月亮链 月亮链
Ctrl+D收藏月亮链
首页 > DYDX > 正文

TOKEN:TokenPocket闪兑服务商被盗,快检查你开通了多少“无限授权”_TOK

作者:

时间:1900/1/1 0:00:00

今日,跨链DEX聚合器TransitSwap遭受攻击,导致大量用户的资金从钱包中被取出。截至目前,预计损失超2100万美元。

发现被盗后,TransitSwap技术团队紧急暂停服务,合约已完全暂停,无法进行任何操作。发稿前?TransitSwap官方发布公告称,此前黑客攻击事件原因系代码错误,目前已确定黑客IP、电子邮件地址,以及相关的链上地址。TransitSwap团队将尽力追踪黑客,并尝试与黑客沟通,帮助用户挽回损失。

与此前被盗项事件不同的是,TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验,也再一次向我们明确了加密市场“黑暗森林”的恐怖法则,即使是钱包背书的便捷“闪兑”服务,依然存在被盗隐患。

Sui发布更新版标志及Token社区访问计划:4月15日消息,Sui 于今日公布其改进设计后的新标致(相比原有标致更具有平衡感)以及 SUI Token 社区访问计划。据该计划显示,有资格进行购买的包括第 1 轮测试期间 Capy Holidays 竞赛获胜者、部分参与组织 Builder Houses 和其他重要活动的成员、部分社区参与者。Sui 并未公布详细的准入条件。[2023/4/15 14:05:49]

什么是闪兑?

目前,几乎所有钱包都嵌入了DeFi功能,而一些钱包出于易用性的考量,更是创造了“闪兑”这一概念并加以应用。

所谓闪兑,即和钱包深度整合,在产品中拥有更明显的独立入口、更简化的操作流程,更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如,“Approve”操作通常被简单的一键式集成在交易流程中,用户几乎是无感的。

TokenBetter交易所宣布与巴哈马银行Deltec Bank达成战略合作:5月30日,据TokenBetter官方消息,TokenBetter交易所与巴哈马德尔特克银行Deltec Bank(USDT最大承兑银行之一)达成战略合作,即将打通27个国家关于40多种主流币种的法币快速出入金通道和资金托管渠道。

TokenBetter成立于2018年12月,总部位于美国,在新加坡、中国、中国香港均设有运营中心,是一家独立的全球性的数字货币国际站。平台致力于为全球数字货币用户打造安全、高效、便捷、开放的数字货币投资网络。[2020/5/30]

或是因钱包内置集成,用户对其天然更具信任,也一定程度降低了防范意识。但究其本质,无外乎是钱包app集成的一款DEX,与其他DEX并无差异。这也给本次安全事件留下了隐患。

分析 | TokenPanda邵昱淇 :牛市已来,不建议满仓梭哈:对于近期行情的走势,金色财经采访了TokenPanda基金经理 COO 邵昱淇,邵昱淇表示,5月开始就在很多场合表示牛市已来,这其中关联的指标很多,二级市场也不是一两个消息和指标就能够完全反应的,知道结论即可。

邵昱淇认为牛市的含义不是满仓梭哈,也不是高杠杆做多的冲锋号,2017年那样短期市值暴涨的机会也不会再有。牛市更多代表加密货币市值、市场关注度、市场流动性、政策关注度,这些都比价格重要的多。

邵昱淇劝告投资者永远不要使用高杠杆,也不要在大趋势中开反向合约,期货合约从诞生之日,就是用来反应远期价格预期的,跟今晚涨多少、跌多少没有任何关系。

对于之后的走势,邵昱淇给出了如下建议:对于手中没有BTC的用户,将计划投资的资金分100份进行定投,每天固定时间买一份,或者价格每次回调3%买一份;合约用户建议空仓。如果一定要操作,使用逐仓模式,10x开2-5%的多单。邵昱淇称之所以这样操作,因为散户不擅长止损,这样操作不需要止损,逐仓爆仓就是被动止损。[2019/5/29]

投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有,没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时,DEX是如何将一种资产拿走再转移给你另一种资产的?

