DEF:ERC20无限授权方便自己也方便黑客 有没有解决方案？_DEFC币

随着DeFi的火爆，一般的区块链老手用户肯定不止一次对DeFi项目进行授权了，每当使用一个新的DApp，都需要授权这个DApp花费你的代币。除了流程繁琐之外，每次授权都还要支付不菲的手续费。很多用户为了省钱省事，每次授权都是提供无限期授权，结果不知道哪天，突然发现自己的钱被人转走了。而原因并不是因为私钥被盗，而是因为图方便给DeFi合约进行了无限授权，为什么会有无限授权？有没有解决方案？

为什么要有ERC20授权？

有了以太坊上的原生代币ETH，你就可以将ETH发送至该智能合约，同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是，由于ERC20代币本身就是智能合约，以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的，不在DeFi合约。

以太坊社区成员提出ERC 7265标准以缓解DeFi黑客攻击:金色财经报道，以太坊社区成员提出了一个新的标准，以提高去中心化金融（DeFi）协议的安全性。被称为ERC(以太坊征求意见)7265的拟议标准将启用“断路器\"。

Fluid Protocol的Meir Bank表示，ERC 7265 允许团队创建一个断路器来保护他们的协议，并为每项资产提供高度定制的速率限制参数。当发生黑客攻击时，攻击者将无法再在几秒钟内耗尽整个合约。大部分资金都可以收回。[2023/7/4 22:17:10]

那么如果想要合约来调用ERC20应该怎么办？ERC20标准中，提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能，需要用户授权智能合约转移代币的权限。

以太坊账户抽象提案ERC-4337的核心合约已通过审计:3月2日消息，以太坊基金会安全研究员Yoav Weiss宣布，新的以太坊账户抽象提案ERC-4337的核心合约已经通过了Open Zeppelin的审计，并将在每个以太坊虚拟机(EVM)兼容网络上提供，包括Polygon、Optimism、Arbitrum、BNB Smart Chain、Avalanche和Gnosis Chain。Weiss表示，新用户将不再需要学习复杂的助记词或设置钱包的技术过程，就能进入去中心化的加密世界。

据悉，账户抽象(Account Abstraction)是通过省略以太坊账户体系中不必要细节，来减少复杂性并提高有效性有效地（消除了对EOA的需求和对智能合约钱包的特殊处理）。Weiss是以太坊改进提案 (EIP) 4337的主要作者之一，另外还有以太坊联合创始人Vitalik Buterin和其他五位成员。Weiss表示：“V神9年前首次发布了这个概念，甚至在以太坊推出之前。我们花了这么长时间才到达了现在这个阶段。”（Cointelegraph）[2023/3/2 12:37:37]

授权后，用户就可以将代币“存入”智能合约，进行DeFi应用的使用了。

TrustSwap将于1月推出NFT和ERC20代币交易平台SWAPPABLE:TrustSwap宣布将于1月推出NFT和ERC20代币交易平台SWAPPABLE。据悉，SWAPPABLE将支持ERC-721和ERC-1155 NFT的铸造、购买、销售。[2021/1/3 16:19:59]

比如，用户将USDT“存入”Aave来赚取利息，首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数，指定想要存入USDT的数量。然后，Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

动态 | Emercoin与Infopulse合作开发区块链技术:据cryptoninjas消息，区块链应用平台Emercoin与国际软件开发公司于15日签署合作协议，共同发展高端解决方案，并在公司和开发社区之间推广区块链。Infopulse营销副总裁表示，将结合以往经验，把Emercoin技术融入到公共区块链功能所需的解决方案开发中。[2018/8/16]

无限ERC20授权的问题

授权使用DeFi时，你就可以选择将这个币种单次授权，即仅同意本次转账，或者进行无限授权，让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下，对DeFi合约进行无限授权，是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦，以及每次交易前授权造成的GAS消耗。设置无限授权后，用户只需要同意一次，之后存款时就不会再重复这一过程。

但是，该设置存在很大的弊端。因为用户授予的，不仅仅是操作转入合约部分代币的权利，而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门，或者遭到黑客攻击，那么不仅是存入DeFi项目中的代币，我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的，因此一旦遭到攻击，即便使用冷钱包，也不能防止自身财产被盗。

怎样防范风险？

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋，不知不觉可能就会授权很多项目，这就加大了被盗风险，我们可以在DeBank上通过查询自身钱包地址的方式，查询授权的合约，然后及时取消高风险项目的授权。

2.分号使用，交易完及时转出资产

即便是再靠谱的项目，也都存在被攻击的可能，因此，不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变，那么其他拥有灵活底层的公链，就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中，多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位，可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费，除了不能参与QKC网络治理，原生代币可以实现QKC所有的功能，包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中，原生代币的功能，将做到和QKC完全一致，消除多原生代币应用的最后一层障碍。也就是说不需要授权，也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性，我们显然需要改进代币授权功能。目前，最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险，不过目前QuarkChain公链上DeFi项目仍然较少，相信后续会有更大的爆发

标签：DEFEFI以太坊DEFIDEFC币Defigram以太坊官网入口去中心化金融defi入门分析与理解

UNI热门资讯