以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

EFI:ERC20 無限授權 方便自己也方便黑客 有沒有解決方案?

Author:

Time:1900/1/1 0:00:00

隨著 DeFi 的火爆,一般的區塊鏈老手用戶肯定不止一次對 DeFi 項目進行授權了,每當使用一個新的 DApp,都需要授權這個 DApp 花費你的代幣。除了流程繁瑣之外,每次授權都還要支付不菲的手續費。很多用戶為了省錢省事,每次授權都是提供無限期授權,結果不知道哪天,突然發現自己的錢被人轉走了,而原因并不是因為私鑰被盜,而是因為圖方便給 DeFi 合約進行了無限授權,為什么會有無限授權?有沒有解決方案?

為什么要有 ERC20 授權?

有了以太坊上的原生代幣 ETH,你就可以將 ETH 發送至該智能合約,同時調用智能合約功能。這是通過所謂的可支付函數(payable funtion)實現的。但是,由于 ERC20 代幣本身就是智能合約,以太坊無法通過直接將智能合約代幣發送到智能合約來調用其函數。原因是這個轉賬是在 ERC20 代幣合約上發生的,不在 DeFi 合約。

Mercado Libre通過數字錢包Mercado Pago在智利啟用加密貨幣交易:金色財經報道,拉丁美洲最大的電子商務公司Mercado Libre已通過其數字錢包Mercado Pago在智利啟用加密貨幣交易。智利Mercado Pago的用戶現在可以用最低50智利比索(相當于0.063美元)交易比特幣和以太坊。Mercado Pago與拉丁美洲加密貨幣公司Ripio合作提供交易功能。該公司此前于2021年12月在巴西啟用了加密貨幣交易,并于次年在墨西哥推出了相同的服務。Mercado Libre的金融科技主管Osvaldo Gimenez稱,自2021年12月以來,超過200萬用戶在巴西的Mercado Pago上進行了加密貨幣交易,而在墨西哥推出該功能后的第一個月,就有超過15萬用戶進行了交易。[2023/3/30 13:34:12]

那么如果想要合約來調用 ERC20 應該怎么辦?ERC20 標準中,提供了一個讓智能合約使用 transferFrom() 函數代表用戶轉移代幣的方案。為了激活這個功能,需要用戶授權智能合約轉移代幣的權限。

ERC20比特幣數量已占比特幣流通供應量1.3%:6月8日,TheBlock數據顯示,已有240,000枚比特幣被打包轉移至以太坊,占比特幣現流通供應量的1.3%(最終總供應量的1.1%)。今年以來,有10萬枚比特幣遷移至以太坊,這個數字依然在增長。其中,WrappedBitcoin(WBTC)占據了比特幣錨定幣總量的80%,比特幣現流通供應量的1%。[2021/6/8 23:21:52]

授權后,用戶就可以將代幣“存入”智能合約,進行 DeFi 應用的使用了。

比如,用戶將 USDT “存入” Aave 來賺取利息,首先需要授權 Aave 合約可以從用戶的錢包中取出 USDT。然后再調用 Aave 合約函數,指定想要存入 USDT 的數量。然后,Aave 合約使用 transferFrom() 函數從你的錢包中取出相應數量的 USDT 完成轉賬。

由于GAS費用飆升,Liquid暫時停止ERC-20和ETH提款:官方消息,Liquid表示,由于GAS費用飆升,暫時停止了ERC-20和ETH的提款。GAS費用恢復到正常水平,服務就會恢復。所有其他加密貨幣均正常運行。[2021/2/4 18:54:46]

無限 ERC20 授權的問題

授權使用 DeFi 時,你就可以選擇將這個幣種單次授權,即僅同意本次轉賬,或者進行無限授權,讓合約能夠在未來不限次的有權操作你錢包內的這種代幣。

在目前 DeFi 依托的以太坊網絡底層不完善的前提下,對 DeFi 合約進行無限授權,是能有有效提高 DeFi 使用體驗的一種方式。避免了每次使用前都要進行授權的麻煩,以及每次交易前授權造成的 GAS 消耗。設置無限授權后,用戶只需要同意一次,之后存款時就不會再重復這一過程。

動態 | 支付服務提供商Mercury FX使用xRapid成功節省手續費及交易時間:據Coinpost消息,此前加入瑞波網絡的支付服務提供商Mercury FX于18日在官方推特上表示,其利用xRapid從英國到莫斯科轉賬3521.67英鎊(約3萬元)僅用了幾秒完成。據悉,此次匯款方食品公司Mustard Foods在匯款中節省79.17英鎊(696元)的手續費,并縮短了31小時的交易時間。[2019/1/18]

