月亮链 月亮链
Ctrl+D收藏月亮链
首页 > MATIC > 正文

SDC:一个简单的签名如何导致50万美元被盗?_USDC

作者:

时间:1900/1/1 0:00:00

原文作者:@korpi87

原文编译:Kxp,BlockBeats

你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。

那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。

YC 创始人:一个值得信赖的朋友认为加密货币很快会出现系统性风险:11月21日消息,YC 创始人保罗·格雷厄姆(Paul Graham)发布推特表示,一个我认识了十多年,值得信赖的人相信加密货币经济不久就会出现系统性风险。我不知道任何具体的事情,这不是我写的,是他写的。由于我不知道任何细节,我觉得我不应该编辑它。因为我不知道任何细节,所以问我他的意思也没有用。[2022/11/21 22:12:39]

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。

在众多功能当中,我们需要特别关注下面两项功能:

动态 | CryptoProfile宣布了一个全新的平台 将彻底改变加密货币行业:据CCN消息,CryptoProfile正在开发一个平台,解决当前ICO在加密领域的问题。这个平台上,合法的令牌生成事件有机会在风险不利的环境中向贡献者进行宣传。CryptoProfile代表平台上的出资方进行尽职调查,以确保他们只参与最有可能成功的ICO。[2019/1/28]

转账

代转

当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

声音 | 工信部信软司李颖:区块链是一个未来发展方向,要清醒辩证地看待其发展:6月29日,工业和信息部信息化和软件服务业司(以下简称“工信部信软司”)巡视员李颖在“第22届中国国际软件博览会区块链与数据治理高端研究会”上指出,区块链是一个未来发展方向,但是目前还很不成熟,现在基础的架构还远远没有定型,所以还是要比较清醒辩证的看待区块链的发展,不要盲从,特别是不要做出超越法律和规范边界的行为。同时李颖也表示,将进一步加大对区块链产业的扶持力度,构建完善区块链的标准体系。[2018/7/2]

当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。

现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。

可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。

我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。

有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题?

1.不要在Metamask中签署一切内容;

2.花点时间了解你所签署的内容;

3.对传统的批准事项要格外小心。

标签:SDCUSDUSDCJOEusdc币是什么币USDS价格usdc币价格JOE币

MATIC热门资讯
以太坊:以太坊合并:2000 亿美元的重磅升级,未来会发生什么_为什么要有区块链

概括:合并是指以太坊的软件升级已经进行了七年。这可能是2022年最大的加密事件。通过从工作量证明过渡到权益证明共识机制,此次升级有望将以太坊的功耗降低99.95%,并实现未来的扩展升级.

1900/1/1 0:00:00
ZKS:zkSync 2.0更新:动态费用里程碑完成_zksync币合法吗

原文作者:水多多|zkSync在公开路线图发布不到一个月后,我们完成了迈向主网的另一个重要里程碑。动态费用里程碑包括新的费用模型、向帐户抽象添加付款主管支持的更新以及EIP-1559支持.

1900/1/1 0:00:00
GAT:Gate.io CUP、NXD、AZY、RBLS、SWP and RNDX Trade Competition Reward Distributed Announcement_GATE

Gate.ioCUP、NXD、AZY、RBLS、SWPandRNDXTradeCompetitionhascometoasuccessfulend!Accordingtothecriteriao.

1900/1/1 0:00:00
EOS:WEEX合约暂时下架ADAUSDT合约交易对_USDH币

尊敬的唯客用户您好!唯客合约将于2022年08月29日16:00对ADAUSDT正向合约进行优化维护,将下架暂时ADAUSDT合约交易对.

1900/1/1 0:00:00
比特币:挖掘潜力项目必备!分享10 个相当实用的加密货币研究工具_比特币是什么东西

想要要寻找市场上的潜力项目,研究工具是必不可少的,除了Nansen、Dune、DefiLlama这些耳熟能详的数据分析网站以外.

1900/1/1 0:00:00
MES:Messari:可能激发下一次牛市的三个加密趋势_Octaverse Games

原文来源:Messari原文编译:PANews下一个牛市将会由当前熊市中仍坚持构建的技术和趋势驱动,但并非所有技术或趋势都具有同等价值。所以,让我们在本文中探索哪些加密趋势可能激发下一次牛市.

1900/1/1 0:00:00