如果你是DeFi深度用户,你肯定被这个繁琐的流程折磨过无数次了。每当你使用一个新的dApp,你都需要授权这个dApp花费你的代币。
Metamask?上的授权界面
跟传统金融行业类比一下,这个流程有点类似于办理直接借记,授权你的供电商每月从你的银行账户上扣除电费。
但是,与密码学货币行业不同的是,传统金融行业的直接借记业务只面向少数可信公司。这类公司不太会消费者,即使偶尔发生消费者的行为,消费者也可以提出异议,由银行充当调停者。密码学货币行业没有这类工具。一些dApp是由匿名开发者构建的,没有为受用户设立的争议机制。一旦在区块链上完成付款,就无法撤销。
代币授权是什么?它是如何运作的?
以太坊区块链上的大多数代币,如USDC和DAI,都采用ERC20标准。ERC20代币实际上是智能合约,包含不同的方法,如transferFrom和burn。用户调用这些方法,应用就会对代币做相应的操作。
区块链公司Lambda256与加密公司VNX合作开发安全代币:金色财经报道,韩国区块链公司Lambda256宣布与列支敦士登监管的加密公司VNX合作,已将货币和黄金等大宗商品代币化。他们计划共同使用Lambda256的区块链技术为全球投资者提供安全代币。
Lambda256通过其Luniverse平台为2000名客户提供服务,该平台支持公共和许可区块链。[2023/6/2 11:55:08]
其中一种方法是approve。任何你想要使用的dApp都需要访问你的ERC20代币才能对其进行操作。例如,如果你想要在Aave中存入USDC,你首先需要授予AavedApp的智能合约访问USDC的权限,然后才能通过第二笔交易将USDC存入Aave。你可以在你的以太坊钱包用户界面上看到该授权。虽然授权可用量从理论上来说是灵活的,但是大多数dApp会默认要求无限量授权,以此简化用户体验,并尽可能减少用户使用该应用所需进行的交易次数。
Pudgy Penguins宣布为NFT持有者空投灵魂绑定代币truePengu:7月23日消息,NFT项目Pudgy Penguins(胖企鹅)宣布将在该项目诞生1周年之际,为其NFT持有者空投灵魂绑定Token truePengu。据悉,truePengu是ERC1155 Token,不可交易,NFT持有者根据其持有的NFT被分类为不同的类别,并收到各自的truePengu。
据官方消息,快照时持有同一ID的Pudgy Penguin、Lil Pudgy以及Pudgy Rod NFT的用户将被空投Ice truePengu灵魂绑定Token。快照时持有Pudgy Penguin和Lil Pudgy的用户将被空投Iridescent truePengu。快照时持有Pudgy Penguin的用户将被空投Gold truePengu。以上指标不可叠加,每位用户仅可按照最高规格获得一枚灵魂绑定Token(该快照于2022年7月22日美国东部标准时间0点拍摄。)[2022/7/23 2:32:37]
这里存在的一个安全问题是,大多数用户认为他们的授权是针对某个交易,而且是限量的,但是在大多数情况下,用户实际上授予了dApp永久访问他们持有的某种代币的权限,而且是不限量的。因此,如果dApp出现安全问题或从一开始就是恶意的,攻击者就可以将滥用这种授权来盗取dApp用户持有的全部已授权代币,而无需经过用户同意。这种攻击可以在将来的任意时刻发起,即使是在用户使用过dApp的若干年后。
ConstitutionDAO 在竞拍《宪法》副本失败后提供退款和换取新治理代币两个选项:11月21日消息,去中心化自治组织 ConstitutionDAO 将对每个用户的 PEOPLE 代币持仓量(包括已认领和未认领的)进行快照,一周之内将会建立一个网站,用户可以以初始兑换价格将 PEOPLE 兑换为 ETH。此外,用户也可以选择不兑换,将资金投入到 DAO 金库,换取新的治理代币 WTP(We The People)。
11 月 19 日,ConstitutionDAO 出价 4100 万美元竞拍美国《宪法》副本,但未最终拍得。[2021/11/21 7:02:47]
