VERSE:ERC20 无限授权 方便自己也方便黑客 有没有解决方案?

随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了,而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?

为什么要有ERC20授权?

有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。

Nansen官宣开放“Nansen 2”早期访问等候名单注册:金色财经报道,区块链分析公司Nansen在官方社交媒体宣布正式开放“Nansen 2”早期访问等候名单注册,目前Nansen关于“Nansen 2”的公开信息非常有限,此前曾在回应社区用户询问时称该项目处于完全保密状态。据已注册的用户称,注册完成后需要通过电子邮件进行验证,验证成功会收到进入等候名单的确认邮件。[2023/8/21 18:13:21]

那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。

Bitget官宣成为加拉塔萨雷队首个数字货币交易平台赞助商:2月17日消息,Bitget宣布将在2021-22赛季赞助土耳其知名足球俱乐部加拉塔萨雷队(Galatasaray),成为其首个数字货币交易平台的赞助商。2月24日双方将于土耳其当地举办新闻发布会正式宣布合作。

据悉,Bitget已在土耳其当地组建本地化市场运营团队,此次对Galatasaray的赞助旨在深耕土耳其市场,有望进一步提升Bitget土耳其本地的市场份额。数据显示,Bitget当前合约市场占有率已跃居全球Top 5。[2022/2/17 9:58:38]

授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。

动态 | Libra的官宣增强了区块链领域投资者的信心:香港QRC Group发布的一份研究结果显示,区块链行业已自去年的寒冬迅速恢复,投资者和整个行业均表现出较高的信心水平。研究表明,这主要是因为Facebook官宣了其加密货币项目Libra,北美、南美和欧洲显示出了最高的信心水平。

报告详细说明了今年机构投资者是如何减少的,以及投资者的总体情绪已从“极度谨慎”转向“中性”。新加坡、北美和南美的投资者更为激进,而香港投资者往往更为谨慎,尽管他们的平均投资者数量高于其他地区。报告还提出,来自香港、新加坡的区块链投资者和中东地区的受访者认为,监管起到了帮助作用,而北美受访对象则认为监管对打击该行业的欺诈行为没有多大作用。(AMBCrypto)[2019/9/28]

比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

分析 | ERC20 山寨币分析:多数高收益代币分布集中:LongHash 通过分析发行在以太坊上的 ERC20 代币,试图发掘今年表现优异的小市值代币。此次研究选取了 ERC20 市值排名前 1000 的代币,但是排除了市值超过 10 亿美金的代币和稳定币,总共约 900 个代币。包括价格、2019 年至今的年化收益率、交易量、持币地址数、市值以及代币分布的集中度。分析结果显示,从收益率角度看,超过一半的代币收益率为负,但是有 38 个代币收益率超过 500%。这 38 个收益惊人的代币大都有着较高的代币分布集中度。他们中绝大部分集中度超过了 60%,有的甚至高达 90% 以上。此外,收益率与市值和交易量存在一定相关性,而代币分布集中度排在第三位,与收益率的相关性仅为 0.076。但是,当仅考虑市值小于 1000 万美金的代币时,其余属性与收益率相关性均在下降,仅有代币分布集中度这一个属性相关性升高。这说明小市值代币筹码越集中越有可能获得高额的收益。[2019/9/26]

无限ERC20授权的问题

授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。

但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。

怎样防范风险?

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。

2.分号使用,交易完及时转出资产

即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-3:631ms