月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 加密货币 > 正文

TOK:TokenPocket闪兑服务商被盗,快检查你开通了多少“无限授权”_HappyLand Reward Token

作者:

时间:1900/1/1 0:00:00

今日,跨链DEX聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2300万美元。发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。慢雾分析,此次攻击的主要原因在于TransitSwap协议在进行代币兑换时并未对用户传入的数据进行严格检查,导致了任意外部调用的问题。具体而言,路由合约本身没有对transferFrom参数进行任何限制、也并未对解析后的兑换合约地址与调用数据进行检查。攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷,通过路由代理合约传入构造后的数据调用路由桥合约的callBytes函数,实现了窃取所有对权限管理合约进行授权的用户的代币。目前黑客已将2500BNB转移到TornadoCash,剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现,黑客存在从LATOKEN等平台存提款的痕迹。此外,安全团队PeckShield已确认黑客资金流向。

Lossless Protocol 将推出新产品Security Oracle和Token Relaunch工具包:金色财经消息,DeFi黑客识别协议Lossless Protocol将推出两个新产品Security Oracle和Token Relaunch 工具包,其中Security Oracle将允许识别可疑的钱包,并在黑客发生攻击之前阻止他们。[2022/6/8 4:11:18]

与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。什么是闪兑?

DeFi资管协议BlackHoleDAO协议Token自上线以来涨幅接近500%:4月4日消息,据DEXScreener行情数据显示,BlackHole DAO协议TokenBHO突破0.0000004美元,现报价0.000000401,自3月22日上线以来,涨幅接近500%。BlackHoleDAO是基于DAO社区治理的去中心化资产管理协议。

其中VCPool协议通过不断添加主流Token、NFT、流动性LP等不同有价值资产凭证来支撑BHO价值,而Donation Pool协议是针对机构、社区、普通投资者等不同群体,施行DAO治理的发展型协议。[2022/4/4 14:03:08]

目前,几乎所有钱包都嵌入了DeFi功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。

英国监管机构封禁阿森纳俱乐部两则AFS粉丝Token宣传广告:12月23日消息,英国广告标准监管局(ASA)昨日宣布对阿森纳足球俱乐部的两则粉丝Token(AFS)宣传广告进行封禁处理。ASA表示,这两则广告内容未能说明购买粉丝Token的风险,并在加密货币资产的波动性方面对粉丝产生了误导。使用Token一词掩盖了其所涉及的风险,没有经验的客户不太可能理解该广告指的是加密资产。

据悉,这两则广告于今年8月发布,分别通过Facebook以及网页渠道,对其俱乐部的粉丝TokenAFC进行推广。Facebook上的广告鼓励粉丝购买AFS,以便投票决定球队在赢得比赛时应该播放哪些曲目。[2021/12/23 7:59:05]

合约授权潜藏了多少风险?

“没有人可以强行拿走你的加密资产”,是投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无任何关系。

Tokenise Stock Exchange与GMEX合作,通过代币化证券实现融资:合规数字证券交易所Tokenise Stock Exchange已与GMEX Group的全资子公司GMEX Technologies(GMEX)达成合作。

GMEX提供多资产数字和传统交易以及交易后业务和技术解决方案。此次合作的目标是利用区块链技术,通过代币化证券实现融资,使发行方能够代币化其股本、债务和收入流。(The Paypers)[2020/6/2]

审计=安全?

即使授权之后合约拥有转移加密资产的能力,但这种能力只在合理的范围内使用,这依然是安全的。而如果经过可信安全机构审计,是否即表示这种能力不会被滥用,只在用户进行交易时转走交易额的必要资产?静态来看,这一逻辑是成立的。就如同Uniswap尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更换掉最终转发至的业务合约。简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

Vtoken的交易订单流程再优化:据官方消息,Vtoken中,依据可靠的交易基础结构,广播每个新订单并创建。在市商在收到订单后,期望接受者填写订单。之后,将交易作为智能合约的一部分执行,并将交易记录在区块链网络中。切实保障交易的安全性。[2020/3/4]

无限授权有多危险?

所幸的是,授权并不代表用户随时暴露于钱包清空的危险中下。授权机制还有一个重要规则即是授权是含有数量的。用户“Approve”合约一定数量的代币,合约最多只能动用这些数量,即使是钱包里该代币数量再多,合约也已无法动用。但危险的是,大多数DeFi合约都在无所顾忌索取用户的“无限授权”,即在默认情况下,用户所Approve的代币数量为无限。

用户如何防范?

没有授权就没有安全隐患。在执行链上操作之时,如需执行Approve操作,用户应遵循“用多少、授多少”的原则。如果我只需卖出1000TOKEN,那即应手动修改Approve金额为1000。在计算合约转移金额时是累积的,即若只授权1000、本次金额恰好交易了1000,合约授权额度恰好已耗尽。即使日后合约出现安全风险,也已无法再从用户钱包中转移走任何资产。

而对已经授权的用户来说,还可发起取消授权操作。常用取消授权网站如下:1.Dappstar:https://tac.dappstar.io/#/2.Revoke:https://revoke.cash/3.Approved.zone:https://approved.zone/4.RabbyWallet此外,一些区块链浏览器也支持用户查看并取消授权。https://cn.etherscan.com/tokenapprovalcheckerhttps://bscscan.com/tokenapprovalchecker

DeFi被盗,谁的责任?

“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的天量资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。

标签:TOKTOKENTOKEKENBitMEX TokenPoSTokenTrabzonspor Fan TokenHappyLand Reward Token

加密货币热门资讯
加密货币:加密产品增长空间:纯粹主义者和游客模型_BTCRED

中本聪在2009年发布了比特币白皮书和开源代码,从那时起,加密行业就一直保持着开放的精神。从一开始,任何人都可以复制代码、改变营销方式并推出他们“自己的”代币和网络.

1900/1/1 0:00:00
区块链:星球日报 | BNB Chain遭黑客攻击;Unstoppable Domains集成Fantom网络 (10月8日)_Swerve DAO Token

头条Paradigm研究员:BSC跨链桥的验证方式存在BUG,攻击者伪造信息获取200万BNBParadigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示.

1900/1/1 0:00:00
NFT:NFT数据日报 | BAYC成为日交易量冠军(10.12)_UNI

NFT数据日报是由Odaily星球日报与NFT数据整合平台NFTGO合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度.

1900/1/1 0:00:00
LOC:在寒冬“激流勇进”的BlockTower与其它基金有何不同?_blockchain.infoapi

加密货币改变了风投领域。VC们开始打造品牌,撰写白皮书,推播客。在社交媒体上,身价数十亿美元的基金合伙人们成了明星,为自己的粉丝军团预测行情或分享表情包.

1900/1/1 0:00:00
BIT:Bitfinex Alpha:链上分析报告显示,NFT和DeFi仍备受市场关注_bitpie钱包官网

BitfinexAlpha报告称,NFT和DeFi相关的话题在加密市场中备受关注,尽管它们在当前市场上并不经常被提及.

1900/1/1 0:00:00
比特币:本次美联储FOMC议息会议释放了哪些信号?_FomoDOTA

这次美联储FOMC会议很有趣。一如既往,真正的「魔鬼」隐藏在细节中,让我们来看看一些最有趣的细微差别和市场影响.

1900/1/1 0:00:00