如何保护自己?好消息是,你可以保护自己免受这类威胁。在下一节中,我们将探讨的是,当你使用Metamask等标准以太坊钱包时,如何保障你的代币的安全性,并介绍了一些可以通过定制方法与dApp交互的钱包。
区块链监控平台PARSIQ推出通用代币化工具IQ Protocol:9月22日消息,区块链监控和工作流程自动化平台PARSIQ推出通用代币化工具IQ Protocol,向面向区块链的业务引入订阅的概念。通过IQ Protocol,任何企业都可以在订阅策略中尝试取消/退款策略、折扣等功能。为了实现这一目标,IQ Protocol实施PowerTokens概念。在B2B系统中,PowerTokens作为使用资源的记账单位,而不是传统的代币化货币。因此,无论其对加密货币和区块链的立场如何,每个企业都可以轻松地集成IQ Protocol。
IQ Protocol的功能使其客户能够从DeFi和NFT市场中受益。PRQ代币可以通过IQ Protocol锁定,以允许持有者从中获得收益。此外,PARSIQ接受PRQ代币作为支付工具。未来IQ Protocol将能够建立NFT租赁平台。与加密借贷生态系统一样,数字艺术爱好者将从其代币中受益。(U.Today)[2021/9/22 16:58:53]
如何手动撤销代币授权
安全警告:第三方代币发行平台或暗留后门代码增发并窃取代币:北京链安安全中心近日接到项目方反映,在其ERC20合约部署生成代币后,发现链上有来源不明的同类代币转账。经过排查,项目方设置和发布合约过程中使用了第三方的ERC20合约发布平台,该平台在根据项目方的代币供应量等设置自动化生成合约代码的同时,增加了一段代码私自多发了供应量总额1%的Token并将其转移至指定地址。
据北京链安安全专家Zer0Man表示,我们在该平台进行了相关测试,整个过程中平台并未对相关多发Token和私自转移的行为做任何提示,与项目方的经历相符。本质上,这是一种未经其客户许可的暗留恶意后门的行为,旨在多发并窃取代币,当其在交易所上架后交易变现。从其现在暗留的地址看,已经获得七款代币的额度,并已经将其中上线交易的项目代币转入相关交易所。[2020/3/24]
如果你想手动撤销授权,你需要使用TokenAllowanceChecker之类的工具。这类工具可以连接到你的钱包,并扫描整个区块链来寻找所有与你的以太坊地址有关的dApp授权。然后,你就可以编辑授权:将授权可用量设定为0从而取消授权,或者设定为你能接受的量。授权修改是通过与各个ERC20代币合约交互来实现的。
最好能够定期执行这一流程,取消你不打算再使用的dApp的授权。虽然这会花费你一点成本,因为每笔交易都需要在链上结算,但是从长期来看,你的钱包会给你应有的回报。
建议:如果你想要节省gas成本,可以下载GasStationNetwork扩展程序插件来在你的浏览器上追踪gas价格。你可以等到gas成本较低时再编辑你的授权可用量。
下一代以太坊钱包如何保护用户资金
一些已经推出的智能合约钱包也具备防护功能。智能合约钱包具有很强的灵活性,可以为用户提供定制化的智能合约交互方式。因此,许多智能合约钱包已实现定制化的授权方式,提高了用户体验和安全性。
原生整合:以Argent为例
例如,Argent是移动端以太坊钱包,已经将一些核心DeFi应用原生整合到应用中,以便用户进行借贷、赚取收益和交易。
这类钱包从智能合约层面整合了这些dApp,并确保用户在与这些dApp进行交互时,这些dApp只能得到实际请求量的授权。这一切都是在后台自动进行的,因此Argent用户甚至不知道授权交易的存在。
ArgentxWalletConnect
原生整合的一个缺点是不具备可扩展性,就像Argent一样。应用程序不可能原生整合每一个DeFi协议。对于大多数用户来说,Argent目前已经集成的应用可能足够了,但是重度DeFi用户使用每天都要使用十几个不同的dApp,不想局限于少数几个dApp。
