ERC20 无限授权 方便自己也方便黑客 有没有解决方案?

随着 DeFi 的火爆,一般的区块链老手用户肯定不止一次对 DeFi 项目进行授权了,每当使用一个新的 DApp,都需要授权这个 DApp 花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了,而原因并不是因为私钥被盗,而是因为图方便给 DeFi 合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有 ERC20 授权?

有了以太坊上的原生代币 ETH,你就可以将 ETH 发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数(payable funtion)实现的。但是,由于 ERC20 代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在 ERC20 代币合约上发生的,不在 DeFi 合约。

印度交易所CoinDCX推出加密货币生息功能“Earn”:5月26日消息,印度加密货币交易所CoinDCX周四推出加密货币收益计划“Earn”,用户可以利用其加密资产赚取利息。

该平台将利用“Earn”功能为用户提供获取收益的机会,比如保证金交易、贷款、质押,支持BTC、ETH、USDT、USDC、NEAR、DAI等16种加密货币。“Earn”功能目前仅面向候补名单用户。(Livemint)[2022/5/26 3:43:42]

那么如果想要合约来调用 ERC20 应该怎么办?ERC20 标准中,提供了一个让智能合约使用 transferFrom() 函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

授权后,用户就可以将代币“存入”智能合约,进行 DeFi 应用的使用了。

美国总统拜登:美国将召集 30 个国家共同打击非法使用加密货币:金色财经报道,美国白宫周五发布了总统拜登关于政府网络安全工作的声明。拜登表示,美国将召集 30 个国家加快我们在打击网络犯罪、改善执法合作、阻止非法使用加密货币以及通过外交方式解决这些问题方面的合作。在这些努力中,联邦政府需要每个美国人和每个美国公司的合作。我们必须锁定我们的数字门。例如通过加密我们的数据和使用多因素身份验证,我们必须通过设计安全地构建技术,使消费者能够了解他们购买的技术的风险。我致力于加强我们的网络安全,加强我们抵御网络攻击的关键基础设施,破坏勒索软件网络,努力为所有国家在网络空间建立和促进明确的道路规则,并明确我们将追究那些威胁我们的安全。(news.bitcoin)[2021/10/4 17:22:23]

比如,用户将 USDT “存入” Aave 来赚取利息,首先需要授权 Aave 合约可以从用户的钱包中取出 USDT。然后再调用 Aave 合约函数,指定想要存入 USDT 的数量。然后,Aave 合约使用 transferFrom() 函数从你的钱包中取出相应数量的 USDT 完成转账。

无限 ERC20 授权的问题

授权使用 DeFi 时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前 DeFi 依托的以太坊网络底层不完善的前提下,对 DeFi 合约进行无限授权,是能有有效提高 DeFi 使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的 GAS 消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入 DeFi 项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1. 对于不交易的持仓资产可以选择取消授权

现在 DeFi 项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在 DeBank 上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2. 分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3. 考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的 QuarkChain。在 QuarkChain 主网中,多原生代币 (Multinative token) 在 QuarkChain 系统中和 QKC 基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与 QKC 网络治理,原生代币可以实现 QKC 所有的功能,包括跨链转账。大部分 Defi 面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和 QKC 完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前 QuarkChain 公链上 DeFi 项目仍然较少,相信后续会有更大的爆发。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

BNB牛市还在吗?这10个指标帮你下判断

本文将涵盖10个不同的比特币指标数据,大部分被证明是有效的,曾正确预测过上一轮牛市高峰。 下面我们将对比过去和现在的数据,进一步帮助我们深入剖析当下行情走到何种阶段。

XRP如何在imToken体验去中心化电子协议签署平台EthSign?

什么是 EthSign? EthSign 是一个去中心化的电子协议签署平台,希望通过区块链技术解决传统电子签名的痛点。 用户在使用传统电子签名时,必须获得服务商的允许才能验证签名和检索已经签过的协议。而一旦电子签名服务商破产,服务器上的数据将会不可避免地被删除。

DOGE中国打击矿业:有人向左 有人向右

李笑来曾在书中提到,同一个理由,不同人会做出完全相反的决定。 特别是现在的中国矿业。当内蒙古、新疆和青海等省市出台相应的政策清理矿场时,很多人都在观望,因为四川还未出政策,这说明还有希望。 毕竟,四川矿场算力占比较大。另外,其他省市被清理,还可以迁往四川。 但当四川也出台政策整顿矿场时,网上开始出现“比特币去中国化”的声音。

USDCFlashbots的MEV竞拍是最优的吗?

由 Flashbots 开创的MEV竞拍服务已受到了矿工们的欢迎,那么这种竞拍是否是最优的呢? 注:原文作者是斯坦福大学电气工程博士Guillermo Angeris,placeholder 研究员Alex Evans以及Gauntlet创始人Tarun Chitra。

[0:0ms0-7:288ms