电报群组导航(www.telegram8.vip)是一个Telegram群组分享平台,电报群组导航内容包括Telegram群组导航、telegram群组、Telegram群组导航、新加坡telegram群组、telegram中文群组、telegram群组(其他)、Telegram 美国 群组、telegram群组爬虫、电报群 科学上网、小飞机 怎么 加 群、tg群等内容,为广大电报用户提供各种电报群组/电报频道/电报机器人导航服务。

首页科技正文

欧博开户网址:以太坊高度数据(www.326681.com)_50万美元的血泪教训:一个简朴的署名若何导致资产被盗?

admin2022-08-307

新2网址大全www.hg108.vip)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

作者:@korpi87

编译:Kxp,BlockBeats

当“小狐狸”钱包跳出授权钱包时,要先领会清晰这个署名的意义及细节。

你可能很难想象,Metamask 中一个简朴的署名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个破绽损失了近 50 万 USDC 。若是不多加小心的话,你可能就是下一个他。以是,今天我想和人人讲讲这件事的前因后果,告诉人人以后若何注重此类问题。

那是在一个平静的午后时分,Joe(假名)突然发现自己的钱包被转走了 46.9 万 USDC。这次转账并不简朴,一定不是攻击者能做出的行为,由于他们基本不能能获得 Joe 钱包的权限。那就说明,转走他所有 USDC 的应该是某个恶意合约。

在讲述今天的故事之前,我需要先向人人注释一些术语。USDC 是以太坊上的一个具有多种功效的合约,划定了我们可以若何使用 USDC。

在众多功效当中,我们需要稀奇关注下面两项功效:

转账(transfer)

代转(transferFrom)

当你需要在钱包之间转移 USDC,或其他 ERC20s 时,就需要用到转账功效。它可以将 Token 从挪用者(挪用该功效的地址)转移到其他地址。若是有人能以你的名义恶意使用该功效,那么他一定得先掌握了你钱包的所有权限才行。

当你与合约发生互动时,它们会通过代转功效来转移你的 Token,详细金额由你提前预设好的比例决议。因此,若是你允许一项合约转移无限量的 USDC,那么理论上它就可以拿走你所有的 USDC。

现在让我们回到 Joe 的故事当中,转走他所有 USDC 简直实就是 transferFrom 功效。然而,只有当 Joe 批准合约使用他的 USDC 时,transferFrom 才气施展作用。但事实上,Joe 坚信自己没有批准任何事项。

可是,DeBank 的生意纪录清晰地显示,在破绽发生前 10 分钟,该恶意合约可以无限使用账户中的 USDC。那么问题就在于,若是不是 Joe 本人的话,事实是谁给了该合约这一项批准呢?我只能说,Joe 确实批准了这一操作,但却是在他不知情的情形下完成的。

,

以太坊数据网

,

欧博开户网址www.allbet8.vip),欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

,

www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。

,

Etherscan 上的信息显示,Joe 本人确实没有挪用该功效,真正批准了这一额度的是其他地址,这才让恶意合约得以花光 Joe 所有的 USDC。

我们不禁疑问,别人怎么能取代我给予合约允许呢?

允许功效的引入原本是为了改善以太坊的用户体验,它只需一个署名就可以让用户在不提交生意的情形下修改批准金额。也就是说,只要有了你的署名,任何人都可以挪用允许功效,并更新你对合约的批准额度。

当你使用 1inch dApp 时,你就可以体验到这一功效。若是你想在上面出售 USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个署名,1inch 便获取了你所有 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC,但这却给了恶意合约时机。

Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,署名只是随手点击一下就完成了。若是他用的是硬件钱包的话,就需要在外部装备上签署信息,那么还会有一个思索的时间。

有了 Joe 的署名,其他地址便可以提交一个带有允许功效的生意,这样恶意合约就获取了 Joe 钱包所有 USDC 的使用权限。然后,只要它挪用 transferFrom 功效,就可以转走所有这些资金了。

以是说,一个看似小小的署名却可以引来伟大的灾难。在某些情形下,Metamask 会在你准备署名是对你发出忠告,见告你其中的危险性。签署一个信息可能是危险的。但一些手艺层面上的批准署名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

若何阻止往后遇到类似的问题?

1. 不要在 Metamask 中签署一切内容;

2. 花点时间领会你所签署的内容;

3. 对传统的批准事项要格外小心。

查看更多

网友评论

最新评论