APP:代幣授權：密碼學貨幣行業用戶體驗的最大障礙

如果你是DeFi深度用戶，你肯定被這個繁瑣的流程折磨過無數次了。每當你使用一個新的dApp，你都需要授權這個dApp花費你的代幣。

Metamask?上的授權界面

跟傳統金融行業類比一下，這個流程有點類似于辦理直接借記，授權你的供電商每月從你的銀行賬戶上扣除電費。

但是，與密碼學貨幣行業不同的是，傳統金融行業的直接借記業務只面向少數可信公司。這類公司不太會欺騙消費者，即使偶爾發生欺騙消費者的行為，消費者也可以提出異議，由銀行充當調停者。密碼學貨幣行業沒有這類工具。一些dApp是由匿名開發者構建的，沒有為受騙用戶設立的爭議機制。一旦在區塊鏈上完成付款，就無法撤銷。

代幣授權是什么？它是如何運作的？

以太坊區塊鏈上的大多數代幣，如USDC和DAI，都采用ERC20標準。ERC20代幣實際上是智能合約，包含不同的方法，如transferFrom和burn。用戶調用這些方法，應用就會對代幣做相應的操作。

Linea：已成功處理所有待處理提款，代幣提取將按預計時長進行:7月31日消息，Linea發推稱，已成功處理所有待處理提款，代幣提取將按預計時長進行。

據此前報道，Linea于24日宣布，其主網Alpha版本開放以來，一周內橋接資產超2000萬美元，完成67萬筆交易，導致以太坊提款時間暫時增加。團隊正在努力加快從L2到L1橋接資產的交易。提款時間應逐漸減少，直到在接下來的幾天里達到8-32小時的目標，所有等待中的交易都將得到處理。[2023/7/31 16:09:43]

其中一種方法是approve。任何你想要使用的dApp都需要訪問你的ERC20代幣才能對其進行操作。例如，如果你想要在Aave中存入USDC，你首先需要授予AavedApp的智能合約訪問USDC的權限，然后才能通過第二筆交易將USDC存入Aave。你可以在你的以太坊錢包用戶界面上看到該授權。雖然授權可用量從理論上來說是靈活的，但是大多數dApp會默認要求無限量授權，以此簡化用戶體驗，并盡可能減少用戶使用該應用所需進行的交易次數。

Biconomy上線BICO及LP代幣質押以提高協議安全性:4月21日消息，多鏈基礎設施開發商Biconomy上線BICO及LP代幣質押以提高協議安全性，用戶可以選擇質押BICO或BICO在Balancer中的LP代幣（BBPT）來獲取收益，質押超過5000枚BICO或1500枚BBPT的用戶可以在20天內免去兩次轉賬的Gas費用。本次質押的代幣將用于在協議遭受損失時在二級市場賣出以彌補損失。質押者將獲得stk BICO或stk BBPT作為質押頭寸代幣，并且可以在21天之后進行轉賬等操作。質押開放兩小時內質押數量已達125萬枚BICO，目前質押的總量為146.7萬枚BICO。[2022/4/21 14:38:33]

這里存在的一個安全問題是，大多數用戶認為他們的授權是針對某個交易，而且是限量的，但是在大多數情況下，用戶實際上授予了dApp永久訪問他們持有的某種代幣的權限，而且是不限量的。因此，如果dApp出現安全問題或從一開始就是惡意的，攻擊者就可以將濫用這種授權來盜取dApp用戶持有的全部已授權代幣，而無需經過用戶同意。這種攻擊可以在將來的任意時刻發起，即使是在用戶使用過dApp的若干年后。

Coinbase Custody新增支持CEL、CRO等12種代幣:3月27日消息，據官方消息，Coinbase Custody近日已新增支持Celsius Network（CEL）、Cronos（CRO）、Holo（HOT）、Magic Internet Money（MIM）、Maple（MPL）、ParaSwap（PSP）、Binance USD（BUSD）、NEXO（NEXO）、Polkastarter（POLS）、yOUcash（YOUC）、Moss（MCO2）和Circuits of Value（COVAL）代幣充提服務。[2022/3/27 14:20:29]

如何保護自己？好消息是，你可以保護自己免受這類威脅。在下一節中，我們將探討的是，當你使用Metamask等標準以太坊錢包時，如何保障你的代幣的安全性，并介紹了一些可以通過定制方法與dApp交互的錢包。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

如何手動撤銷代幣授權

數據：頂級DeFi代幣在過去30天里平均上漲22%:根據分析平臺Santiment的數據，頂級DeFi代幣在過去30天里平均上漲了22%：“在過去的30天里，DeFi項目絕對是爆炸式增長。排名前100位的DeFi代幣平均回報率為22%。COMP、MKR、KNC、REP、AAVE、REN和LRC回報率均大幅超過30日平均值。”（CryptoSlate）[2020/6/20]