一个名为WalletConnect的标准可以解决这个问题。WalletConnect可以让用户将他们的移动钱包连接到web端应用,并通过移动钱包安全地签署交易。Argent实现了WalletConnect整合定制化,让用户能够轻松设置授权可用量。此外,如果Argent用户改变了想法,可以在Argent应用中一键取消对某个dApp应用的授权。由于大多数dApp都支持WalletConnect,该功能可以让Argent用户在尽情探索整个DeFi领域时享受极高的安全性。
批量交易和dApp密钥:以Authereum为例
另一个能够优雅处理授权的智能合约钱包是Authereum。Authereum基于web端,而且大多数以太坊dApp应用都支持。另外,Authereum采用传统的电子邮件和密码登录,因此可以在几秒内将你的钱包连接到dApp,用户体验类似传统应用,而且不需要牺牲安全性。
当用户需要与dApp交互时,Authereum会生成一个新的临时dApp密钥,用来签署特定dApp的交易。该dApp密钥只能执行有限的功能,另外Authereum会执行一些完整性检查。如果发起请求的域不是创建dApp密钥的域,Authereum可以拦截该交易或通知用户。最后,这些dApp密钥可以随时从Authereum钱包中删除。
将多个交易打包到一个交易内还有很多其它优点。其中一个优点是高效——批处理交易可以节约成本和时间。以太坊上的每个普通转账交易都需要消耗21,000gas。如果用户一次性打包10个交易,总共可以节省189,000gas。另外,用户可以尝试通过发送连续交易来节省时间。
批处理交易的唯一问题是,dApp需要增加一些定制化的逻辑和UI流程来适当地处理交易。目前为止,只有1inch和Erasure等少数dApp支持这种交易模式,但是我们预期后续将有更多dApp支持该交易模式。
结论
代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。Authereum和Argent之类的钱包可以通过创新的方式让dApp交互更加安全。遗憾的是,在很多情况下,这类交易模式需要dApp开发者进行额外的工作,因此用户需要耐心等待一段时间。
无法采用上述解决方案的标准以太坊钱包至少应该让用户可以查看并编辑其dApp代币授权可用额。代币授权检查程序等工具很方便,但不是每个用户都知道它们。
原文链接:
https://cryptotesters.com/blog/token-allowances
作者:?EmanuelCoen
翻译&校对:闵敏?&阿剑
一个人的不幸,是从羡慕别人开始,一个人的所幸,是从爱惜自己开始,过度的仰望只会迷失自我,提升自己才能吸引别人。交易就像打太极,凡事不能太急,最重要的不是你做了哪个方向,而是你是否迈出了脚步.
1900/1/1 0:00:00币汐柔:11.5比特币以太坊大起大落后依旧看涨操作建议低多为主投资是一门复杂的学问,是技巧、技能、心态、人性等的综合博弈过程.
1900/1/1 0:00:00Filecoin成为区块链目前最大的热点,被视为“下一个时代新星”和“财富新机遇”,对于不断涌进赛道的矿工与投资者,Filecoin挖矿到底能不能让参与者收获心中期望?或者,直白一点.
1900/1/1 0:00:00永远不要低估市场的力量,保持敬畏与机敏!——大家好我是紫盈老师!BTC:看图,比特币四小时级别,前面6根K线收阳,目前开始回落,MACD快慢线收口,绿柱缩量,KDJ三线拐头向下.
1900/1/1 0:00:00尊敬的AAX用户:由于BitcoinCash将于香港时间2020年11月15日20:00进行一次硬分叉升级,目前存在BitcoinCashABC和BitcoinCashNode两个节点方案.
1900/1/1 0:00:00灰度比特币信托是灰度旗下规模最大的加密数字资产信托产品。基于该信托不支持赎回的机制、双重出资的形式以及巧妙地将发行与流通进行跨市场分离,美股二级市场的GBTC份额存在高溢价为跨市场套利提供了空间.
1900/1/1 0:00:00