USD:一个简单的签名如何导致50万美元被盗？_JOE

你可能很难想象，Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上，今天他因一个漏洞损失了近50万USDC。如果不多加小心的话，你可能就是下一个他。所以，今天我想和大家讲讲这件事的来龙去脉，告诉大家以后如何注意此类问题。那是在一个安静的午后时分，Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单，肯定不是攻击者能做出的行为，因为他们根本不可能得到Joe钱包的权限。那就说明，转走他所有USDC的应该是某个恶意合约。

在讲述今天的故事之前，我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约，规定了我们可以如何使用USDC。在众多功能当中，我们需要特别关注下面两项功能：转账代转

数据：当前注册成为以太坊验证者需等待近一个月:5月15日消息，据wenmerge.com数据显示，当前注册成为以太坊验证者需等待约639小时（近27天），目前排队等待的验证者数量超4.9万。此外，目前等待退出的验证者数量约为50，等待时间约为40分钟。[2023/5/15 15:03:41]

当你需要在钱包之间转移USDC，或其他ERC20s时，就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能，那么他一定得先掌握了你钱包的全部权限才行。

Asproex阿波罗CEO Tony：现在DEX对中心化交易所的冲击，并没有真正达到一个在现有阶段完全的冲击和竞争力:由Lotus总冠名，金色财经、链上ChainUP主办，BTSLabs、Vtrading协办，深圳多家区块链企业联合赞助的金色LIVE在深圳首家区块链酒吧BTCLOUNGE举办。Asproex阿波罗CEO Tony在演讲《圆桌论坛1：交易所乘风破浪的正确姿势》中表示，Defi按照目前的数据来看，前两天比特币的持有用户数是破亿了，但是Defi用户只有50万，如果说现在DEX对CEX中心化交易所的冲击，并没有真正达到一个在现有阶段完全的冲击和竞争力。但是有一个点，是从去年10月份一个现象级的东西，就是在中心化交易所上的TVL，被DEX挖取了太多，我们也一直在思考，到底怎么样可以把存量资金留的更多？这里面其实有一个很重要的点，我们从传统互联网的角度来讲，其实AsproEx我们强调的是，我们是一个生态平台，不仅仅只是一个交易所，其实从这个角度上来讲，我们需要有更多的能留住用户的产品，不管是竞争侧的产品，还是标准化的产品，我们都是要去做的更加有力。所以这个过程中怎么去抗击DEX呢，反而我们觉得是一个融合的过程，如果有好的生态，给用户具有竞争力产品，我觉得才能突围。[2021/3/17 18:53:50]

OpenSquare创始人李永峰：支持协作DAO是OpenSquare另一个发展方向:据官方消息，币赢CoinW《共识52》第十五期《Polkadot的进化之路——奠定波卡生态繁荣的基础设施》主题AMA中李永峰表示，

协作的需求是多种多样的，OpenSquare前期提供的协作形式不一定能满足用户的需求。后期我们会推出众多原子协作行为组件，用户可以建立DAO组织，自己定义组织内的协作行为、组织、支付方式等行为。重点工作是帮助用户方便建立起以协作为目的的 DAO 。

OpenSquare拥抱web3.0的技术理念，依托Substrate技术。以区块链的形式运行我们的整体业务，保证了协作数据的可信性及透明性。在未来 OpenSquare.Network 会接入波卡。[2021/3/10 18:33:29]

当你与合约产生互动时，它们会通过代转功能来转移你的Token，具体金额由你提前预设好的比例决定。因此，如果你允许一项合约转移无限量的USDC，那么理论上它就可以拿走你所有的USDC。现在让我们回到Joe的故事当中，转走他全部USDC的确实就是transferFrom功能。然而，只有当Joe批准合约使用他的USDC时，transferFrom才能发挥作用。但事实上，Joe坚信自己没有批准任何事项。

历史上的今天丨周小川：全球性数字货币需要一个类似全球央行的机构:2019年12月7日，在重庆举行的博鳌亚洲论坛第二届“亚欧合作对话”中，博鳌亚洲论坛副理事长、中国人民银行原行长周小川表示，针对数字经济税、数字货币和电子支付等新情况，需要全球合作以及金融界的积极响应。关于最近各方热议的数字化的全球货币，他认为目前全球确实面临机会推进类似eSDR（电子特别提款权）和SHC(合成霸权货币)这样的全球性数字货币，但这需要一个类似全球央行的机构。[2020/12/7 14:29:32]

可是，DeBank的交易记录清楚地显示，在漏洞发生前10分钟，该恶意合约可以无限使用账户中的USDC。那么问题就在于，如果不是Joe本人的话，究竟是谁给了该合约这一项批准呢？我只能说，Joe确实批准了这一操作，但却是在他不知情的情况下完成的。

Etherscan上的信息显示，Joe本人确实没有调用该功能，真正批准了这一额度的是其他地址，这才让恶意合约得以花光Joe全部的USDC。我们不禁疑问，别人怎么能代替我给予合约许可呢？

许可功能的引入原本是为了改善以太坊的用户体验，它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说，只要有了你的签名，任何人都可以调用许可功能，并更新你对合约的批准额度。

当你使用1inchdApp时，你就可以体验到这一功能。如果你想在上面出售USDC，那你并不需要事先批准，只需要签上你的名字就够了。有了这个签名，1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC，但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是，那一次他用的是热钱包，签名只是随手点击一下就完成了。如果他用的是硬件钱包的话，就需要在外部设备上签署信息，那么还会有一个思考的时间。有了Joe的签名，其他地址便可以提交一个带有许可功能的交易，这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后，只要它调用transferFrom功能，就可以转走全部这些资金了。

所以说，一个看似小小的签名却可以引来巨大的灾难。在某些情况下，Metamask会在你准备签名是对你发出警告，告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警，但这些一旦滥用往往会造成巨额的损失。如何避免今后遇到类似的问题？1.不要在Metamask中签署一切内容；2.花点时间了解你所签署的内容；3.对传统的批准事项要格外小心。原地址

标签：USDSDCUSDCJOEUSDT币提现涉嫌吗sdc币交易cusdc币是什么JOEY币

DAI热门资讯