比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

TOKE:TokenPocket閃兌服務商被盜,快檢查你開通了多少“無限授權”_KEN

Author:

Time:1900/1/1 0:00:00

今日,跨鏈DEX聚合器TransitSwap遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超2300萬美元。發現被盜后,TransitSwap技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前TransitSwap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。慢霧分析,此次攻擊的主要原因在于TransitSwap協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題。具體而言,路由合約本身沒有對transferFrom參數進行任何限制、也并未對解析后的兌換合約地址與調用數據進行檢查。攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷,通過路由代理合約傳入構造后的數據調用路由橋合約的callBytes函數,實現了竊取所有對權限管理合約進行授權的用戶的代幣。目前黑客已將2500BNB轉移到TornadoCash,剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現,黑客存在從LATOKEN等平臺存提款的痕跡。此外,安全團隊PeckShield已確認黑客資金流向。

Evmos域名服務Evmos Domains宣布其總量40%的Token將用于空投:據官方消息,Evmos域名服務Evmos Domains宣布該項目已進入路線圖1.0的最后階段,Evmos Domains將啟動其實用程序、國庫以及治理Token “EVD”。此外,Evmos Domains同時公布了該項目的空投計劃,快照日期定為9月28日。

據悉,EVD總量為1000萬枚,其中40%將在為期6個月的空投時間中,分三次以上空投給復合標準的用戶地址,40%將存至Diffusion Finance進行2年以上的收益挖礦,其余20%將存入國庫。全部空投Token中,40%將空投給Evmos Domains域名持有者,20%給注冊者和早期用戶,10%給Evmos Domains開發團隊,10%給予ORBITAL APES生態系統用戶,10%給EVMOS、ATOM和OSMO質押者,10%給測試網用戶、貢獻者和Discord成員。[2022/9/10 13:21:45]

Tokens.com收購Playte Group以擴展其在非洲的P2E游戲:金色財經報道,數字資產上市公司Token.com已成功收購游戲軟件提供商Plate Group,以擴大其在非洲的游戲業務。Plate Group是一家致力于開發P2E的公司,收購金額未公開。Token.com將把Playte整合到其子公司Hulk Labs中,以管理非洲的游戲網絡。考慮到此次收購,Token.com將發行100萬股。(cryptonewmedia)[2022/7/19 2:23:24]

與此前被盜項事件不同的是,TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗,也再一次向我們明確了加密市場“黑暗森林”的恐怖法則,即使是錢包背書的便捷“閃兌”服務,依然存在被盜隱患。什么是閃兌?

目前,幾乎所有錢包都嵌入了DeFi功能,而一些錢包出于易用性的考量,更是創造了“閃兌”這一概念并加以應用。所謂閃兌,即和錢包深度整合,在產品中擁有更明顯的獨立入口、更簡化的操作流程,更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如,“Approve”操作通常被簡單的一鍵式集成在交易流程中,用戶幾乎是無感的。或是因錢包內置集成,用戶對其天然更具信任,也一定程度降低了防范意識。但究其本質,無外乎是錢包app集成的一款DEX,與其他DEX并無差異。這也給本次安全事件留下了隱患。

TokenPocket錢包正式支持IOST NFT資產:近日,去中心化通用數字錢包TokenPocket正式支持IOST NFT資產。用戶可通過TokenPocket錢包,查詢自己的IOST鏈上NFT資產,并進行轉賬。目前TP錢包已支持IOST鏈上DApp XPET怪獸世界的NFT寵物以及IOST官方鏈上NFT徽章(2020年度全球市場活動的NFT徽章)。據悉,TokenPocket是領先的數字貨幣錢包,已為數百萬用戶提供可信賴的數字貨幣資產管理服務。詳情見原文鏈接。[2020/6/3]

合約授權潛藏了多少風險?

“沒有人可以強行拿走你的加密資產”,是投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有,沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時,DEX是如何將一種資產拿走再轉移給你另一種資產的?授權就成為了這一切的關鍵。用戶于DEX出售資產之前,需先執行“Approve”操作,這一操作之后合約便擁有了動用用戶某種代幣的權限。或者描述的更加直白一些:只要你做了授權,無需打開錢包、無需執行操作、無需私鑰,該合約就可以不經你的許可,支配你授權的資產。這是由以太坊的機制和授權模型所決定的,與項目方的道德操守、安全規范、代碼審計都并無任何關系。

分析 | TokenInsight:BCH算力戰36小時雙方浪費算力折合BTC 326.97枚:北京時間 2018 月 11 月 16?日 2:02,BCH 算力戰正式打響。36 小時過后,TokenInsight 根據兩方投入算力計算,BCHABC 陣營挖出 BCHABC 數量約折合 BTC 133.71 枚,通過相應的算力直接挖取 BTC,則可挖 321.28 枚,浪費算力折合 BTC 187.57 枚。BCHSV 陣營挖出 BCHSV 數量約折合 BTC 71.88 枚,通過相應的算力直接挖取 BTC,則可挖 211.28 枚,浪費算力折合 BTC 139.4 枚。雙方浪費算力共計折合BTC 326.97枚。[2018/11/17]

審計=安全?

