USDC:50万美元的血泪教训:一个简单的签名如何导致资产被盗?

作者:/img/2022103205524/0.jpg">

加密风险投资公司Credably Neutral已获得550万美元融资:金色财经报道,Credably Neutral是一家专注于Web3的新投资公司,已获得550万美元的资金。Solana联合创始人Anatoly Yakovenko和Polygon联合创始人Sandeep Nailwal以及ConsenSys首席执行官Joseph Lubin参加了本轮投资。Credably Neutral由领导Coinbase Cloud协议团队的Viktor Bunin和以太坊网络隐私初创公司Aztec Protocol的首席运营官Lisa Cuesta Bunina创建。[2023/5/14 15:01:50]

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC 是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用 USDC。

在众多功能当中,我们需要特别关注下面两项功能:

CoinWind已对早期参与者空投50万枚COW:据官方消息,DeFi智能金融平台CoinWind已对早期参与用户空投50万枚COW,距离领取截止日6月3日20:00(SGT)仅剩2天。

空投细则如下:5月19日20:00前,参与CoinWind V2版单币质押,钱包地址累计收益大于等于50枚MDX的用户,均可于5月27日20:00-6月3日20:00(SGT)在官网自行领取。

据了解,CoinWind是一个DeFi智能金融平台,通过合约自动将质押的币种进行撮合配对,配合对冲无常损失策略,将用户收益最大化。[2021/6/1 23:01:37]

转账(transfer)

代转(transferFrom)

动态 | 印度银行YES Bank利用R3的Corda平台发行价值1450万美元的公司债券:印度第四大私营银行YES Bank已利用R3的Corda平台成功发行了公司债券,此次开发由区块链公司Monetago完成。这笔10亿卢比(约合1450万美元)的交易是代表由印度企业Vedanta完成的,通过使用分布式账本技术在所有相关方之间共享电子文件,从而省去了数小时的繁重文书工作。[2019/7/11]

当你需要在钱包之间转移 USDC,或其他 ERC20s 时,就需要用到转账功能。它可以将 Token 从调用者(调用该功能的地址)转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

动态 | Pixowl获得250万美元的投资,推动区块链游戏上线:星球日报讯 视频游戏开发商Pixowl宣布,为即将上线的基于区块链的游戏《the Sandbox》完成一轮250万美元的投资。母公司Animoca Brands解释称,Pixowl正整合对韩国即时通讯软件Kakao开发的区块链平台Klaytn的支持,以支持KakaoTalk的2.2亿多用户。[2019/5/23]

当你与合约产生互动时,它们会通过代转功能来转移你的 Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的 USDC,那么理论上它就可以拿走你所有的 USDC。

现在让我们回到 Joe 的故事当中,转走他全部 USDC 的确实就是 transferFrom 功能。然而,只有当 Joe 批准合约使用他的 USDC 时,transferFrom 才能发挥作用。但事实上,Joe 坚信自己没有批准任何事项。

可是,DeBank 的交易记录清楚地显示,在漏洞发生前 10 分钟,该恶意合约可以无限使用账户中的 USDC。那么问题就在于,如果不是 Joe 本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe 确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan 上的信息显示,Joe 本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光 Joe 全部的 USDC。

我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用 1inch dApp 时,你就可以体验到这一功能。如果你想在上面出售 USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch 便获取了你全部 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC,但这却给了恶意合约机会。

Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。

有了 Joe 的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了 Joe 钱包全部 USDC 的使用权限。然后,只要它调用 transferFrom 功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask 会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题?

1. 不要在 Metamask 中签署一切内容;

2. 花点时间了解你所签署的内容;

3. 对传统的批准事项要格外小心。

区块律动BlockBeats

媒体专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

抹茶交易所ETH:40 图捋清从 Web1 到 Web3 的互联网简史

如今,有 50 亿人使用互联网。但了解它的,不超过 1%。今天,就给你捋一捋互联网的发展历史:互联网始于 20 世纪 60 年代,是美国政府对冷战的回应——当时军事领导人担心美国的通信系统可能受.

Polygon元宇宙:元宇宙的魔法

毋庸置疑的是,元宇宙是具有巨大的魔力的。而元宇宙之所以会具有如此巨大的魔力,正是在于它的包容,在于它的初级,在于它的混沌,在于它的无限想象.

[0:31ms0-1:171ms