作者:LoopyLu,星球日報Odaily
今日,跨鏈??DEX?聚合器TransitSwap遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超2100萬美元。
發現被盜后,TransitSwap技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前?TransitSwap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
此外,安全團隊PeckShield已確認黑客資金流向。
與此前被盜項事件不同的是,TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗,也再一次向我們明確了加密市場“黑暗森林”的恐怖法則,即使是錢包背書的便捷“閃兌”服務,依然存在被盜隱患。
前1000以太坊巨鯨過去24小時加倉前10Token排名,SAND躍升至第五:金色財經報道,據whalestats.com數據,前1000以太坊巨鯨地址在過去24小時加倉前10Token中,ETH排第四,SAND躍升至第五,AAVE排第六。[2022/3/27 14:20:14]
什么是閃兌?
目前,幾乎所有錢包都嵌入了?DeFi?功能,而一些錢包出于易用性的考量,更是創造了“閃兌”這一概念并加以應用。
所謂閃兌,即和錢包深度整合,在產品中擁有更明顯的獨立入口、更簡化的操作流程,更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如,“Approve”操作通常被簡單的一鍵式集成在交易流程中,用戶幾乎是無感的。
或是因錢包內置集成,用戶對其天然更具信任,也一定程度降低了防范意識。但究其本質,無外乎是錢包app集成的一款DEX,與其他DEX并無差異。這也給本次安全事件留下了隱患。
Balancer計劃參考veCRV推出veBAL Token經濟模型:2月7日消息,去中心化交易平臺 Balancer 計劃參考 CRV 被鎖定到 veCRV 中的機制設計,推出 veBAL Token 經濟模型,主要包括 veBAL 和治理權、新的 BAL 通脹時間表、鏈上計量系統(用于確定流動性挖礦分布)等。其中 80/20 BAL/ETH 池的 BPT(Balancer 資金池的流動性代幣憑證)將被鎖定到 veBAL 中,任何人都可以將 80/20 BAL/ETH 池的 BPT 鎖定 1 周到 1 年之間的任何時間段而獲得對應的 veBAL,veBAL 可投票決定每個流動性池的獎勵份額,且協議費收取者收取的協議收入的 75% 將分發給 veBAL 持有者。另外 25% 的費用將由 DAO 財務部門作為儲備金保留。[2022/2/8 9:36:27]
合約授權潛藏了多少風險?
分析 | TokenInsight:BTC 人氣熱度回暖 但市場總體流量依舊萎靡:據 TokenInsight 數據顯示,反映區塊鏈行業整體表現的 TI 指數北京時間 10 月 21 日 8 時報 597.59 點,較昨日同期上漲 4.11 點,漲幅為 0.69%。此外,在 TokenInsight 密切關注的 21 個細分行業板塊中,24 小時內漲幅最高的為數據存儲版塊,漲幅為 6.85%;24 小時內跌幅最高的為通訊版塊,跌幅為 6.88%。
另據監測顯示,BTC 人氣熱度回暖至 0.0759,全網交易額同比上周上升 31.63%。BCtrend 分析師 Jeffrey 認為,BTC 人氣雖有企穩,但市場總體流量依舊萎靡,價格蓄力上升尚需時日。[2018/10/21]
“沒有人可以強行拿走你的加密資產”,是投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有,沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時,DEX是如何將一種資產拿走再轉移給你另一種資產的?
分析 | TokenInsight:BTC 人氣熱度小幅下挫 開啟新一輪下跌:據 TokenInsight 數據顯示,反映區塊鏈行業整體表現的TI指數北京時間9月9日9時報551.18點,較昨日同期下跌30.94點,跌幅5.32%。通用平臺指數TIG報361.77點,較昨日同期下跌43.56點,跌幅10.75%。另據監測顯示, BTC人氣熱度較昨日小幅下挫至0.0687%(昨日0.0777%,上周0.071%),流量再次上漲,較昨日上升12%,轉賬數較上周均值上升5.1%。
BCtrend分析師 Jeffrey 認為,BTC 算力增速減緩,大礦主拋售壓力減弱,BTC下跌勢頭減緩。
技術分析方面,獨立分析師 Tommy Albert 認為, BTC 開啟新一輪下跌,請投資者留意風險。[2018/9/9]
授權就成為了這一切的關鍵。用戶于DEX出售資產之前,需先執行“Approve”操作,這一操作之后合約便擁有了動用用戶某種代幣的權限。
現場|Hotnode首次亮相 解決新投資邏輯下token fund痛點:金色財經6月27日現場報道,在節點資本(Node Capital)全球見面會美國硅谷站上,Hotnode首次亮相。Hotnode CEO Andy Wang分享了Hotnode的任務與愿景,他說:當前區塊鏈投資一級市場和二級市場都出現了爆炸性增長,然而在這個新的市場和邏輯下,超過90%的token fund遇到新的痛點。Hotnode將解決Token Fund包括投資過程困惑、管理低效、過程監督缺乏專業性、沒有退出策略、無法處理大量投資的眾多痛點。
Andy Wang說,Hotnode的推出將從“募、投、管、退”四個重要投資過程入手,讓Token Fund變得更加智能,成為下一代Token Fund的數字資產管理平臺。目前Hotnode已經發布了4個版本,25個風險投資機構成為其用戶。 Andy Wang表示,作為一名前騰訊產品經理及前華興資本首個產品經理,他將繼續致力于研發這一區塊鏈產業獨具開創性的平臺。[2018/6/28]
或者描述的更加直白一些:只要你做了授權,無需打開錢包、無需執行操作、無需私鑰,該合約就可以不經你的許可,支配你授權的資產。這是由以太坊的機制和授權模型所決定的,與項目方的道德操守、安全規范、代碼審計都并無審核關系。
審計=安全?
