火星链 火星链
Ctrl+D收藏火星链
首页 > 波场 > 正文

EFI:ERC20无限授权方便自己也方便黑客 有没有解决方案?

作者:

时间:1900/1/1 0:00:00

随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了。而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有ERC20授权?

有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。

巴西加密交易所Mercado Bitcoin控股公司2TM已解雇86名员工:6月3日消息,巴西加密交易所 Mercado Bitcoin 控股公司 2TM 已解雇 86 名员工,「不断变化的全球金融格局,利率上升和通货膨胀对以技术为基础的公司产生了重大影响,不仅仅是降低运营费用,因此有必要解雇我们的部分员工」。根据其 LinkedIn 页面,Mercado 加密市场拥有超过 580 名员工,而 2TM 拥有 80 多名员工。

此前报道,5 月份拉丁美洲加密货币交易所 Bitso 裁员 80 人。(CoinDesk)[2022/6/3 4:00:32]

那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

超15亿美元BTC被转换为ERC-20代币以参与DeFi领域:据DeFi Pulse披露,比特币持有者已将价值超过15亿美元的141683个比特币转换为ERC-20代币,以参与快速增长的去中心化金融(DeFi)领域。由于比特币和以太坊区块链之间的不兼容,BTC用户必须将持有的比特币转换为以太坊的代币,以利用DeFi平台的功能。比特币持有者的一个普遍选择是将他们的比特币兑换成1:1的wBTC。通过wBTC,比特币持有者可以探索DeFi,包括提供合成代币作为抵押品,在COMP和Aave(LEND)等借贷平台上赚取利息。[2020/10/11]

授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。

公告 | BKEX Global 即将恢复ETH及相关ERC20代币的充提功能:据BKEX公告,BKEX Global已完成对ETH的伊斯坦布尔升级,将于12月8日12:00(UTC+8)前陆续恢复ETH及相关ERC20代币的充提功能。[2019/12/8]

比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

币安官方:不要打开名为“ERC20 Token Import”的邮件:据币安官方消息,他们收到报告称有一封名为“ERC20 Token Import”的邮件伪装成币安官方,盗窃用户个人钱包(而非用户在币安的账户),并强烈建议用户不要给出自己的私钥。[2018/3/26]

无限ERC20授权的问题

授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2.分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发

标签:DEFEFIDEFIRC20JustDefiDragonsGameFiDEFI Sbrc20怎么创建

波场热门资讯
央行:数字人民币白名单用户已达1000万

人民银行副行长范一飞8日在国务院政策例行吹风会上介绍,目前,数字人民币正在试点过程之中,主要通过白名单邀请方式,白名单用户已达1000万,北京冬奥会场景是下一步试点的重点领域.

1900/1/1 0:00:00
HOP:Layer2发展的现状与新晋者们

原标题:深潜:Layer2的新晋者们比特币奠定了一个去中心化和点对点数字资产的基础,旨在用一种独特的经济安全模型来修复破损的国际货币体系,这种经济安全模型无国界、无需信任、不受审查.

1900/1/1 0:00:00
EFI:DeFi借贷与杠杆的演变、必然趋势和副作用

杠杆一词在传统金融市场内一直是风险的象征,在数字货币市场内杠杆却被运用到淋漓尽致,其根本的原因在于市场的人群风险偏好不同,同时DeFI去中心化金融与传统金融的银行核心的运作模式区别.

1900/1/1 0:00:00
OXE:首发 | 金融科技如何通过区块链技术降低外汇成本?

目前,虽然还有很多银行对加密货币和区块链持有谨慎的态度,但这些机构最关心的莫过于降低交易成本。为此,总部位于纽约的Roxe推出了基于区块链的跨境支付协议,旨在通过创建去中心化的流动性池,为银行、.

1900/1/1 0:00:00
NFT:金色沙龙第65期线上版:NFT- 数字艺术如何兑现市场价值?

由金色财经主办金色的沙龙第65期线上版:“NFT-数字艺术如何兑现市场价值?”?即将于7月2日14:00在金色财经直播平台&微信V65直播间内举办.

1900/1/1 0:00:00
SEA:a16z:什么是Web3?为什么说通往Web3的是区块链?

来源:a16z??作者:ChrisDixonWeb3作为一种愿景,似乎是所有区块链行业项目的营销点,但多人说自己的项目将通往Web3,但很少有人能说清什么是Web3.

1900/1/1 0:00:00