链资讯 链资讯
Ctrl+D收藏链资讯

RC2:ERC20无限授权方便自己也方便黑客 有没有解决方案?_RAN

作者:

时间:

随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了。而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有ERC20授权?

有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。

MetaMask新版本支持发送ERC-721代币:4月5日消息,MetaMask宣布在最新版本的扩展中,只要启用自动NFT检测,所有ERC-721和1155代币都会出现。通过此更新,用户可以发送ERC-721代币,将很快添加发送ERC-1155代币的功能。[2023/4/5 13:44:47]

那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。

GaryVaynerchuk宣布VaynerNFT更名为Vayner3:7月17日消息,NFT 项目VeeFriends创始人Gary Vaynerchuk宣布,他的公司 VaynerNFT 将正式更名为 Vayner3,其团队也将会把业务逐渐拓展到更广泛的 Web3 领域,而不是仅局限于 NFT。

VaynerNFT 成立于 2021 年 7 月,隶属于 VaynerX,在过去的一年里,他们推出了多个 NFT 项目,随着行业和机会的增长,这家由 GaryVee 领导的公司扩大了产品范围,以满足整个 Web3 行业不断增长的需求,在新品牌下,该公司将专注于指导世界领先企业和知识产权所有者进行下一次消费者行为迭代,目前其合作伙伴包括威、百事可乐、美国公开赛、Coinbase 等。

据 NFTGo.io 数据显示,截至目前 VeeFriends NFT 系列市值达到 1.9385 亿美元,地板价为 7.95 ETH。(NFTevening)[2022/7/17 2:18:30]

比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

分析 | 以太坊算力和活跃地址数小幅滑落 ERC20代币总市值占比有所抬头:据TokenGazer数据分析显示,截止至6月4日11时,以太坊价格为$249.46,总市值为$26,534.43M,主流交易所交易量约为$407.68M,对比特币汇率保持平稳波动;大概率受比特币下挫影响,以太坊早间价格也有一定下滑;基本面方面,以太坊链上交易量保持相对上涨的趋势,算力和活跃地址数有一定滑落;搜索方面,以太坊的搜索热度逐渐下滑;目前ERC20代币总市值约为以太坊总市值的59.02%,ERC20总市值占比有一定回升;在ERC20活跃地址数方面,排名前五的代币为CRO、USDC、LBA、DAI、TUSD。[2019/6/4]

无限ERC20授权的问题

IMEOS向《硅谷》爱好者piedpipercoin公众号致歉:今日IMEOS发布一则关于Pied Pipper公众号系伪造的快讯实属编辑有误。IMEOS表示:“IMEOS编辑团队是资深的美剧《硅谷》爱好者,其编辑也是字幕组的成员,本着热爱Pied Pipper担心市场出现钓鱼、欺诈行为,在看到相关公众号后,所以向Twitter Pied Pipper 询问,结果出现疏忽,误伤友军。该公众号实际一个自发的民间社区HBO粉丝+区块链爱好者。由来自翻译学、软件工程、市场营销等多个专业。组成了这样一个非官方、公益性质的社区账号。为了PiedPiper能变成一个真正的项目。IMEOS将积极报道piedpipercoin公众号的进展,希望能弥补其带来的损失。”[2018/5/13]

授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2.分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发

标签:RC2APPRAN区块链ERC20中国数字app下载官网VNX Swiss Franc区块链是局吗

火币APP下载热门资讯
ROOT:如何把握波卡生态前沿发展情况及新的机遇?_APR

波卡生态观察,是我们针对Polkadot生态内的项目,以不同生态位的视角来观察和分析的一个专题栏目.

AUTH:不断进击的以太坊:EIP-1559 之后的 EIP-3074_SUBS价格

??Ropsten测试网已于6月24日上线,区块高度为10,499,401。???自部署以来,约有88,500个测试网以太坊被烧毁,价值1.776亿美元.

数字人:深入线下出行 数字人民币还有哪些新可能?_APP

数字人民币热度仍在持续中。7月4日,北京商报记者注意到,“成都再发数字人民币礼包”登上微博热搜榜,此前,成都“绿色出行低碳一夏”活动开启报名通道.

DEX:HDEX:实现币核生态Cex和Dex融合_HawkDex

在DeFi浪潮中,最引人瞩目,最能价值捕获的赛道无疑是Dex。据DeBank的数据显示,2021年5月19日,Dex最高日交易量高达210.73亿美元.

数字人:北京商报:300岁圆明园遇上数字人民币_COM

继城市副中心的健身房、朝阳区的菜市场之后,北京商报记者的数字人民币探店之旅来到了北京市海淀区。“万园之园”圆明园内所有商店均支持数字人民币支付,电子产品发烧友集聚在小米之家线下商城也体验了一把数.

DEX:从 Aave 到 Yearn:一文梳理 DeFi 中的「蓝筹股」_DEFI

在传统的股票市场中,“蓝筹股”是指家喻户晓的股票,它们的财务状况良好,长期回报稳定,即便是在低迷时期也是如此.