USD:币安、等主要钱包的合约授权风险 大机构真的安全吗？

主流交易所和机构在网络安全防护上无疑都投入了大量资金和人力，DilationEffect无法得知这些机构内部的安全水平和实施细节，但出于好奇，我们想尝试通过公开信息来对这些机构钱包地址做简单分析，见微知著，从普通用户角度来考量这些地址是否存在潜在安全风险，以及潜在风险敞口有多大。

本次快闪点评的数据全部来源于Etherscan、Debank等公开服务。

1、分析对象选择

查看Etherscan的Top1000Accounts，挑出其中打了标签的机构地址。

2、分析维度选取

由于不了解这些交易所和机构生成和管理钱包的技术细节，该如何对地址的安全性做分析？DilationEffect这次选取的维度是分析这些地址的合约授权情况。

因为地址被恶意合约取授权或者授权过的合约存在漏洞而导致被盗币是很常见的攻击。限制授权额度、定期清理授权已经成为最佳安全实践。那么这些大型交易所的地址做的如何呢，我们随机挑选几个地址来做分析。

币安英国子公司BML已于5月底在FCA撤销注册:6月19日消息，币安英国子公司Binance Markets Limited（BML）在英国FCA的注册已应公司要求正式撤销。现在，币安的所有实体都没有在英国获得任何运营许可。

FCA的最新消息称，“BML最近提交了一份撤销其FCA许可的申请，该申请于2023年5月30日完成。在完成许可撤销后，该公司不再拥有FCA的授权。币安集团（Binance Group）没有其他实体持有任何形式的英国授权或注册，以在英国开展受监管的业务。”（Finance Magnates）[2023/6/19 21:47:28]

案例一

地址：

Binance8(0xF977814e90dA44bFA03b6295A0616a897441aceC)

这是Binance余额最大的钱包地址，ETH链为100亿美金，其他链加起来一共161亿美金。部分资产截图如下：

币安推出基于ETH质押的代币Wrapped Beacon ETH:4月24日消息，据官方公告，Binance 将 ETH 2.0 Staking 更名为 ETH Staking，并在 ETH Staking 服务上引入 Wrapped Beacon ETH (WBETH)，将从北京时间 4 月 27 日 16:00 开始生效。

WBETH 是一种新的流动性质押 Token，其中 1 个 WBETH 代表 1 个 BETH 和 BETH 令牌 4 月 27 日 16:00 之后在 ETH Staking 上累积的总质押奖励。WBETH 将允许用户参与 Binance 以外的 DeFi 项目，同时确保他们有资格获得相应的 ETH 权益奖励。[2023/4/24 14:24:01]

查看此地址在ETH链的合约授权情况，发现提示32亿美金存在风险。当然这里并不是说一定存在确定性安全风险，这只是一种潜在风险敞口的可能性描述。

币安将支持pNetwork恢复计划，为pGALA（BEP20）持币用户空投BNB（BEP20）:11月8日消息，据官方公告，币安宣布将支持pNetwork（PNT）恢复计划，为pGALA（BEP20）持币用户空投BNB（BEP20）。pGALA（BEP20）代币定义为2022年11月04日03:49至2022年11月07日16:00之间，通过BNB Smart Chain（BEP20）网络充值到币安的GALA代币。根据pNetwork （PNT）团队恢复计划中所述，最终快照时间为2022年11月07日16:00。[2022/11/8 12:32:01]

那么我们具体来看看此地址是如何做授权的，比如什么币种授权给了什么合约，授权额度如何。以下摘录部分查询结果。

外媒：在币安加入后，Coinbase宣布退出区块链协会:根据8月11日的一封信，Coinbase宣布将退出加密货币和区块链倡导组织区块链协会（Blockchain Association）。Coinbase表示，该决定是根据该协会在“最近几周”内的行动做出的。尽管这封信没有提及币安的名字，但内部人士怀疑，Coinbase的退出与币安加入该协会有关。据悉，该协会于周一宣布了币安的加入。（The Block）[2020/8/12]

这时我们会发现一个奇怪的现象，就是这个地址上有的币种限制了授权额度，有的币种却直接无限制，授权额度规则看起来并不统一。我们特别关注到BUSD、Matic、SHIB、SAND这几个余额较大的币种，地址余额分别为19亿美金、4.6亿美金、2.6亿美金、1.4亿美金，相关授权记录如下：

声音 | 何一：币安内部有持续的安全排查机制 给黑客过度的曝光是对勒索犯罪的鼓励:针对深链财经报道“币安KYC资料再遭直播，黑客与币安谈判记录全曝光”，币安联合创始人何一回应表示：

