作者:@korpi87
编译:Kxp,BlockBeats
当“小狐狸”钱包跳出授权钱包时,要先了解清楚这个签名的意义及细节。
你可能很难想象,Metamask 中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近 50 万 USDC 。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。
那是在一个安静的午后时分,Joe(化名)突然发现自己的钱包被转走了 46.9 万 USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到 Joe 钱包的权限。那就说明,转走他所有 USDC 的应该是某个恶意合约。
加密忠诚度服务公司Kigo完成650万美元融资,Augeo等参投:5月25日消息,加密忠诚度服务公司 Kigo 完成 650 万美元融资,Kigo 由企业参与和忠诚度技术服务公司 Augeo 的加密忠诚子公司 Heaps 和 NFT 参与平台 Thred 合并而成,这两家企业总共筹集了 1600 万美元的资金,其中包括来自 Valor Siren Ventures 和 Augeo 的 650 万美元新承诺,以加速 Kigo 的推出。[2023/5/25 10:39:52]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC 是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用 USDC。
在众多功能当中,我们需要特别关注下面两项功能:
转账(transfer)
代转(transferFrom)
金融科技公司Amwal完成250万美元Pre种子轮融资:3月2日消息,基于多设备身份验证 Token 的金融科技公司 Amwal 宣布完成 250 万美元 pre-seed 轮融资,Shorooq Partners、Outliers Venture Capital 等参投。Amwal 公司希望将设备识别、欺诈预防和支付 Token 等功能集成到独立应用程序接口(API)中,以提供使用多设备身份验证 Token 的加密生物识别结算解决方案。[2023/3/2 12:38:46]
当你需要在钱包之间转移 USDC,或其他 ERC20s 时,就需要用到转账功能。它可以将 Token 从调用者(调用该功能的地址)转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
律师事务所Sullivan&Cromwell在FTX破产后19日内收费750万美元:2月8日消息,一份周二的法庭文件显示,FTX向Sullivan&Cromwell律师事务所在11月为FTX破产案的工作支付了750万美元,期间仅19天,涵盖了11月12日至11月30日的费用和支出。该文件称,32名合伙人、85名合伙人和34名非法律人员共工作了6,500多个小时。每小时费率高达2,165美元。该公司表示,对高级员工的收费已经有了折扣,该公司只要求支付950万美元总额的80%。[2023/2/8 11:54:53]
当你与合约产生互动时,它们会通过代转功能来转移你的 Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的 USDC,那么理论上它就可以拿走你所有的 USDC。
1750万枚USDT从Tether Treasury钱包转出,价值1744.7万美元:WhaleAlert数据显示,北京时间04月14日20:22,1750万枚USDT从Tether Treasury钱包转入0x8bb0开头地址,按当前价格计算,价值约1744.7万美元。[2020/4/14]
现在让我们回到 Joe 的故事当中,转走他全部 USDC 的确实就是 transferFrom 功能。然而,只有当 Joe 批准合约使用他的 USDC 时,transferFrom 才能发挥作用。但事实上,Joe 坚信自己没有批准任何事项。
可是,DeBank 的交易记录清楚地显示,在漏洞发生前 10 分钟,该恶意合约可以无限使用账户中的 USDC。那么问题就在于,如果不是 Joe 本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe 确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan 上的信息显示,Joe 本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光 Joe 全部的 USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用 1inch dApp 时,你就可以体验到这一功能。如果你想在上面出售 USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch 便获取了你全部 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC,但这却给了恶意合约机会。
Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了 Joe 的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了 Joe 钱包全部 USDC 的使用权限。然后,只要它调用 transferFrom 功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask 会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1. 不要在 Metamask 中签署一切内容;
2. 花点时间了解你所签署的内容;
3. 对传统的批准事项要格外小心。
区块律动BlockBeats
媒体专栏
阅读更多
金色早8点
Bress
链捕手
财经法学
PANews
成都链安
Odaily星球日报
原文标题:《Paradigm 关于基础层中立性的研究:制裁和审查对区块链基础设施的影响》(Base Layer Neutrality) 撰文:Rodrigo Seira,Amy Aixi Zhang,Dan Robinson 编译:Skypiea 2022 年 8 月 8 日。
你是否想过为生活加点料?不妨来IKEA“平行家宇宙”里,开启一场“解锁生活新可能”的旅行吧!8月16日-31日,IKEA在天猫超级品牌日上,打造了一个“平行家宇宙”.
“聚焦第十届中国创业者大会暨 Web3.0 青年创业者峰会,Web3.0 将迎来超级投资热”2022 年 9 月下旬,由北京创业科创科技中心主办的第十届中国创业者大会,将在郑州举行.
全球首个以古典音乐为依托的NFT平台KOLO.Market宣布将于2022年9月2日发布KOLO.Market 1.0,同时推出2款全新音乐NFT作品.
《科创板日报》记者注意到,虽然有政府层面在产业布局上大力支持,但包括互联网大厂在内的元宇宙“玩家”在元宇宙产品及布局进展并不如意.
文章作者:noxx 合并之后,区块建设者的皇室战役。距离合并仅有2周多时间,它将永远改变以太坊MEV的格局。区块建设者,一个在合并后的世界新实体,即将进入一个残酷的皇家战斗游戏.