但是,該設置存在很大的弊端。因為用戶授予的,不僅僅是操作轉入合約部分代幣的權利,而是這個錢包中這個代幣的支配權。

也就是說一旦合約留有后門,或者遭到黑客攻擊,那么不僅是存入 DeFi 項目中的代幣,我們自身錢包里的相應代幣也將受到威脅。而由于這個授權是由自身私鑰簽名授權的,因此一旦遭到攻擊,即便使用冷錢包,也不能防止自身財產被盜。

怎樣防范風險?

1. 對于不交易的持倉資產可以選擇取消授權

現在 DeFi 項目如同雨后春筍,不知不覺可能就會授權很多項目,這就加大了被盜風險,我們可以在 DeBank 上通過查詢自身錢包地址的方式,查詢授權的合約,然后及時取消高風險項目的授權。

2. 分號使用,交易完及時轉出資產

即便是再靠譜的項目,也都存在被攻擊的可能,因此,不要把雞蛋放到同一個籃子里更加重要。

3. 考慮其他項目

既然以太坊底層無法改變,那么其他擁有靈活底層的公鏈,就成為了后續可以關注的對象。

比如推出了多原生代幣功能的 QuarkChain。在 QuarkChain 主網中,多原生代幣 (Multinative token) 在 QuarkChain 系統中和 QKC 基本是一樣的地位,可以調用合約、跨鏈、在滿足某些情況的條件下可以支付交易手續費,除了不能參與 QKC 網絡治理,原生代幣可以實現 QKC 所有的功能,包括跨鏈轉賬。大部分 Defi 面臨的非原生資產不便利性問題都可以解決。而未來合約中,原生代幣的功能,將做到和 QKC 完全一致,消除多原生代幣應用的最后一層障礙。也就是說不需要授權,也就避免了無限授權的問題。

結語

代幣授權存在很大的安全隱患。如果我們想要改善密碼學貨幣應用的用戶體驗和安全性,我們顯然需要改進代幣授權功能。目前,最有潛力的就是多原生代幣功能從底層解決授權問題帶來的安全風險,不過目前 QuarkChain 公鏈上 DeFi 項目仍然較少,相信后續會有更大的爆發。

Tags:EFIDEFDEFIMERC去中心化金融defi是干什么的defi幣官網DeFiChainCommercium

狗狗幣最新價格
Merlin:Merlin Labs 遭攻擊 會是一起內部作案嗎?

6 月 28 日,收益聚合器 Merlin Lab 遭到黑客攻擊。PeckShield「派盾」安全人員定位發現,收益聚合器 Merlin Lab 遭到黑客攻擊源于 MerlinStrategyA.

1900/1/1 0:00:00
BTC:6月份數據報告:大多數指標嚴重下降 穩定幣發行量卻創歷史記錄

7月2日,The Block Research團隊公布了6月份加密貨幣行業的數據圖表報告。總體而言,加密貨幣行業的各項數據指標在6月份都出現了大幅下降,包括鏈上交易總量,礦工收入,CEX現貨交易.

1900/1/1 0:00:00
BUND:Flashbots的MEV競拍是最優的嗎?

由 Flashbots 開創的MEV競拍服務已受到了礦工們的歡迎,那么這種競拍是否是最優的呢?注:原文作者是斯坦福大學電氣工程博士Guillermo Angeris.

1900/1/1 0:00:00
BSP:區塊鏈游戲發展報告:繁榮增長

2021 年第一季度是市場上許多已上線游戲項目和仍在開發中的游戲項目的建設和擴展時期。各種各樣的項目都把重點放在了側鏈和 Layer2 解決方案,而不是以太坊,如 Polygon 和 Immut.

1900/1/1 0:00:00
比特幣:加密福音:超級周期理論

這是一個引人入勝的想法,可以讓我們在短時間內討論深不可測的財富創造。我們所面臨的變化和增長的規模之大令人難以理解。簡單地說,這是自17世紀以來最大的增長趨勢.

1900/1/1 0:00:00
ALL:不斷進擊的以太坊:EIP-1559 之后的 EIP-3074

?? Ropsten 測試網已于 6 月 24 日上線,區塊高度為 10,499,401。?? 自部署以來,約有 88,500 個測試網以太坊被燒毀,價值 1.776 億美元.

1900/1/1 0:00:00
ads