作者:LoopyLu,星球日报Odaily
今日,跨链??DEX?聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2100万美元。
发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前?TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。
此外,安全团队PeckShield已确认黑客资金流向。
与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。
WON今日上线BWTokens launchpad抢购人数破6万:据官方消息,WON于今日香港时间10月10日15时正式登录BWTokenslaunchpad,在线抢购人数突破6万人,5分钟限定总额31,250,000 WON已被全部抢购完毕,实际认购总额超出限定总量4倍多,WON将于10月15日正式上线BW开启交易。WeBlock致力于打造全球智能区块链加速服务系统。通过智能机器人的协助和极其友好的用户交互,每个项目都能享受到前所未有的服务体验。
BW9月上线热门项目23个,其中SATT涨幅540.21%,CREAM涨幅501.97% ,UNI 涨幅328.50% SUN,PEARL ,BRG,SWRV等币种涨幅均突破200%,详情见官网。[2020/10/10]
什么是闪兑?
目前,几乎所有钱包都嵌入了?DeFi?功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。
动态 | Paydex已打造完成与VToken交易所对接:据了解,Paydex已打造完成与VToken交易所对接,用户可通过Paydex燃料机制带来的参与与投资新体验,实现Paydex的流通应用,也可实现更多应用场景的KPI接入,未来将结合更多的商业 应用领域,线上线下全面覆盖支付应用场景。[2020/1/19]
所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。
或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。
合约授权潜藏了多少风险?
声音 | Token Analyst:数据显示Tether的USDT在操纵比特币价格方面发挥了重要作用:据AMBcrypto消息,Token Analyst发布的图表和数据表明Tether的USDT在操纵比特币价格方面发挥了重要作用。如图将USDT数量与比特币的价格进行比较,很明显,只要Tether决定增发USDT代币,比特币价格总是飙升,当Tether销毁在市场上流通的一定数量的代币时,价格就会下降 。 许多市场分析师表示,由于Tether在市场上的主导地位,它很容易操纵价格,因为大多数加密代币与它们配对。Tether开始从Omni区块链迁移到以太坊区块链,到7月份,几乎40%的USDT已经迁移到以太坊区块链。然而,另一个有趣的事情是,尽管决定放弃Omni区块链,但2019年基于Omni的USDT交易数量出现了大幅增长。尽管USDT正在转向基于ERC-20的新型以太坊平台,但在从Tether Omni迁移到Tether ERC-20之前和之后,Omni USDT在币安等交易所的流入/流出非常相似。[2019/8/22]
“没有人可以强行拿走你的加密资产”,是投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?
动态 | EOS Rio发起“eosio.token 合约更新”提案:据MEET.ONE消息,4月5日,EOS Rio发起“eosio.token 合约更新”提案,旨在确保symbol 实际存在于eosio.token::open中(#102),在未来推出类似REX的合约和功能之前,需要这个合约。目前该提案已获得8票有效赞成票,需获得15票BP赞同票方可通过提案。[2019/4/9]
授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。
或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无审核关系。
审计=安全?
TokenInsight团队将于近期发布项目评级:TokenInsight团队将于近期发布基于机器学习技术对Github上各项目提交代码的质量进行分析的评级,该指标的发布将更好的帮助投资者鉴别空气项目。[2018/4/28]
即使授权之后合约拥有转移加密资产的能力,但这种能力只在合理的范围内使用,这依然是安全的。而如果经过可信安全机构审计,是否即表示这种能力不会被滥用,只在用户进行交易时转走交易额的必要资产?
静态来看,这一逻辑是成立的。就如同?Uniswap??尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。
现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。
项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更改简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。
而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。
简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。
无限授权有多危险?
所幸的是,授权并不代表用户随时暴露于钱包清空的危险中下。授权机制还有一个重要规则即是授权是含有数量的。用户“Approve”合约一定数量的代币,合约最多只能动用这些数量,即使是钱包里该代币数量再多,合约也已无法动用。
但危险的是,大多数DeFi合约都在无所顾忌索取用户的“无限授权”,即在默认情况下,用户所Approve的代币数量为无限。
一个典型的“无限授权”操作,授权金额高达10的59次幂数量级
用户如何防范?
没有授权就没有安全隐患。在执行链上操作之时,如需执行Approve操作,用户应遵循“用多少、授多少”的原则。如果我只需卖出1000TOKEN,那即应手动修改Approve金额为1000。在计算合约转移金额时是累积的,即若只授权1000、本次金额恰好交易了1000,合约授权额度恰好已耗尽。即使日后合约出现安全风险,也已无法再从用户钱包中转移走任何资产。
用户可手动修改授权金额
而对已经授权的用户来说,还可发起取消授权操作。
常用取消授权网站如下:
1.Dappstar:https://tac.dappstar.io/#/
2.Revoke:https://revoke.cash/
3.Approved.zone:https://approved.zone/
4.?RabbyWallet?
此外,一些区块链浏览器也支持用户查看并取消授权。
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
DeFi被盗,谁的责任?
“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?
在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。
至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。
DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的田亮资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。
被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”
去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。
标签:TOKETOKTOKENKENFMS TokenEURO TOKENCoinary TokenAMAL Token
链捕手消息,据PRNewswire报道,Circle联合MetaMask、Archblock等项目,为使用Verite进行去中心化数字身份凭证的“了解你的业务”验证建立了第一个概念证明.
1900/1/1 0:00:00原文:WhatWeCanLearnfromDecentralizedCommunityBuilding撰文:Bethany编译:Misaki,Diamond,WhoKnowsDAO过去的两年.
1900/1/1 0:00:00作者:凯尔,蜂巢Tech距离以太坊分叉网络ETHW诞生已经过去了超过72小时。在此期间,ETHW网络风波不断,其先是使用了与SmartBCH测试网相同的链ID,导致网络连接出现问题;而后安全机构.
1900/1/1 0:00:00来源:BombePro.eth概要当我们查询DID整个市场的时候,第一优先级应该是寻找ENS市场。观察ENS官网、核心开发者、对应的交易市场是如何发展、运作的.
1900/1/1 0:00:00作者:HistoryDAO9月15日,以太坊顺利完成了合并,其PoW的最后一个区块被VanityBlock铸造成了NFT,即整个区块只包含一个用于铸造VanityBlock?NFT的交易.
1900/1/1 0:00:002022年10月2日凌晨,链上闪兑协议TransitSwap遭到黑客攻击,大量用户总价值超过2500万美元的加密货币被多个黑客地址非法盗取,引起加密社区广泛恐慌.
1900/1/1 0:00:00