以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

NBS:「不授權」到底安全嗎:Move背后的設計思想

Author:

Time:1900/1/1 0:00:00

最近關于用戶和 Move 智能合約交互,不需要授權 (Approve) 是更安全還是更不安全的爭論很多,這里嘗試用通俗的方式來解釋一下二者背后的區別以及 Move 這樣設計背后的思想。  

我們先理解一下用戶和智能合約交互的方式。當我們簽了一個交易,去調用一個鏈上的智能合約,就好比從物理世界進入了一個智能合約的數字世界,我們在這個數字世界有一個分身,而這個分身做什么,是智能合約定義的。  

在 EVM 中,每個合約都相當于一個獨立的小世界,分身進入這個世界后,只能操作用戶在當前合約世界中的狀態(資產)。  

比如進入 swap 世界,想用自己的 usdt 交換其他資產,而 usdt 存在定義 usdt 的那個合約世界,沒辦法直接在 swap 中以自己的身份從 usdt 合約里提取資產。于是用戶只能先去 usdt 的合約世界執行 approve,告訴 usdt 的合約,swap 可以代自己提取自己的資產,然后再進入 swap 世界進行操作。  

數據:某鯨魚在過去5天共花費421枚ETH購買2643萬枚OX:7月18日消息,據Lookonchain監測,某鯨魚在過去5天,總共花費421枚ETH,以平均0.031美元的價格購買2643萬枚OX。

據悉,該鯨魚目前持有1.4億枚OX(價值約570萬美元),其中1億枚被鎖定,3000萬枚OX在流動性池中,1000萬枚在錢包中。[2023/7/18 11:01:39]

操作完成之后,再去 usdt 那邊取消授權(revoke)。但這里的 approve 和 revoke 操作都需要獨立的交易,用戶往往為了節省 gas 費用,不進行 revoke,結果如果 swap 合約出安全問題,用戶的資產就可能在不知情的情況下被盜取。  

紅杉資本合伙人:若再次評估FTX還會做出同樣投資決定,對加密概念仍感興趣:6月23日消息,雖然FTX先已破產,但紅杉資本合伙人Alfred Lin在彭博技術峰會上表示,通過用15種不同方式審視此前所做的工作,如果紅杉資本再次評估加密貨幣交易所FTX,可能仍會做出同樣的投資決定。Alfred Lin補充稱,紅杉資本在FTX上損失的1.15億美元投資僅占其全球增長基金的2%至3%,而且該風投公司依然對加密貨幣概念非常有興趣。[2023/6/23 21:56:10]

而在 Move 中,所有的合約都在一個大的數字世界運行。用戶的數字分身可以自由的在合約間移動,執行任何操作,同時用戶的狀態(資產)存在用戶自己的存儲空間。  

用戶從 swap 入口進入,從自己的余額提取 usdt,交換,存儲可以在同一個交易里原子化完成。這種模式給合約帶來更自由的組合模式,可以玩出很多 EVM 上很難實現的組合玩法,這也是 EVM 上的賬戶抽象方案想實現的模式。當然,這也帶來了新的安全挑戰。  

Giddy允許Polygon用戶使用USDC支付Gas費:金色財經報道,加密錢包公司Giddy正在回避Polygon用戶持有該區塊鏈的原生MATIC代幣以支付交易費用的需要。Giddy周四表示,Polygon用戶可以使用USDC穩定幣支付Gas費。Giddy的新功能說明了加密錢包之間爭奪新用戶份額的斗爭。

周三,0x公布了一個交易中繼API,允許Polygon和Ethereum錢包用于支付而無需持有各自的原生gas代幣。Robinhood已經注冊了API,凸顯了對無摩擦支付體驗的日益激烈的競爭。[2023/3/3 12:39:26]

那 EVM 中能否直接增加一個特性,讓合約間的調用可以把用戶身份直接帶過去?這個技術上是可以實現的,但 EVM 中支持動態調用,可以調用任意地址的合約,讓這種操作的風險變的很難度量,同時 EVM 的狀態變更對用戶和錢包都不友好,錢包很難通過狀態變化對用戶進行提示。  

數據:USDC上周流通量跌至427億美元:金色財經報道,據Circle官網顯示,12月1日至12月8日期間共發行約27億美元USDC,贖回約30億美元USDC,單周流通供應量減少約3億美元。截至12月8日,USDC流通供應量已跌至427億美元。[2022/12/12 21:39:46]