如果你想手動撤銷授權，你需要使用TokenAllowanceChecker之類的工具。這類工具可以連接到你的錢包，并掃描整個區塊鏈來尋找所有與你的以太坊地址有關的dApp授權。然后，你就可以編輯授權：將授權可用量設定為0從而取消授權，或者設定為你能接受的量。授權修改是通過與各個ERC20代幣合約交互來實現的。

最好能夠定期執行這一流程，取消你不打算再使用的dApp的授權。雖然這會花費你一點成本，因為每筆交易都需要在鏈上結算，但是從長期來看，你的錢包會給你應有的回報。

建議：如果你想要節省gas成本，可以下載GasStationNetwork擴展程序插件來在你的瀏覽器上追蹤gas價格。你可以等到gas成本較低時再編輯你的授權可用量。

下一代以太坊錢包如何保護用戶資金

一些已經推出的智能合約錢包也具備防護功能。智能合約錢包具有很強的靈活性，可以為用戶提供定制化的智能合約交互方式。因此，許多智能合約錢包已實現定制化的授權方式，提高了用戶體驗和安全性。

原生整合：以Argent為例

例如，Argent是移動端以太坊錢包，已經將一些核心DeFi應用原生整合到應用中，以便用戶進行借貸、賺取收益和交易。

這類錢包從智能合約層面整合了這些dApp，并確保用戶在與這些dApp進行交互時，這些dApp只能得到實際請求量的授權。這一切都是在后臺自動進行的，因此Argent用戶甚至不知道授權交易的存在。

ArgentxWalletConnect

原生整合的一個缺點是不具備可擴展性，就像Argent一樣。應用程序不可能原生整合每一個DeFi協議。對于大多數用戶來說，Argent目前已經集成的應用可能足夠了，但是重度DeFi用戶使用每天都要使用十幾個不同的dApp，不想局限于少數幾個dApp。

一個名為WalletConnect的標準可以解決這個問題。WalletConnect可以讓用戶將他們的移動錢包連接到web端應用，并通過移動錢包安全地簽署交易。Argent實現了WalletConnect整合定制化，讓用戶能夠輕松設置授權可用量。此外，如果Argent用戶改變了想法，可以在Argent應用中一鍵取消對某個dApp應用的授權。由于大多數dApp都支持WalletConnect，該功能可以讓Argent用戶在盡情探索整個DeFi領域時享受極高的安全性。

批量交易和dApp密鑰：以Authereum為例

另一個能夠優雅處理授權的智能合約錢包是Authereum。Authereum基于web端，而且大多數以太坊dApp應用都支持。另外，Authereum采用傳統的電子郵件和密碼登錄，因此可以在幾秒內將你的錢包連接到dApp，用戶體驗類似傳統應用，而且不需要犧牲安全性。

當用戶需要與dApp交互時，Authereum會生成一個新的臨時dApp密鑰，用來簽署特定dApp的交易。該dApp密鑰只能執行有限的功能，另外Authereum會執行一些完整性檢查。如果發起請求的域不是創建dApp密鑰的域，Authereum可以攔截該交易或通知用戶。最后，這些dApp密鑰可以隨時從Authereum錢包中刪除。

將多個交易打包到一個交易內還有很多其它優點。其中一個優點是高效——批處理交易可以節約成本和時間。以太坊上的每個普通轉賬交易都需要消耗21,000gas。如果用戶一次性打包10個交易，總共可以節省189,000gas。另外，用戶可以嘗試通過發送連續交易來節省時間。

批處理交易的唯一問題是，dApp需要增加一些定制化的邏輯和UI流程來適當地處理交易。目前為止，只有1inch和Erasure等少數dApp支持這種交易模式，但是我們預期后續將有更多dApp支持該交易模式。

結論

代幣授權存在很大的安全隱患。如果我們想要改善密碼學貨幣應用的用戶體驗和安全性，我們顯然需要改進代幣授權功能。Authereum和Argent之類的錢包可以通過創新的方式讓dApp交互更加安全。遺憾的是，在很多情況下，這類交易模式需要dApp開發者進行額外的工作，因此用戶需要耐心等待一段時間。

無法采用上述解決方案的標準以太坊錢包至少應該讓用戶可以查看并編輯其dApp代幣授權可用額。代幣授權檢查程序等工具很方便，但不是每個用戶都知道它們。

原文鏈接:

https://cryptotesters.com/blog/token-allowances

作者:?EmanuelCoen

翻譯&校對:閔敏?&阿劍

Tags：APPDAPDAPPENTbtcp幣挖礦appDAPP價格dapp幣上架交易所GENT幣

火必交易所