DEF:ERC20 无限授权 方便自己也方便黑客 有没有解决方案？

随着DeFi的火爆，一般的区块链老手用户肯定不止一次对DeFi项目进行授权了，每当使用一个新的DApp，都需要授权这个DApp花费你的代币。除了流程繁琐之外，每次授权都还要支付不菲的手续费。很多用户为了省钱省事，每次授权都是提供无限期授权，结果不知道哪天，突然发现自己的钱被人转走了，而原因并不是因为私钥被盗，而是因为图方便给DeFi合约进行了无限授权，为什么会有无限授权？有没有解决方案？

为什么要有ERC20授权？

有了以太坊上的原生代币ETH，你就可以将ETH发送至该智能合约，同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是，由于ERC20代币本身就是智能合约，以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的，不在DeFi合约。

斯坦福大学研究员推出“可逆交易”标准ERC-20R、ERC-721R，以解决日趋严重的安全问题:9月25日消息，斯坦福大学研究员kaili.eth今日发推称，已与其他几位研究员合作设计了两种新的以太坊代币标准ERC-20R、ERC-721R。

kaili.eth解释称，ERC-20R、ERC-721R的设计是为了解决加密货币行业内泛滥的盗窃事件，其最大亮点为“可逆交易”。具体来说，ERC-20R、ERC-721R引入了一个“去中心化法庭”机制，当出现资产被盗情况时，受害者可以先行申请冻结资产，这时”去中心化法庭“可以通过一轮快速投票来决定是否同意冻结，对于已冻结资产，该“法庭”之后将基于涉事双方所提供的证据来决定究竟是该解冻还是该退回资产，从而解决安全事件纠纷。[2022/9/25 7:20:12]

那么如果想要合约来调用ERC20应该怎么办？ERC20标准中，提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能，需要用户授权智能合约转移代币的权限。

GaryVaynerchuk宣布VaynerNFT更名为Vayner3:7月17日消息，NFT 项目VeeFriends创始人Gary Vaynerchuk宣布，他的公司 VaynerNFT 将正式更名为 Vayner3，其团队也将会把业务逐渐拓展到更广泛的 Web3 领域，而不是仅局限于 NFT。

VaynerNFT 成立于 2021 年 7 月，隶属于 VaynerX，在过去的一年里，他们推出了多个 NFT 项目，随着行业和机会的增长，这家由 GaryVee 领导的公司扩大了产品范围，以满足整个 Web3 行业不断增长的需求，在新品牌下，该公司将专注于指导世界领先企业和知识产权所有者进行下一次消费者行为迭代，目前其合作伙伴包括威、百事可乐、美国公开赛、Coinbase 等。

据 NFTGo.io 数据显示，截至目前 VeeFriends NFT 系列市值达到 1.9385 亿美元，地板价为 7.95 ETH。（NFTevening）[2022/7/17 2:18:30]

授权后，用户就可以将代币“存入”智能合约，进行DeFi应用的使用了。

ERC20-USDT代币转账手续费涨幅近5倍:金色财经报道，据数据显示，由于 ETH 网络持续拥堵，目前ERC20-USDT及ETH相关代币的转账手续费均出现了大幅上涨，昨日数据显示，ERC20-USDT转账只需1 USDT手续费，目前转账则需5 USDT，涨幅近5倍。值得注意的是，目前TRC20-USDT转账手续费依然免费。[2020/9/2]

比如，用户将USDT“存入”Aave来赚取利息，首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数，指定想要存入USDT的数量。然后，Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

声音 | 分析师：ERC20项目出售持有ETH:据ccn消息，随着ETH价格开始下跌，有分析师表示，ERC20项目开始出售持有的ETH，导致ETH经历比其他主要数字货币更强烈的下行趋势。[2018/9/10]

无限ERC20授权的问题

授权使用DeFi时，你就可以选择将这个币种单次授权，即仅同意本次转账，或者进行无限授权，让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下，对DeFi合约进行无限授权，是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦，以及每次交易前授权造成的GAS消耗。设置无限授权后，用户只需要同意一次，之后存款时就不会再重复这一过程。

但是，该设置存在很大的弊端。因为用户授予的，不仅仅是操作转入合约部分代币的权利，而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门，或者遭到黑客攻击，那么不仅是存入DeFi项目中的代币，我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的，因此一旦遭到攻击，即便使用冷钱包，也不能防止自身财产被盗。

怎样防范风险？

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋，不知不觉可能就会授权很多项目，这就加大了被盗风险，我们可以在DeBank上通过查询自身钱包地址的方式，查询授权的合约，然后及时取消高风险项目的授权。

2.分号使用，交易完及时转出资产

即便是再靠谱的项目，也都存在被攻击的可能，因此，不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变，那么其他拥有灵活底层的公链，就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中，多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位，可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费，除了不能参与QKC网络治理，原生代币可以实现QKC所有的功能，包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中，原生代币的功能，将做到和QKC完全一致，消除多原生代币应用的最后一层障碍。也就是说不需要授权，也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性，我们显然需要改进代币授权功能。目前，最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险，不过目前QuarkChain公链上DeFi项目仍然较少，相信后续会有更大的爆发。

标签：DEFIDEFEFIRC20SquidGameDeFiWorld of DefishDefiBayPlayCoin [ERC20]

币赢交易所热门资讯