.zone:https://approved.zone/
4.?RabbyWallet?
此外,一些区块链浏览器也支持用户查看并取消授权。
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
DeFi被盗,责任全在用户吗?
“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?
在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。
至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。
DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的田亮资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。
被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”
去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。
2022年10月6日加密市场的最新价格走势。价格点由于美国股票期货交易下跌,比特币周四维持在20,000美元的水平,这表明美国市场在连续两天上涨后可能连续第二天跌跌撞撞.
1900/1/1 0:00:00外汇市场是全球交易量最大的金融市场之一,平均每天的交易量高达数万亿美元。近期为了应对通胀风险,美联储采取了激进的加息措施,外汇市场波动加大,在这种特殊时期,更需要通过外汇交易来对冲风险.
1900/1/1 0:00:00尊敬的用戶:HEC主網(公鏈)升級已完成,Hotcoin現已恢復HEC充值、提現業務。升級完成後,Hotcoin只默認主網資產,主網資產充值正常到賬.
1900/1/1 0:00:00金色财经报道,根据旧金山风险投资公司FrameworkVentures的说法,正在进行的加密货币寒冬是建立和投资的最佳时机.
1900/1/1 0:00:0021:00-7:00关键词:Aave、俄罗斯财政部、欧盟、马斯克1.AaveDAO倾向于在以太坊上重新部署其最新版本;2.
1900/1/1 0:00:00币安昨日宣布推出ETHW矿池,引领代币再飙涨17%,单周ETHW涨幅已超过106.27%。据Defillama数据显示,ETHW锁仓量已突破135万美元,但当前所推出之Dapp以及NFT项目多具.
1900/1/1 0:00:00