而 Move 中解決這個安全挑戰有兩個方法: 

1. 在預執行合約的時候把合約執行后的狀態變更提示給用戶,讓用戶可以知道這個交易操作了自己的哪些重要資產,以及執行后的結果。這個方法 StarMask 中已經實現,參看鏈接以及附圖 https://starcoin.medium.com/starmask-v4-6-

2. 可能有部分合約可以通過設置條件,讓一部分用戶預執行的時候無法發現狀態變更。@0xmetazen 的分析 https://twitter.com/0xmetazen/status/1582581013972414465 ,但 Move 中沒有動態調用,合約在部署時,它的執行邏輯就是確定的。可以通過靜態分析字節碼,得到合約所有可能路徑上操作的狀態,在區塊瀏覽器或錢包里提示給用戶。  

EVM 和 Move 的兩種方案,帶來的安全風險是不一樣的。Approve 方案的安全風險是把一個即時的授權變為長期授權,它的風險不是立刻發生的,比如合約漏洞未被發現或者惡意合約放長線釣大魚。而一旦發生,用戶往往很被動,很多用戶可能都忘記授權過哪些合約了。 

而 Move 的方案給了合約更大的自由權,遇到惡意合約會有較大風險,但這種風險是即刻發生的,是可以通過技術手段來檢測的。最壞的情況,至少前面沖的快到人趟坑了,可以給后面的人警示,惡意合約會快速暴露出來。

最后,世上沒有銀彈,不可能靠用了某種技術就解決了所有安全問題,需要鏈,工具,用戶一起努力。 

對 Move 用戶的安全建議: 

1. 選用狀態變更提示更完備的錢包,并嘗試理解錢包的提示。 

2. 不要隨意和來源未知或未開源的 DApp 交互。 

3. 如果做不到上面兩點,可以等別人先趟一下坑。

Move 在安全方面的挑戰以及改進方案不僅僅是這些,我會在《為什么是 Move》系列的安全篇里詳述,想了解的朋友可以關注一下。  

區塊律動BlockBeats

媒體專欄

閱讀更多

金色早8點

金色財經

1435Crypto

吳說區塊鏈

blockin

比推 Bitpush News

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags:BSPNBSUSDMOVBSPNetworknbs幣官網VUSDmove幣怎么停了

歐易交易所app下載
HYPE:金色觀察 | Pantera合伙人:鏈間消息傳遞協議Hyperlane解讀

文/Paul Veradittakit, Pantera  Capital合伙人;譯/金色財經xiaozou多鏈生態系統正在成為加密行業的未來.

1900/1/1 0:00:00
DEFI:摩根大通首次執行 DeFi 交易 都做了什么?

原文作者:摩根大通 Blockchain Launch 主管 Ty Lobban原文編譯:0x214,BlockBeats10 月 19 日.

1900/1/1 0:00:00
USD:解析新型空投騙局:警惕相同尾號偽裝地址

作者:Lisa 原文:《慢霧:警惕相同尾號空投騙局》本文主要介紹了騙子利用用戶復制交易記錄中過往地址的這個習慣,生成相同尾號的地址作為偽裝地址,并利用偽裝地址向用戶不斷空投小額的 Token.

1900/1/1 0:00:00
NFT:Bankless:淺析 NFT 游戲設計中的挑戰和機會

原文作者:William M. Peaster,來源:Bankless目前 NFT 游戲領域正在發生大量的開發活動。 但是開發工作呢?進行得很困難.

1900/1/1 0:00:00
TEL:元宇宙至少需要1萬倍算力?

元宇宙至少需要1萬倍算力?理想的元宇宙在算力上,比現在至少要提升多少倍?感覺一直以來都是個迷。先說一下本文的答案,至少1萬倍(云邊端融為一體,在IDC內,評估總算力;保守估計):下面我先引述一下.

1900/1/1 0:00:00
李鳴: 元宇宙不是互聯網的三維化

自去年以來,元宇宙成為資本圈和科技圈的熱點話題。基于“元宇宙”拓展現實、虛實交互、數字孿生等特性,其與XR(VR、AR、MR)、大數據、人工智能、區塊鏈等互聯網前沿技術密切相關.

1900/1/1 0:00:00
ads