链资讯 链资讯
Ctrl+D收藏链资讯

SDC:一个简单的签名如何导致50万美元被盗?_metamask

作者:

时间:

原文作者:@korpi87

原文编译:Kxp,BlockBeats

你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。

那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。

Base:正努力将下一个10亿人带到链上:金色财经报道,Base在社交媒体上表示,“我们正在努力实现一个伟大的愿景,将下一个10亿人带到链上。要做到这一点,我们需要把下个一百万名建设者带到链上,并让他们掌握DApp开发的基本原理,编写和部署智能合约。”

此前昨日报道,Coinbase面向Web3开发者推出教育平台Base Camp。[2023/5/18 15:11:25]

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。

在众多功能当中,我们需要特别关注下面两项功能:

FTX首席执行官:美国是FTX的下一个大目标市场:金色财经报道,加密衍生品交易所FTX正着眼于在美国扩展业务。 FTX首席执行官Sam Bankman-Fried表示,当你看看FTX US时,能看到各州都有巨大的潜在增长。Bankman-Fried称,就目前而言,FTX的全球客户群“无处不在”。 没有任何主导的管辖区,而且没有一个管辖区占公司收入的10%以上。[2021/7/23 1:10:20]

转账

代转

当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

观点:比特币远不是一个快速致富的计划,它维护了财产权:在迈阿密Bitcoin2021大会上,由Robert Breedlove( Parallax Digital CEO )、Jimmy Song(开发者)和Guy Hirsch(eToro董事)组成的小组的圆桌会议的核心内容可以概括为:比特币的成功是一种道德上的需要。

“比特币远不是一个快速致富的计划,它维护了财产权。”

作为哲学上的证明,这个由开发者和首席执行官组成的小组引用了自由主义哲学的一个分支,强调 \"自我所有权\"。根据这一逻辑,你的身体是你的财产;从它延伸出来的一切,包括你的比特币,都属于这一产权。

比特币开发者Jimmy Song表示,目前的货币系统是非常不道德的。它是盗窃、腐败和裙带关系的粪坑。 “美元是世界的储备货币。每次美联储印制美元,他们都在从拥有美元的每个人那里偷窃,美国正在偷窃世界上最脆弱一群人。”

投资公司Parallax Digital的首席执行官Robert Breedlove同样认为,世界上最重要的游戏,也就是金钱,是腐败的。这个游戏的规则被扭曲,有利于少数人而不利于数百万人。通货膨胀的法定货币随着时间的推移从其持有者身上减去价值,这是一种财产盗窃的形式。他认为,“比特币作为我们有史以来第一个人造的廉洁的货币和社会机构,有可能是人类历史上最重要的发明。”

eToro的美国董事Guy Hirsch则表示,“法币和现行制度的核心是一种有罪推定,比特币是金钱,但它也是一种意识形态运动。” (Decrypt)[2021/6/7 23:18:31]

当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。

现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。

可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。

我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。

有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题?

1.不要在Metamask中签署一切内容;

2.花点时间了解你所签署的内容;

3.对传统的批准事项要格外小心。

标签:SDCBTCmetamaskROMSDCOINsbtc币突然暴涨metamask钱包局怎么解决rom币能涨到多少钱

莱特币最新价格热门资讯
NFT:BiKing币王-七大维度解析NFT暴涨的逻辑_Cryptoindex.com

今年NFT市场闯入了不少新老面孔。横空出世的LooksRare和X2Y2“吸血攻击”,交易额一度超越OpenSea;Uniswap收购聚合器Genie,也开始切入NFT赛道;以Solana为代表.

NFT:如果以太坊新模型Danksharding实施,哪些项目会起飞_SHAUN

如果以太坊新模型Danksharding实施,哪些项目会起飞?Dankshard的名字的创造者兼用它来自于我们的名字:DankradFesto兼用向系统传统片剂.

BTC:8月28和29日抛售超1万枚BTC或来自Mt Gox黑客_MetaMorph

金色财经报道,2022年8月28日星期日和2022年8月29日,两个于2013年12月19日创建的地址转移了大约10,001.514枚BTC,链上数据显示.

THE:Announcement on the launch of the contract experience gold function_ING

DearCoinUpusers:TheCoinUpcontractexperiencegoldfunctionwillbeofficiallylaunchedonSeptember1.

THE:PA日报 | 阿根廷门多萨州接受稳定币纳税;Tribe DAO通过TIP-121a提案_CONM

今日要闻提示:1.韩国央行:有必要在制度上允许IC0,并明确央行对稳定币等的作用和责任2.网传FTX已正式收购火币且后续将更名为HTX.

AND:【Token Airdrop Event】CandyDrop launches BLD on August 29, 2022_Huobi

DearHuobiGlobalUsers,CandyDropislaunchingBLDonAugust29.