EFI:DeFi少做这一步，没有私钥别人也能转走你的资产_OnigiriSwap

编者按：本文来自风火轮社区，作者：佩佩，Odaily星球日报经授权转载。大家好，我是佩佩，今天就是八天长假了，估计大家现在是要么堵在路上要么已经开启放假模式，没啥人能认真看文了，哈哈哈，接下来的一周的安排，如果有时间且市场上还有些故事能讲的话，会继续更一更，如果还像现在这个主流表现的比稳定币还稳定那就停一停。按历史情况看呢，国内的假期通常也都对应着市场热度和交易量的下降，加之今年还有出jin问题，不管冻结率有多高，这也会使更多的朋友短期对无脑冲，多一层顾虑，所以估计是没啥剧情，咱该玩玩该乐乐，回来说不定也还能有惊喜。当然节前最后一期，这个内容还是很重要的，关于玩defi的授权安全隐患问题，下图是前几天群里在传的：

Aptos生态DeFi协议Thala Labs将推出原生AMM ThalaSwap:1月23日消息，Aptos生态DeFi协议 Thala Labs 宣布即将推出原生 AMM ThalaSwap，并将在未来几天公布启动计划、THL Token 经济学、路线图和即将推出的测试网等信息。

ThalaSwap旨在成为Aptos的核心流动性层，同时确保 Thala Labs 推出的超额抵押稳定币 MOD 在其 DeFi 生态系统中具有深度流动性。AMM 将支持三种不同类型的池：加权池、稳定池和流动性引导池（LBP）。ThalaSwap 上的池创建将是无需许可的，允许任何用户创建他们喜欢的多资产池。掉期费用虽然是固定的，但在不久的将来将成为可通过治理改变的参数。在发布时，所有 MOD 流动性及其相应的货币对都将在 ThalaSwap 上运行。[2023/1/23 11:26:54]

TRM Labs法律和政府事务负责人：DeFi平台需要加强安全性:金色财经报道，加密安全公司TRM Labs法律和政府事务负责人Ari Redbord表示，DeFi平台需要加强安全性，打击加密黑客将需要加强网络防御。根据TRM Labs的数据，今年加密领域已有超过36亿美元的资金被盗，大约80%（约30亿美元）的目标是去中心化金融(DeFi)。Ari Redbord表示，这是因为许多DeFi平台是新的，尚未开发出强大的网络安全工具，而且这些平台具有大量流动性。他说：“黑客越来越厉害，他们的战术也越来越复杂，“但现实是工具、监管以及调查人员和执法部门也变得更加成熟。”[2022/12/30 22:15:37]

你说要是亏完不能出jin可以归于能力问题，但这种莫名坑就真的很恶心对不对，正好今天也看到币圈一个短视频在说这个事情，我觉得还是有必要在这里专门提一下，让更多的朋友注意到。其实关于授权隐患，咱们社区的小伙伴们应该多少是有点印象的，此前我们有专门讲过这个月靠uniswap空投暴富的其中很大一部分资深玩家，就是因为担心玩土狗项目安全问题而开了很多小号，没想到却意外收获了几千几万个uni。不过我们只是表面知道好像授权有一些坑，但有没有想过为啥这些dex、swap的都有这么个授权操作呢？到底是不是坑，咱先从源头追溯。这个授权呢，通俗来理解，就像去卖一辆二手车，需要找当地的一些中介或经销商，把车放到他们的平台，让更多有需求的买家看到它，那么这里的第一步就是你要和中介签署一份合同，这份合同表明了你授权该经销商来代理出售你的车。swap类的去中心交易所的逻辑也是这样，授权，即这是一份你和交易所中介之间签订的合同，只不过在咱这叫——智能合约，它允许该平台有代理出售你资产的权限。当然，上面的比喻只是为了方便理解，细心的小伙伴应该发现，dex交易又不是NFT还需要等待一个有缘人，直接砸到资金池里就好啦，为啥还要有授权这么个流程。这其实源于以太坊合约的一个特性，对于erc20代币，直接从地址像目标合约转账，合约是接收不到的！(这也是为啥你们从传统交易所提币一般都会看到一句提示：请勿转到合约地址)

DeFi协议Lodestar Finance遭攻击，计划与黑客协商收回更多资金:12月11日消息，基于Arbitrum的DeFi协议Lodestar Finance发推称，协议被黑客利用，存款被耗尽，团队已将所有利率设置为0。攻击者将plvGLP合约的汇率操纵为1.83 GLP/plvGLP获利，并且销毁300多万枚GLP。攻击者利用该漏洞的利润是Lodestar上被盗资金减去其销毁的GLP，其中280万枚GLP是可以收回的，价值约240万美元。Lodestar Finance将尝试联系黑客，协商是否可以通过提供漏洞赏金的方式来收回更多资金。[2022/12/11 21:36:55]