1.币安安全团队遵循0信任机制，即不放过任何有安全威胁的可能性和线索，如果任何人能提供对币安安全有用的信息，我们都愿意付币，我们会根据对方提供的信息有效程度付相应的酬劳。

2.币安内部有持续的安全排查机制，包括并不限于员工违规交易也会被开除。

3.安全是一个动态升级的过程，我们对于安全的监控和升级也是持续升级的过程，黑客在勒索过程中没有提供真正有效的信息。对一个还在早期的区块链行业，给他过度的曝光就是对勒索犯罪的鼓励。

4. 如果你相信这个连续剧，那么“黑客”自称是某交易平台的老板，他做这个连续剧是为了什么？[2019/8/15]

这里存在几个明显的问题：

一是对合约的授权没有定期清理。比如针对BUSD的合约授权，两年多过去了都没做过清理，要么没关注到要么觉得没必要。这说明Binance在内部安全管理上缺少对这块的系统覆盖。也许有人会说，已经分析过相关授权合约发现这些合约能做的操作有限，相对安全。但我们想说的是，这里首先并不是单纯的技术问题，而更多是安全管理的问题。即Binance在这里该如何全面系统的去管理第三方合约带来的风险，我们认为可以做的更严格深入。其实如果仔细看，你会发现Aave:LendingPoolV2是个可升级的代理合约，假如Aave合约被攻击，这里就是19亿美金的损失。

二是大量的币种授权额度无限制。一旦发生相应合约被攻击的极端情况，如果限制了授权额度会相应的降低风险。这同样暴露出Binance在内部安全管理上缺少对这块的系统覆盖。当然你会说这都是极端情况，但是对Crypto行业来说很多小概率事情历史上就发生了。我们需要提高风险敏感度，对风险要保持极度的厌恶是非常必要的。

三是币种授权规则不统一，有些币种限制了额度，有些完全没限制额度，动作不统一。这说明Binance内部安全管理操作不明确，或者内部团队没有做好分工配合。

另外我们也很好奇，资产余额规模如此巨大的地址，为何要频繁参与Defi合约的操作呢？Binance是否可以做出更细粒度的地址规划和隔离设计呢？

案例二

地址：

Kucoin6(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

这是Kucoin交易所的地址，其ETH链上有17亿美金，其他链加起来19亿美金。此地址资产截图如下：

查看此地址在ETH链的合约授权情况，发现提示11亿美金存在风险。同样的，这并不是指一定存在安全风险，而只是一种潜在风险敞口的可能性描述。

那么具体来看看Kucoin这个地址的授权情况。

哇！我们又发现了一些有意思的东西。

1、此地址的APE币种在2022-04-02授权给了Multichain的跨链Router合约，大家应该知道前几天Multichain出现了不可抗力因素的事件，但Kucoin并没有在第一时间取消对Multichain合约的授权。这体现出Kucoin在风险应急响应上还存在改进空间。

2、此地址的大金额币种USDT、USDC、KCS等全部都授权给了名为Bridge的合约，且授权额度完全无限制。简单分析后发现Bridge是KuCoin社区链KCC的跨链桥合约，但在KCC的官网上查看搜索，并没有发现相关的安全审计报告，这不禁又让人心一慌。大家还记得BNBChain的200万枚BNB攻击事件吗？

案例三

地址：

JumpTrading(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

这是机构JumpTrading的地址，其ETH链上有1.4亿美金，其他链加起来1.5亿美金。此地址资产截图如下：

查看此地址在ETH链的合约授权情况，发现提示2500万美金存在风险。同样的，这并不是指一定存在安全风险，而只是一种潜在风险敞口的可能性描述。

那么具体来看看JumpTrading这个地址的授权情况。

可以发现此地址上币种的授权不多，而且绝大部分的授权都做了额度限制，总体上管理得还不错。

但是USDC币种在2021-02-04授权给了Curve合约，未设置限额，且一直未取消。这一点需要做出提醒，如果不需要对应的合约操作，建议立即取消对此合约的授权。

总结

这次的快闪点评到这里就结束了。DilationEffect随机抽取了几个交易所和机构地址做分析，从结果来看，这些机构在合约授权方面做得并不是很完美，希望我们的分析能给相关机构提供参考。没有抽取到地址的交易所和机构，也可以参考上文中的分析过程来检查是否存在类似问题。

标签：ETHUSDKucoinETH钱包地址ETH挖矿app下载Etherael指什么寓意USD币USD价格kucoin是什么平台kucoinpro是什么kucoinpro介绍

ICP热门资讯