主流交易所和机构在网络安全防护上无疑都投入了大量资金和人力,DilationEffect无法得知这些机构内部的安全水平和实施细节,但出于好奇,我们想尝试通过公开信息来对这些机构钱包地址做简单分析,见微知著,从普通用户角度来考量这些地址是否存在潜在安全风险,以及潜在风险敞口有多大。
本次快闪点评的数据全部来源于Etherscan、Debank等公开服务。
1、分析对象选择
查看Etherscan的Top1000Accounts,挑出其中打了标签的机构地址。
2、分析维度选取
由于不了解这些交易所和机构生成和管理钱包的技术细节,该如何对地址的安全性做分析?DilationEffect这次选取的维度是分析这些地址的合约授权情况。
因为地址被恶意合约取授权或者授权过的合约存在漏洞而导致被盗币是很常见的攻击。限制授权额度、定期清理授权已经成为最佳安全实践。那么这些大型交易所的地址做的如何呢,我们随机挑选几个地址来做分析。
币安律师:Gary Gensler应回避美SEC对币安的诉讼:6月8日消息,币安律师在新提交的文件中重申,美国证券交易委员会主席 Gary Gensler 应回避美 SEC 对币安的诉讼。币安律师表示,Gary Gensler 在被政府任命之前曾提出担任该交易所的顾问,还于 2019 年 3 月在日本与币安首席执行官赵长鹏共进午餐,他们讨论了与交易所相关的加密货币 BNB,以及在美国推出交易所的想法。[2023/6/8 21:24:37]
案例一
地址:
Binance8(0xF977814e90dA44bFA03b6295A0616a897441aceC)
这是Binance余额最大的钱包地址,ETH链为100亿美金,其他链加起来一共161亿美金。部分资产截图如下:
币安将于3月22日恢复部分BTC手续费和BUSD挂单手续费:3月15日消息,币安宣布将于2023年3月22日8:00起,用户仅在BTC/TUSD现货交易对交易BTC时,可继续享受零挂单和吃单手续费,BUSD零挂单(Maker)手续费活动将不再包括BNB/BUSD、BTC/BUSD和ETH/BUSD现货和杠杆交易对,还将恢复用户对应的VIP等级费率于BTC/AUD、BTC/BIDR、BTC/BRL、BTC/BUSD、BTC/EUR、BTC/GBP、BTC/RUB、BTC/TRY、BTC/UAH和BTC/USDT现货和杠杆交易对,以及BNB/BUSD和ETH/BUSD现货和杠杆交易对。[2023/3/15 13:05:20]
查看此地址在ETH链的合约授权情况,发现提示32亿美金存在风险。当然这里并不是说一定存在确定性安全风险,这只是一种潜在风险敞口的可能性描述。
那么我们具体来看看此地址是如何做授权的,比如什么币种授权给了什么合约,授权额度如何。以下摘录部分查询结果。
数据:币安平台的以太坊链上USDC余额约50亿美元:金色财经报道,区块链分析公司Nansen发推称,过去24小时Circle已销毁价值23.4亿美元的美元稳定币USDC,其中70%(约16.5亿美元)是在过去8小时内销毁。另外根据Nansen标记的中心化交易所地址,当前以太坊链上USDC在币安约有50亿美元,Crypto.com约有7.66亿美元,Coinbase约有3.03亿美元。此外Uniswap约有6.53亿美元,Voyager约有5.29亿美元,Curve约有5.15亿美元,dYdX约有3.68亿美元。[2023/3/11 12:56:25]
币安期货现已与金融信息平台TradingView集成:12月15日消息,Binance 期货宣布现已与交易信息平台 TradingView 集成,使用户能够进行技术和基础分析,有效地管理他们的交易,并通过社区学习新策略。该集成将允许 Binance 用户通过使用他们的 Binance 账户连接到平台,直接在 TradingView 的浏览器和桌面应用程序中交易美元保证金期货永续合约和交割合约。[2022/12/15 21:46:58]
这时我们会发现一个奇怪的现象,就是这个地址上有的币种限制了授权额度,有的币种却直接无限制,授权额度规则看起来并不统一。我们特别关注到BUSD、Matic、SHIB、SAND这几个余额较大的币种,地址余额分别为19亿美金、4.6亿美金、2.6亿美金、1.4亿美金,相关授权记录如下:
这里存在几个明显的问题:
一是对合约的授权没有定期清理。比如针对BUSD的合约授权,两年多过去了都没做过清理,要么没关注到要么觉得没必要。这说明Binance在内部安全管理上缺少对这块的系统覆盖。也许有人会说,已经分析过相关授权合约发现这些合约能做的操作有限,相对安全。但我们想说的是,这里首先并不是单纯的技术问题,而更多是安全管理的问题。即Binance在这里该如何全面系统的去管理第三方合约带来的风险,我们认为可以做的更严格深入。其实如果仔细看,你会发现Aave:LendingPoolV2是个可升级的代理合约,假如Aave合约被攻击,这里就是19亿美金的损失。
公告 | 币安:未来所有新增业务将纳入BNB季度销毁的统计范围:据官方公告,币安未来所有新增业务将纳入BNB季度销毁的统计范围,并销毁市场流通的BNB。[2019/9/12]
二是大量的币种授权额度无限制。一旦发生相应合约被攻击的极端情况,如果限制了授权额度会相应的降低风险。这同样暴露出Binance在内部安全管理上缺少对这块的系统覆盖。当然你会说这都是极端情况,但是对Crypto行业来说很多小概率事情历史上就发生了。我们需要提高风险敏感度,对风险要保持极度的厌恶是非常必要的。
三是币种授权规则不统一,有些币种限制了额度,有些完全没限制额度,动作不统一。这说明Binance内部安全管理操作不明确,或者内部团队没有做好分工配合。
另外我们也很好奇,资产余额规模如此巨大的地址,为何要频繁参与Defi合约的操作呢?Binance是否可以做出更细粒度的地址规划和隔离设计呢?
