作者:@korpi87
编译:Kxp,BlockBeats
当“小狐狸”钱包跳出授权钱包时,要先了解清楚这个签名的意义及细节。
你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。
那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。
金融科技公司Bnext获得Borderless Capital450万美元追加投资:5月6日消息,Borderless Capital对西班牙金融科技公司Bnext追加投资450万美元,投资总额达到1000万美元,该笔资金将用于推动Algorand上的DeFi生态。据悉,Bnext是西班牙最早的金融科技公司之一,旨在替代传统银行业务,该公司通过代币销售共筹集了1100万欧元。(globenewswire)[2022/5/6 2:55:19]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。
在众多功能当中,我们需要特别关注下面两项功能:
转账
代转
基金Next100 Blockchain宣布计划向Enrex投资50万美元:12月4日消息,Nexttech集团旗下基金Next100 Blockchain宣布计划向Enrex投资高达50万美元。Enrex计划将区块链技术对环境的负面影响降至最低,并在全球加密市场不断增长的背景下实现“绿色化”趋势。(biz hub)[2021/12/4 12:51:03]
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
SatoshiPay获其合作方SDF 50万美元投资:加密货币支付公司SatoshiPay宣布已获得来自其合作方SDF的50万美元投资,该笔资金将主要用于开发和营销SatoshiPay的B2B解决方案。据悉,这一方案目前正在测试阶段,预计将在8周内进入封闭alpha测试,2020年第四季度推出公测版。(Proactive Investors)[2020/5/28]
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。
现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
动态 | Circle向以太坊网络新增发1050万枚USDC:据DAppTotal.com稳定币专题页面数据显示:01月11日00时08分 ,USDC发行方Circle向以太坊网络新增发1笔价值1,050万美元的USDC, 块高度为:9254054,交易哈希值为:0x5bf61955e5c250850711923f929f3bc74acb5023cb73c7ce003eb09b83cb73be 。截至目前,Circle在以太坊网络上的ERC20 USDC总发行量已达461,640,292枚。[2020/1/11]
动态 | 比特币购物APP Fold融资250万美元 将为零售商带来闪电网络:闪电网络友好的Fold应用程序允许用户用比特币购买衣服和披萨等商品,并可赚取比特币作为回馈奖励。在作为一家独立初创公司进行第一轮融资后,这款应用刚刚增加了法币功能。
Fold产品主管Will Reeves称,公司已从Thesis中剥离出来,完成250万美元融资,由Craft Ventures、CoinShares、Slow Ventures、Goldcrest Capital和Fulgur Ventures等公司参与了此次融资。Reeves表示,该笔资金将用于加强加密货币和零售领域的合作关系。(CoinDesk)[2019/9/25]
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1.不要在Metamask中签署一切内容;
2.花点时间了解你所签署的内容;
3.对传统的批准事项要格外小心。
不出意外,我们下个月将会看到圈内历史性时刻。ETH2.0的Merge,ETH正式转为POS。为什么转POS,以及转了之后的一些问题,之前的文《以太坊最快将在8、9月份合并:大利好?质押砸盘?La.
1900/1/1 0:00:00文/MarioGabriele?TheGeneralist创始人如果你只有几分钟的阅读时间,下面的内容是作为投资者、运营商或创始人的你应该了解的:关于当前最令人兴奋的加密趋势.
1900/1/1 0:00:00近日,《中国信息界》杂志在8月刊上发布了波场TRON创始人孙宇晨的观点文章《国际视野下元宇宙的发展方向》,文章表示,在各种新技术的加持下,未来元宇宙将会实现身份和财富共同上网.
1900/1/1 0:00:00KOLO.Market是一家基于区块链去中心化技术,通过数字音乐资产的发行流通,以实现去中心化、长尾透明的版权资产收益分配的古典音乐NFT平台.
1900/1/1 0:00:00在NFT热潮平息之前,Web3的热潮就已经开始隐现,加密领域从未停止过催生创新:CeFi、DeFi、DAO、NFT、元宇宙等.
1900/1/1 0:00:00资金库管理的核心目标:资本保值、流动性和收益。原文标题:《a16z:能挺过熊市的项目方Treasury管理指南》撰文:JeffAmico,MaggieHsu,EdLynch,EmilyWeste.
1900/1/1 0:00:00