EFI:DeFi 少做这一步 没有私钥别人也能转走你的资产

按历史情况看呢,国内的假期通常也都对应着市场热度和交易量的下降,加之今年还有出jin问题,不管冻结率有多高,这也会使更多的朋友短期对无脑冲,多一层顾虑,所以估计是没啥剧情,咱该玩玩该乐乐,回来说不定也还能有惊喜。

当然节前最后一期,这个内容还是很重要的,关于玩defi的授权安全隐患问题,你说要是亏完不能出jin可以归于能力问题,但这种莫名坑就真的很恶心对不对,正好今天也看到币圈一个短视频在说这个事情,我觉得还是有必要在这里专门提一下,让更多的朋友注意到。

其实关于授权隐患,咱们社区的小伙伴们应该多少是有点印象的,此前我们有专门讲过这个月靠uniswap空投暴富的其中很大一部分资深玩家,就是因为担心玩土狗项目安全问题而开了很多小号,没想到却意外收获了几千几万个uni。

中国金融四十人论坛:DeFi具有一定中心化特征存在“共谋”风险:1月9日消息,中国金融四十人论坛发文《为什么说“去中心化金融”蕴含巨大金融风险》表示,DeFi容易给人一种完全去中心化错觉,但事实恰恰相反。因为算法不能预判所有可能发生的情况,这就导致DeFi系统中不可避免存在一定程度的中心化特征。首先,所有DeFi平台都有中心化的治理框架。其次,在特定制度安排下,决策权可能会集中在那些大型稳定币持有者手中。最后,实际上存在的中心化安排导致可能持币量大的少数账户“共谋”。

DeFi仍处于起步阶段,提供与传统金融体系类似的金融服务,自然也存在类似的脆弱性。但是,DeFi的高杠杆等特点使其不稳定性更甚。一是DeFi市场具有高杠杆率、顺周期性特点,缺乏应对外部冲击的机制。二是所谓的“稳定币”其实并不“稳定”,存在流动性错配和运行风险。三是虽然当前DeFi基本独立于传统金融体系,但是未来关联性可能会逐渐增加,DeFi对传统金融体系的外溢影响也可能会越来越显著。

DeFi仍处于早期发展阶段,但随着区块链扩展性的改善、传统资产大规模代币化,未来DeFi可能会在金融体系中发挥重要作用。鉴于DeFi当前面临的主要挑战与传统金融体系类似,对其进行监管可参考现有规则。一是监管DeFi活动应遵循“同样的风险,同样的规则”原则。二是DeFi并非完全去中心化的特点可以是监管的天然切入点。[2022/1/10 8:37:04]

不过我们只是表面知道好像授权有一些坑,但有没有想过为啥这些dex、swap的都有这么个授权操作呢?

ETC Labs James Wo:DeFi是金融的未来,用户将继续飙升:ETC Labs James Wo今日发文表示,DeFi是金融的未来。原因如下:其一,DeFi不像传统交易平台那样依赖用户提供流动性,相反,像Uniswap这样的DeFi 协议使用一个方程,它根据需求自动确定代币的值。此外,DeFi比集中式融资 (CeFi) 的主要优势是控制自己的金融资产,DeFi 协议的易用性和安全性会继续改善。最后,鉴于全球对中央机构越来越不信任,DeFi 的用户群将继续飙升,未来将远远超过目前的50万用户。[2020/11/25 22:02:43]

到底是不是坑,咱先从源头追溯。

这个授权呢,通俗来理解,就像去卖一辆二手车,需要找当地的一些中介或经销商,把车放到他们的平台,让更多有需求的买家看到它,那么这里的第一步就是你要和中介签署一份合同,这份合同表明了你授权该经销商来代理出售你的车。

OKEx正式推出DeFi挖矿产品:据官方公告消息,OKEx已于9月7日22:40在网页端的赚币产品接入Compound协议,支持用户通过OKEx赚币产品将BAT、DAI、ETH、USDC、USDT、ZRX存入Compound链上协议,从而获得利息收益,部分代币在存入期间可额外获得COMP挖矿奖励。

根据规则,用户在申购后可随时赎回,1天内赎回到账,订单成功赎回后利息和奖励将发放至挖矿/锁仓账户。[2020/9/7]

swap类的去中心交易所的逻辑也是这样,授权,即这是一份你和交易所中介之间签订的合同,只不过在咱这叫——智能合约,它允许该平台有代理出售你资产的权限。

当然,上面的比喻只是为了方便理解,细心的小伙伴应该发现,dex交易又不是NFT还需要等待一个有缘人,直接砸到资金池里就好啦,为啥还要有授权这么个流程。

Messari CEO:稳定币以及DeFi将推高ETH发展天花板:尽管就在两年前,稳定币和DeFi还不是以太坊的主流趋势,但在过去12个月里,它们已成为以太坊区块链的两个核心用例。根据加密研究和数据提供商Messari首席执行官Ryan Selkis的说法,从长远来看,这两项技术现有以及未来发展,,将为ETH提供一个更高的发展空间。这是否与以太坊对美元或比特币的表现有关还不清楚。