NFT游戏AxieInfinity上周收入760万美元，大幅领先其它DeFi应用:NFT游戏AxieInfinity过去一周的收入达到760万美元，大幅超过排名其后的MetaMask（210万美元）、PancakeSwap（190万美元）、Synthetix（130万美元）、MakerDAO（120万美元）和Curve（80万美元）的过去一周收入，相当于这5个DeFi应用上周收入之和。[2021/7/5 0:27:05]

而dex呢，它就是一个底层依靠各种智能合约来运转的交易所，那这里没法把用户地址上的代币直接转到合约地址以便平台进行调用兑换，所以就加了这个授权操作，授的就是dex里的合约可以直接调用用户地址上的资产的权限。注意，在以太上，这个特性只限于像erc20这样的代币，eth自身是有强制转账机制，可以直接地址转到合约里。所以，在使用dex时，用户会发现交易eth是没有什么授权的，但其他所有的erc20代币在第一笔交易时都会先有一个授权，英文名是approve：

DeFi衍生品协议Perpetual Protocol启动主网:12月16日，DeFi衍生品协议Perpetual Protocol宣布启动主网，用户目前可交易比特币和以太坊永续合约，杠杆倍数最高可达12倍，另外，交易过程中无需支付Gas费用。今年8月，Perpetual Protocol完成180万美元融资，Multicoin Capital领投，Three Arrows Capital、CMS Holdings 和Alameda Research参投。[2020/12/17 15:31:39]

之后再交易时就不会出现了。那是因为，目前上到未来的宇宙第一所uni下到各种野鸡swap，对于这些资产授权的设置都是——无限额度！下图是我在比特派钱包里检测的授权情况(此处没有收广告费)：

也就是只要你授权过，交易所如果想，是可以转走你所有资产，注意哦，这个意思是，假如你有10万usdt，只在dex里交易过1万u，理论上来说它是可以转走你全部10万u的，而不只是交易过的那个额度。这个授权额度是可以自定义的，但应该是考虑到使用体验吧，所有资产基本都是无限模式，不然没交易几次又要重新授权，又要多花手续费，还每个币都要单独授权，这么麻烦还怎么取代cex呢？对吧。不过一般来说像uniswap、compound这些主流项目，安全性也还好，毕竟这么多眼睛盯着，项目方不会故意去改合约，漏洞概率也是非常小的，只是这给很多土矿提供了动歪心思的动机，特别是它是很隐秘的，不清楚的小白会认为币在自己钱包里，但实际上只要做了授权，恐怕就和放在中心化交易所没啥区别了。最开头那个群聊图片说的就是这个事儿，而且注意是发生在波场上，其实今天的重点也不在以太上，而是传染了以太这个特性的其他链，至少波场和币安智能链现在是有这样的授权操作，而相对来说它们的问题项目和bug是会多一些的，需要格外注意资产安全，特别是usdt这种授权过的账号，不要长期放u在里面。其实我不太懂他们为啥要“沿用”这样的特性，之前有咨询过一些接近开发人士，有人是认为这是一个“缺陷”的(我也不太懂以太上为啥要这样，柚子上是可以直接转账的，希望有大佬能给予解答)。不过既然暂时改变不了，我们该怎样防范这方面的风险呢？1.对于不交易的持仓资产可以选择取消授权像上面图中右边有个“回收授权”按钮，是可以直接解除，当然要收少量gas费，同时如果你下次要进行这个币的交易需要重新授权。上面这个检测在比特派钱包——ETH钱包首页找到——以太安全中心——输入地址即可查看你所有的授权情况。另外旁白君还推荐了一个工具：https://approved.zone/

它是一个查看授权，并还可以修改每个币的最大转账额度的工具，不过这里仅做个了解吧，我就不细说了，因为修改额度对我们来说没啥卵用，不能完全阻止作恶又还可能需要多次授权消耗手续费。2.分号使用，交易完及时转出资产比起上面的取消授权，我会更推荐还是多号分工操作，毕竟市场是多变的，很难说不会去追高曾经看不起的币种，另外除了以太，其他链上是没有上面这种工具的。主号只存放资产，不适用任何应用，小号去swap，交易结束及时转回资产，当然对于以太上这会多一点gas成本，其他链就好多了，不过对于其他链，这是必做的功课。结语swap千万条，安全第一条，操作不规范，钱送陌生人。最后在这里代表风火轮社区祝大家中秋国庆快乐！阖家欢乐！

标签：EFIDEFIDEFSWAPDeFi Yield ProtocolDefigramPeakDeFiOnigiriSwap

比特币价格热门资讯