JOE:50万美元的血泪教训:一个简单的签名如何导致资产被盗?_SDC

作者:@korpi87

编译:Kxp,BlockBeats

当“小狐狸”钱包跳出授权钱包时,要先了解清楚这个签名的意义及细节。

你可能很难想象,Metamask 中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近 50 万 USDC 。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。

那是在一个安静的午后时分,Joe(化名)突然发现自己的钱包被转走了 46.9 万 USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到 Joe 钱包的权限。那就说明,转走他所有 USDC 的应该是某个恶意合约。

y00ts:将迁移至以太坊,并全额返还Polygon提供的资助:8月10日消息,NFT项目y00ts将迁移至以太坊,并全额返还Polygon提供的资助,迁移日期将随后公布。

金色财经此前报道,y00ts曾于今年上半年从Solana生态迁移至Polygon,且据知情人士透露,DeGods和y00ts从Polygon获得了300万美元的赠款,用于进行区块链迁移。[2023/8/10 16:17:02]

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC 是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用 USDC。

在众多功能当中,我们需要特别关注下面两项功能:

转账(transfer)

代转(transferFrom)

闪电贷平台Equalizer Finance计划8月初上线以太坊主网:据官方消息,闪电贷平台Equalizer Finance宣布,经过16周的开发之后,Equalizer平台即将发布,同时符合最质量标准和高安全要求。发布计划如下:

- 开发已完成,审计也接近完成,测试也即将进入最后阶段。

- 8月2日至7日:将在以太坊主网部署智能合约和平台。

- 8月2日至7日(同期):将上线Rinkeby测试网并开放访问,并邀请社区和开发人员对平台进行测试并报告漏洞(漏洞赏金活动也将启动)。

- 8月7日至14日,修复所有报告的漏洞,运行漏洞扫描,完成最终的安全评估,并在Rinkeby测试网和以太坊主网中应用所有优化。

- 8月14日至17日,开放主网上对平台的访问,并启动用户获取计划。[2021/8/1 1:27:09]

当你需要在钱包之间转移 USDC,或其他 ERC20s 时,就需要用到转账功能。它可以将 Token 从调用者(调用该功能的地址)转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

以太坊2.0存款合约地址已收到150464.0ETH,进度28.7%:欧科云链OKLink数据显示,当前以太坊2.0存款合约地址已收到150464.0ETH,有85个地址完成32ETH的抵押,距离524288枚ETH启动以太坊2.0创世区块的最低要求已完成28.7%。[2020/11/21 21:34:24]

当你与合约产生互动时,它们会通过代转功能来转移你的 Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的 USDC,那么理论上它就可以拿走你所有的 USDC。

现在让我们回到 Joe 的故事当中,转走他全部 USDC 的确实就是 transferFrom 功能。然而,只有当 Joe 批准合约使用他的 USDC 时,transferFrom 才能发挥作用。但事实上,Joe 坚信自己没有批准任何事项。

本周DOT将解锁869万枚 上周共质押750万枚:据Subscan数据,本周(2.15-2.21)波卡解除质押的DOT总量为869万枚,解质押峰值在2月17日,共解压459万枚DOT。上周(2.8-2.14)波卡共质押750万枚DOT,质押峰值在2月10日,共质押409万枚DOT。当前波卡网络的DOT抵押率为67.2%。数据显示,DOT当前报价24.97美元,日内跌幅6.83%。[2021/2/15 19:48:02]

可是,DeBank 的交易记录清楚地显示,在漏洞发生前 10 分钟,该恶意合约可以无限使用账户中的 USDC。那么问题就在于,如果不是 Joe 本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe 确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan 上的信息显示,Joe 本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光 Joe 全部的 USDC。

我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用 1inch dApp 时,你就可以体验到这一功能。如果你想在上面出售 USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch 便获取了你全部 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC,但这却给了恶意合约机会。

Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。

有了 Joe 的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了 Joe 钱包全部 USDC 的使用权限。然后,只要它调用 transferFrom 功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask 会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题?

1. 不要在 Metamask 中签署一切内容;

2. 花点时间了解你所签署的内容;

3. 对传统的批准事项要格外小心。

区块律动BlockBeats

媒体专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-5:550ms