即使授權之后合約擁有轉移加密資產的能力,但這種能力只在合理的范圍內使用,這依然是安全的。而如果經過可信安全機構審計,是否即表示這種能力不會被濫用,只在用戶進行交易時轉走交易額的必要資產?靜態來看,這一邏輯是成立的。就如同Uniswap盡管擁有隨時將用戶錢包清空的能力,但并不會真的這么做一樣。但動態來看,這一邏輯依然是危險的。現代軟件開發,升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中,擁有Transparent和UUPS兩種升級方法,借助于這兩個功能,合約代理和升級幾乎是業界合約的標配。項目方是如何進行合約升級的呢?通常,用戶所訪問的合約并非直接運行業務邏輯的核心合約,而是一個“代理合約”,代理合約接收到用戶請求之后將其轉發到核心的業務合約,再由業務合約進行處理。而合約升級即是更換掉最終轉發至的業務合約。簡單來說,智能合約盡管不可修改,但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。而即便是最安全的合約,只要進行“合約升級”,其業務合約就已發生變化,此前的審計報告也淪為了一張廢紙。簡單來說,今天你所交互的合約是安全的,但明天訪問同樣的這個項目,可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。

Bitcoin早期參與者Jeffrey Wernick:token之下,法幣只有靠武力和補貼才能生存:芝加哥大學經濟學與金融學博士,Bitcoin早期參與者,獨立投資人Jeffrey Wernick今日在三點鐘無眠區塊鏈表示,需要對token的經濟用途進行更多的思考,如果組織機構都成為去中心化組織(DAO),并且支付都以token和比特幣的形式進行,那么經濟活動將被重組,組織結構將迎來創新。貨幣、價值、資本結構都將被徹底改變。在目前的形式下,我絕對相信它們會與法定貨幣一起消失。法定貨幣只有靠武力和補貼才能生存。法定貨幣、銀行鈔票過去是以黃金作為后盾的。他們只對在銀行金庫中持有的黃金聲明所有權。現在的銀行鈔票只有部分準備金作為抵押,這只占銀行負債的一小部分。其余的“抵押品”是作為最后貸款人的中央銀行,以及國家的征稅權力。[2018/2/24]

無限授權有多危險?

所幸的是,授權并不代表用戶隨時暴露于錢包清空的危險中下。授權機制還有一個重要規則即是授權是含有數量的。用戶“Approve”合約一定數量的代幣,合約最多只能動用這些數量,即使是錢包里該代幣數量再多,合約也已無法動用。但危險的是,大多數DeFi合約都在無所顧忌索取用戶的“無限授權”,即在默認情況下,用戶所Approve的代幣數量為無限。

用戶如何防范?

沒有授權就沒有安全隱患。在執行鏈上操作之時,如需執行Approve操作,用戶應遵循“用多少、授多少”的原則。如果我只需賣出1000TOKEN,那即應手動修改Approve金額為1000。在計算合約轉移金額時是累積的,即若只授權1000、本次金額恰好交易了1000,合約授權額度恰好已耗盡。即使日后合約出現安全風險,也已無法再從用戶錢包中轉移走任何資產。

而對已經授權的用戶來說,還可發起取消授權操作。常用取消授權網站如下:1.Dappstar:https://tac.dappstar.io/#/2.Revoke:https://revoke.cash/3.Approved.zone:https://approved.zone/4.RabbyWallet此外,一些區塊鏈瀏覽器也支持用戶查看并取消授權。https://cn.etherscan.com/tokenapprovalcheckerhttps://bscscan.com/tokenapprovalchecker

DeFi被盜,誰的責任?

“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責于用戶的安全意識嗎?在此類事件中,DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。至今,仍有多少加密用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。DeFi濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的天量資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。被盜事件發生后,神魚就已在推特做出呼吁,“呼吁一下項目方規范使用授權功能,用多少授權多少,不要無限授權,大家都放心。”去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎?“保護你的資產,沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立,需要的不是復雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要行業里每一個參與者共同的努力。

Tags:TOKETOKENTOKKENKuCoin TokenFilecoin Standard Hashrate TokenTxbit TokenArsenal Fan Token

歐易交易所app官網下載
APT:Aptos理性分析:Move是亮點,但仍缺乏創新_MOV

隨著Aptos最近主網的發布以及它在Binance和其他加密貨幣交易平臺的代幣發布,現在正是對這個久負盛名的項目進行理性分析的最佳時機.

1900/1/1 0:00:00
RAM:代幣經濟學入門:評估加密貨幣的基礎知識_CON

在Web3時代,評估一個項目的代幣經濟模型是必不可少的環節。WhoknowsDAO翻譯了一系列精選長文,與讀者們一起深入淺出地學習代幣經濟學,從基本常識入門到實際應用進階,全面了解代幣經濟學如何.

1900/1/1 0:00:00
SUI:一文了解SUIA:Sui生態里首個POAP應用(附交互教程)_SUIA

SUI是由前Meta工程師打造的高性能公鏈,采用Move編程語言,專注于安全性、可擴展性和可升級性,目前,Sui開發團隊MystenLabs已經完成由FTXVentures領投的3億美元融資.

1900/1/1 0:00:00
WEB:鏈游賽道痛點解析:休閑破冰類游戲如何WEB3?_NGU

本系列長文的序: WLabs瓜田實驗室是從2022年4月開始著手撰寫第一個系列《鏈游經濟模型大揭秘》,截止現在已經完成了超過十萬字的三十多篇文章.

1900/1/1 0:00:00
NFT:Messari:社交代幣能否催化出下一個牛市?_DOGEWHALE

要點:吸引散戶的新型代幣分發機制可以催化牛市,而社交代幣就是這樣一種分發機制。由于可發現性、用戶體驗和應用層的問題,WHALE、ALEX和FWB等社交代幣過去未能催化出持續的牛市.

1900/1/1 0:00:00
THE:簡析以太坊最新路線圖:六大關鍵路線_POS

近日,Vitalik發布了以太坊的最新路線圖,在此前的五大關鍵路線的基礎上,新增了以解決交易審查和MEV風險為中心的關鍵路線TheScourge.

1900/1/1 0:00:00
ads