值得一提的是,Selkis的评论与Messari研究人员Ryan Watkins的观点有些矛盾,他曾在4月提出,Tether的USDT和其他集中式稳定币对以太坊的入侵可能会对ETH的货币溢价构成长期的“威胁”。(CryptoSlate)[2020/5/18]

这其实源于以太坊合约的一个特性,对于erc20代币,直接从地址像目标合约转账,合约是接收不到的!(这也是为啥你们从传统交易所提币一般都会看到一句提示:请勿转到合约地址)

而dex呢,它就是一个底层依靠各种智能合约来运转的交易所,那这里没法把用户地址上的代币直接转到合约地址以便平台进行调用兑换,所以就加了这个授权操作,授的就是dex里的合约可以直接调用用户地址上的资产的权限。

注意,在以太上,这个特性只限于像erc20这样的代币,eth自身是有强制转账机制,可以直接地址转到合约里。

所以,在使用dex时,用户会发现交易eth是没有什么授权的,但其他所有的erc20代币在第一笔交易时都会先有一个授权,英文名是approve:

之后再交易时就不会出现了。

那是因为,目前上到未来的宇宙第一所uni下到各种野鸡swap,对于这些资产授权的设置都是——无限额度!

下图是我在比特派钱包里检测的授权情况(此处没有收广告费):

也就是只要你授权过,交易所如果想,是可以转走你所有资产,注意哦,这个意思是,假如你有10万usdt,只在dex里交易过1万u,理论上来说它是可以转走你全部10万u的,而不只是交易过的那个额度。

这个授权额度是可以自定义的,但应该是考虑到使用体验吧,所有资产基本都是无限模式,不然没交易几次又要重新授权,又要多花手续费,还每个币都要单独授权,这么麻烦还怎么取代cex呢?对吧。

不过一般来说像uniswap、compound这些主流项目,安全性也还好,毕竟这么多眼睛盯着,项目方不会故意去改合约,漏洞概率也是非常小的,只是这给很多土矿提供了动歪心思的动机,特别是它是很隐秘的,不清楚的小白会认为币在自己钱包里,但实际上只要做了授权,恐怕就和放在中心化交易所没啥区别了。

最开头那个群聊图片说的就是这个事儿,而且注意是发生在波场上,其实今天的重点也不在以太上,而是传染了以太这个特性的其他链,至少波场和币安智能链现在是有这样的授权操作,而相对来说它们的问题项目和bug是会多一些的,需要格外注意资产安全,特别是usdt这种授权过的账号,不要长期放u在里面。

其实我不太懂他们为啥要“沿用”这样的特性,之前有咨询过一些接近开发人士,有人是认为这是一个“缺陷”的(我也不太懂以太上为啥要这样,柚子上是可以直接转账的,希望有大佬能给予解答)。

不过既然暂时改变不了,我们该怎样防范这方面的风险呢?

1.对于不交易的持仓资产可以选择取消授权

像上面图中右边有个“回收授权”按钮,是可以直接解除,当然要收少量gas费,同时如果你下次要进行这个币的交易需要重新授权。

上面这个检测在比特派钱包——ETH钱包首页找到——以太安全中心——输入地址即可查看你所有的授权情况。

另外旁白君还推荐了一个工具:

https://approved.zone/

它是一个查看授权,并还可以修改每个币的最大转账额度的工具,不过这里仅做个了解吧,我就不细说了,因为修改额度对我们来说没啥卵用,不能完全阻止作恶又还可能需要多次授权消耗手续费。

2.分号使用,交易完及时转出资产

比起上面的取消授权,我会更推荐还是多号分工操作,毕竟市场是多变的,很难说不会去追高曾经看不起的币种,另外除了以太,其他链上是没有上面这种工具的。

主号只存放资产,不适用任何应用,小号去swap,交易结束及时转回资产,当然对于以太上这会多一点gas成本,其他链就好多了,不过对于其他链,这是必做的功课。

结语

swap千万条,安全第一条,操作不规范,钱送陌生人。

最后在这里代表风火轮社区祝大家中秋国庆快乐!阖家欢乐!

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:31ms0-0:901ms