案例二
地址:
Kucoin6(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)
这是Kucoin交易所的地址,其ETH链上有17亿美金,其他链加起来19亿美金。此地址资产截图如下:
查看此地址在ETH链的合约授权情况,发现提示11亿美金存在风险。同样的,这并不是指一定存在安全风险,而只是一种潜在风险敞口的可能性描述。
那么具体来看看Kucoin这个地址的授权情况。
哇!我们又发现了一些有意思的东西。
1、此地址的APE币种在2022-04-02授权给了Multichain的跨链Router合约,大家应该知道前几天Multichain出现了不可抗力因素的事件,但Kucoin并没有在第一时间取消对Multichain合约的授权。这体现出Kucoin在风险应急响应上还存在改进空间。
2、此地址的大金额币种USDT、USDC、KCS等全部都授权给了名为Bridge的合约,且授权额度完全无限制。简单分析后发现Bridge是KuCoin社区链KCC的跨链桥合约,但在KCC的官网上查看搜索,并没有发现相关的安全审计报告,这不禁又让人心一慌。大家还记得BNBChain的200万枚BNB攻击事件吗?
案例三
地址:
JumpTrading(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)
这是机构JumpTrading的地址,其ETH链上有1.4亿美金,其他链加起来1.5亿美金。此地址资产截图如下:
查看此地址在ETH链的合约授权情况,发现提示2500万美金存在风险。同样的,这并不是指一定存在安全风险,而只是一种潜在风险敞口的可能性描述。
那么具体来看看JumpTrading这个地址的授权情况。
可以发现此地址上币种的授权不多,而且绝大部分的授权都做了额度限制,总体上管理得还不错。
但是USDC币种在2021-02-04授权给了Curve合约,未设置限额,且一直未取消。这一点需要做出提醒,如果不需要对应的合约操作,建议立即取消对此合约的授权。
总结
这次的快闪点评到这里就结束了。DilationEffect随机抽取了几个交易所和机构地址做分析,从结果来看,这些机构在合约授权方面做得并不是很完美,希望我们的分析能给相关机构提供参考。没有抽取到地址的交易所和机构,也可以参考上文中的分析过程来检查是否存在类似问题。
标签:ETHUSDKucoinETH钱包地址ETH挖矿app下载Etherael指什么寓意USD币USD价格kucoin是什么平台kucoinpro是什么kucoinpro介绍
重点提要:本文将介绍智能合约开发生命周期,以及开发和部署安全智能合约应采取的步骤。什么是区块链中的智能合约?智能合约是区块链技术的重大进步.
1900/1/1 0:00:00什么是ERC-6551 ERC-6551允许以太坊上的每个NFT都拥有自己的钱包,很多人不太理解这个意味着什么。简而言之,用户现在不仅可以连接钱包,还可以连接自己的NFT.
1900/1/1 0:00:00就像代币的IC0、DeFi的流动性挖矿以及NFT的PFP一样,近期FriendTech的迅速崛起再次证明了金融激励和投机作为增长催化剂的能力.
1900/1/1 0:00:00Decentraland是一个由以太坊区块链驱动的分布式虚拟现实平台,基本组成是一个去中心化的领地所有权账本、一份描述每块领地内容的协议以及用户互动的点对点网络.
1900/1/1 0:00:00EddyLazzarin是加密货币团队的工程主管,本次视频涵盖众多话题,他提出了很多人在考虑设计代币时,会碰到的常见陷阱,以及可能的解决方案.
1900/1/1 0:00:00开始关注比特币,是很早的事情。早先市场不成熟,有很多免费的利润,导师国青先生看得清楚,谈笑间轻松捡钱。我则始终没有看穿,只是默默关注,有一眼没一眼地看着.
1900/1/1 0:00:00