区块链:ERC20无限授权方便自己也方便黑客 有没有解决方案?_FIL

随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了。而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有ERC20授权?

有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。

韩国当局正研究美SEC诉XRP案件等案例,以参考制定ST0相关规定:2月14日消息,据消息人士透露,韩国金融监督院下属的数字资产研究组正在以虚拟资产相关的海外事例为中心进行研究,包括仔细参考预计最早于3月取得结果的XRP和美国证券交易委员会(SEC)之间的诉讼,以制定韩国国内证券型代币(ST0)相关规定。

此前金色财经报道,韩国金融服务委员计划允许ST0以证券形式发行和流通,区别于虚拟资产;韩国金融监督院院长表示,将统一代币“证券属性”判断标准,并于本月召开说明会。(News1)[2023/2/14 12:05:10]

那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

“基于区块链的电子证据平台”案例发布:9月7日,中国工程院《中国区块链发展战略研究》项目发布“发现100个中国区块链创新应用”栏目之“基于区块链的电子证据平台”案例。电子证据管理系统首期覆盖全国重点平台20余家,包括京东、淘宝、天猫、阿里巴巴、苏宁、拼多多、唯品会、饿了么等,平台内经营者万余人、重点品牌数百余个,上线后一年内累计线索量240余万条,累计固证量280余万,实现商品下架70余万个,为数百次行政执法处罚提供司法出证服务。

总体来看,电子证据管理系统有效防止了网络交易场景中由于经营者因抵触检查不提供账号密码而使得执法人员无法进入网店后台,错过有效证据,或者经营者篡改、删除产品信息页面等情况的出现,切实提高了执法的有效性。(证券日报之声)[2021/9/7 23:06:13]

授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。

郑玉山:要大力宣传区块链赋能实体经济的成功案例:针对当前区块链技术赋能实体产业面临的众多难题,国家技术转移东部中心上海数字经济创造实践基地董事、投资部总经理郑玉山建议,一是需要政府层面更多的鼓励政策,鼓励实体企业尝试将新技术应用于传统业务中;二是加强人才培养,地方高校应增设区块链基础课程,培养各行业从业者的区块链思维;三是要正面引导,一方面向社会普及区块链基础知识,另一方面要大力宣传区块链技术赋能实体经济的成功案例。(经济参考报)[2020/10/15]

比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

动态 | IBM将在成立客户体验中心展示区块链技术案例:据IThome 3月7日报道,IBM宣布,即将在台成立IBM客户体验中心,预计今年下半落成,以利的企业客户,能够在采用技术前,先透过现场展示,体验技术与解决方案在实际操作上的状况。并预计先以区块链密码锚定机制(Crypto anchors)、认知物联网视觉质量检测、IBM Watson财富管理与认知核保,进行展示。IBM技术长暨业务副总经理徐文晖表示,目前已跟IBM全球研究实验室洽谈,要把区块链密码锚定机制的解决方案与实际案例演示引进。他提到,写进区块链的资料,虽有不可窜改,且能追蹤的特性,但其实无法辨识输入资料的真实性。但若透过区块链密码锚定机制,就能判断产品的真伪。[2019/3/8]

无限ERC20授权的问题

授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2.分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

酷币下载比特币:王永利:必须审慎对待NFT_NFT

在国家严厉控制比特币等虚拟货币的挖矿和交易炒作之时,NFT的快速升温和大规模投资,特别是参与海外NFT投资,同样存在很大的风险隐患,需要加强对NFT的准确解释,加强对民众的投资者教育.

[0:15ms0-4:660ms