分析 | 研究:美国有最有利于发行Token的国家:据cointelegraph报道,数字货币金融会议的分析师根据国家的前100名Token所筹集资金的公开数据开展了一项研究,并根据发行Token项目数量对国家进行了排名。该研究表明,美国、瑞士和新加坡被评为最有利于发行Token的前三名。研究还指出美国是发行Token最有利的国家,共有30家公司在该领域发行了Token。第二个国家是瑞士,项目数量为15,而新加坡则排名第三,有11个项目。该研究还将俄罗斯、爱沙尼亚和英国列为数字货币项目集资最有希望的国家。[2018/7/15]

授权就成为了这一切的关键。用户于DEX出售资产之前,需先执行“Approve”操作,这一操作之后合约便拥有了动用用户某种代币的权限。

或者描述的更加直白一些:只要你做了授权,无需打开钱包、无需执行操作、无需私钥,该合约就可以不经你的许可,支配你授权的资产。这是由以太坊的机制和授权模型所决定的,与项目方的道德操守、安全规范、代码审计都并无审核关系。

Uniswap尽管拥有随时将用户钱包清空的能力,但并不会真的这么做一样。但动态来看,这一逻辑依然是危险的。

现代软件开发,升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中,拥有Transparent和UUPS两种升级方法,借助于这两个功能,合约代理和升级几乎是业界合约的标配。

项目方是如何进行合约升级的呢?通常,用户所访问的合约并非直接运行业务逻辑的核心合约,而是一个“代理合约”,代理合约接收到用户请求之后将其转发到核心的业务合约,再由业务合约进行处理。而合约升级即是更改简单来说,智能合约尽管不可修改,但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。

而即便是最安全的合约,只要进行“合约升级”,其业务合约就已发生变化,此前的审计报告也沦为了一张废纸。

简单来说,今天你所交互的合约是安全的,但明天访问同样的这个项目,可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

而对已经授权的用户来说,还可发起取消授权操作。

常用取消授权网站如下:

1.Dappstar:https://tac.dappstar.io/#/

2.Revoke:https://revoke.cash/

3.Approved.zone:https://approved.zone/

4.?RabbyWallet?

此外,一些区块链浏览器也支持用户查看并取消授权。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盗,责任全在用户吗?

“黑暗森林”是广为流传的对于链上秩序的叙述了,也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生,真的可以全部归责于用户的安全意识吗?

在此类事件中,DeFi项目对于用户授权毫无节制的索取是隐患的最初来源,几乎所有的项目,在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改,但一个负责任的市场应承担投资者保护和用户教育的责任。

至今,仍有多少加密用户尚不清楚授权的危险?而在这种环境背景之下,项目方仍在索取危险极大的无限授权。

DeFi滥用授权的情况早已成为业界惯例,而这一高危情况几乎危及所有用户的田亮资产,其影响之深远、广泛、隐患之巨,恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。

被盗事件发生后,神鱼就已在推特做出呼吁,“呼吁一下项目方规范使用授权功能,用多少授权多少,不要无限授权,大家都放心。”

去中心化充满着机会与风险。还记得加密技术最初的愿景吗?“保护你的资产,没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立,需要的不是复杂的代码、晦涩的概念,确保每一个普通用户都能安全的使用加密技术,仍然需要行业里每一个参与者共同的努力。

标签:TOKENTOKETOKKENThar tokengreathealthtokenngotokenCipher Core Token

DYDX热门资讯
BIT:★为什么跟单跟不上?_BHTT

尊敬的唯客用户您好!常见问题为什么跟单跟不上?一键跟单关于可能原因如下:交易员跟随人数达上限交易员已被撤销当前身份为交易员合约账户无资产交易员带单额度达到上限合约账户可开资金不足.

1900/1/1 0:00:00
ETH:“港股元宇宙第一股”飞天云动今起招股,拟发行2.715亿股股份_etherzero

9月30日消息,飞天云动今日开始招股,即将成为港股“元宇宙第一股”。此次IPO发行规模不超过1亿美金,每股价格区间2.21-2.88港币,基石投资者包括浙江安吉国资、商汤科技、Tradego捷利.

1900/1/1 0:00:00
Huobi Global to Open Trading for FANC at 06:00 (UTC) on October 6

DearValuedUsers,HuobiGlobalwillbeopening?FANC(fanCToken)?spottrading(FANC/USDT)andspotGridtrading.

1900/1/1 0:00:00
GATE:量化週報:量化跟單和實盤跟單一周速覽_2gather

尊敬的用戶:為幫助廣泛跟單用戶更好地了解實盤跟單和量化跟單,平台將定期展示每週的實盤跟單交易員數據以及量化跟單策略數據.

1900/1/1 0:00:00
SOL:加密社区看到 Solana价格在 10 月份飙升_sol币未来价格预估

加密货币社区预计智能合约平台Solana($SOL)的价格将在10月飙升,因为网络的拥堵似乎已成为过去,它处理的交易数量惊人.

1900/1/1 0:00:00
ETH:欧易关于 ETHW/USDT 杠杆梯度档位规则调整的公告_欧okex易官网

尊敬的欧易用户:为进一步提升市场流动性,防范市场风险,欧易计划于2022年9月30日17:00-18:00(HKT)调整ETHWUSDT杠杆梯度档位规则.

1900/1/1 0:00:00