即使授權之后合約擁有轉移加密資產的能力,但這種能力只在合理的范圍內使用,這依然是安全的。而如果經過可信安全機構審計,是否即表示這種能力不會被濫用,只在用戶進行交易時轉走交易額的必要資產?
靜態來看,這一邏輯是成立的。就如同?Uniswap??盡管擁有隨時將用戶錢包清空的能力,但并不會真的這么做一樣。但動態來看,這一邏輯依然是危險的。
現代軟件開發,升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中,擁有Transparent和UUPS兩種升級方法,借助于這兩個功能,合約代理和升級幾乎是業界合約的標配。
項目方是如何進行合約升級的呢?通常,用戶所訪問的合約并非直接運行業務邏輯的核心合約,而是一個“代理合約”,代理合約接收到用戶請求之后將其轉發到核心的業務合約,再由業務合約進行處理。而合約升級即是更改簡單來說,智能合約盡管不可修改,但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。
而即便是最安全的合約,只要進行“合約升級”,其業務合約就已發生變化,此前的審計報告也淪為了一張廢紙。
簡單來說,今天你所交互的合約是安全的,但明天訪問同樣的這個項目,可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。
無限授權有多危險?
所幸的是,授權并不代表用戶隨時暴露于錢包清空的危險中下。授權機制還有一個重要規則即是授權是含有數量的。用戶“Approve”合約一定數量的代幣,合約最多只能動用這些數量,即使是錢包里該代幣數量再多,合約也已無法動用。
但危險的是,大多數DeFi合約都在無所顧忌索取用戶的“無限授權”,即在默認情況下,用戶所Approve的代幣數量為無限。
一個典型的“無限授權”操作,授權金額高達10的59次冪數量級
用戶如何防范?
沒有授權就沒有安全隱患。在執行鏈上操作之時,如需執行Approve操作,用戶應遵循“用多少、授多少”的原則。如果我只需賣出1000TOKEN,那即應手動修改Approve金額為1000。在計算合約轉移金額時是累積的,即若只授權1000、本次金額恰好交易了1000,合約授權額度恰好已耗盡。即使日后合約出現安全風險,也已無法再從用戶錢包中轉移走任何資產。
用戶可手動修改授權金額
而對已經授權的用戶來說,還可發起取消授權操作。
常用取消授權網站如下:
1.Dappstar:https://tac.dappstar.io/#/
2.Revoke:https://revoke.cash/
3.Approved.zone:https://approved.zone/
4.?RabbyWallet?
此外,一些區塊鏈瀏覽器也支持用戶查看并取消授權。
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
DeFi被盜,誰的責任?
“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責于用戶的安全意識嗎?
在此類事件中,DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。
至今,仍有多少加密用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。
DeFi濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的田亮資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。
被盜事件發生后,神魚就已在推特做出呼吁,“呼吁一下項目方規范使用授權功能,用多少授權多少,不要無限授權,大家都放心。”
去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎?“保護你的資產,沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立,需要的不是復雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要行業里每一個參與者共同的努力。
Tags:TOKENTOKTOKEKENBitcoin TokenCipher Core TokenBxmi TokenKols Offering Token
作者:SuiWorld 原文:《為何Move語言對鏈游別具價值?|Sui聯創KohKim》編譯:萬象,MystenLabs本篇文章來自MystenLabs生態系統負責人KohKim的線上AMA.
1900/1/1 0:00:00作者:einpresswireSnoopDogg(Dr.Bombay)與CordellBroadus(ChampMedici)將在新加坡線下畫廊第一次向世人展示其NFT藝術收藏.
1900/1/1 0:00:00鏈捕手消息,根據前投資銀行家和天使投資人SimonDixon公布的細節,加密貨幣交易所FTX、幣安和CrossTower正在競標收購VoyagerDigital的破產資產.
1900/1/1 0:00:00鏈捕手消息,據TheBlock報道,美國商品期貨交易委員會在美國加利福尼亞州北區地方法院對OokiDAO提起訴訟,并對OokiDAO處以25萬美元罰款.
1900/1/1 0:00:00作者:longcrypto,DeFi之道9月8日,數字資產管理平臺Safe?發起社區挑戰,成功舉報空投獵人的用戶可獲得被舉報者25%的SAFE,剩余的75%將分配給其他所有符合條件的人.
1900/1/1 0:00:00撰文:237,老雅痞 在市場整體走熊的背景下,相對于廣泛參與投資活動,Web3從業人員開始更加傾向于從事基礎設施的開發工作以及下輪牛市的整體布局.
1900/1/1 0:00:00