RC2:ERC20 無限授權 方便自己也方便黑客 有沒有解決方案？

隨著 DeFi 的火爆，一般的區塊鏈老手用戶肯定不止一次對 DeFi 項目進行授權了，每當使用一個新的 DApp，都需要授權這個 DApp 花費你的代幣。除了流程繁瑣之外，每次授權都還要支付不菲的手續費。很多用戶為了省錢省事，每次授權都是提供無限期授權，結果不知道哪天，突然發現自己的錢被人轉走了，而原因并不是因為私鑰被盜，而是因為圖方便給 DeFi 合約進行了無限授權，為什么會有無限授權？有沒有解決方案？

為什么要有 ERC20 授權？

有了以太坊上的原生代幣 ETH，你就可以將 ETH 發送至該智能合約，同時調用智能合約功能。這是通過所謂的可支付函數（payable funtion）實現的。但是，由于 ERC20 代幣本身就是智能合約，以太坊無法通過直接將智能合約代幣發送到智能合約來調用其函數。原因是這個轉賬是在 ERC20 代幣合約上發生的，不在 DeFi 合約。

Animoca Brands推出首款基于NFT和ERC-20代幣的元宇宙游戲Life Beyond:金色財經報道，Animoca Brands宣布推出首款基于NFT和ERC-20代幣的元宇宙科幻類游戲Life Beyond，每個游戲玩家化身都搭配NFT夾克外套，首批“Agent Zero Jacket” NFT已經完成鑄造，持有者可以體驗質押并獲得游戲白名單權限。[2022/12/23 22:03:52]

那么如果想要合約來調用 ERC20 應該怎么辦？ERC20 標準中，提供了一個讓智能合約使用 transferFrom() 函數代表用戶轉移代幣的方案。為了激活這個功能，需要用戶授權智能合約轉移代幣的權限。

波場TRON ERC20代幣第十三次銷毀公示:據最新消息，波場TRON發布了波場TRON ERC20代幣第十三次銷毀公示，本次完成了199323.76427枚TRX的銷毀工作，交易記錄：https://etherscan.io/tx/0xdd3dd5df3e09a144f58d3918b74c7b43195044354116bc2399bfa14fb5b9bec3 。波場TRON公鏈主網絡于2018年6月25日正式啟動，隨后波場TRON基金會官方團隊于全球社區展開了積極高效的主網更新及代幣遷移行動，目前，已經有包括OKEx、Huobipro、幣安Binance、Cobo錢包等在內的一百多家交易所和錢包完成了代幣遷移工作，重新開放充提服務，并將回收的ERC20 Token交由波場基金會統一處理。目前波場TRON主網絡運行穩定，代幣遷移工作仍在緊張有序的進行中，接下來，ERC20 Token的銷毀情況波場TRON基金會將繼續同步進行公示。[2020/11/12 14:08:39]

授權后，用戶就可以將代幣“存入”智能合約，進行 DeFi 應用的使用了。

Loopring Pay上線 支持免費發送ETH和ERC20代幣:路印協議宣布Loopring Pay上線。通過擴展Loopring協議和Relayer，不僅支持zkRollup DEX，還支持付款。通過在在Loopring.io前端上啟用這些功能，允許用戶免費即時發送ETH和ERC20代幣（沒有gas費和交易費），同時由于繼承了zkRollup，因此該方案不會損失安全性，可達到與以太坊具有同等的安全性保證。[2020/6/8]

比如，用戶將 USDT “存入” Aave 來賺取利息，首先需要授權 Aave 合約可以從用戶的錢包中取出 USDT。然后再調用 Aave 合約函數，指定想要存入 USDT 的數量。然后，Aave 合約使用 transferFrom() 函數從你的錢包中取出相應數量的 USDT 完成轉賬。

多個ERC20幣種存重大安全隱患 “攻擊者”可操縱幣價套利:區塊鏈安全公司PeckShield向包括火幣，幣安以及OKex等在內的多個主流交易所發出安全警報：調研發現，多個已經在主流交易所上線的ERC20幣種的智能合約代碼存在嚴重安全隱患，“攻擊者”可通過公開的接口直接割韭菜套利。據PeckShield研究人員透露，截至目前已發現十余種Token在多個主流交易所上線，影響了包括幣安,火幣以及OKex在內的主流交易所10余家。據統計，存在該隱患的最大幣種市值已達1.5億美金，全部幣種共影響波及數十萬投資者。一旦該安全隱患被利用，攻擊者僅用技術手段就可實施割韭菜行為，將會給相關Token持有者帶來重大損失。[2018/6/9]

無限 ERC20 授權的問題

授權使用 DeFi 時，你就可以選擇將這個幣種單次授權，即僅同意本次轉賬，或者進行無限授權，讓合約能夠在未來不限次的有權操作你錢包內的這種代幣。

在目前 DeFi 依托的以太坊網絡底層不完善的前提下，對 DeFi 合約進行無限授權，是能有有效提高 DeFi 使用體驗的一種方式。避免了每次使用前都要進行授權的麻煩，以及每次交易前授權造成的 GAS 消耗。設置無限授權后，用戶只需要同意一次，之后存款時就不會再重復這一過程。

但是，該設置存在很大的弊端。因為用戶授予的，不僅僅是操作轉入合約部分代幣的權利，而是這個錢包中這個代幣的支配權。

也就是說一旦合約留有后門，或者遭到黑客攻擊，那么不僅是存入 DeFi 項目中的代幣，我們自身錢包里的相應代幣也將受到威脅。而由于這個授權是由自身私鑰簽名授權的，因此一旦遭到攻擊，即便使用冷錢包，也不能防止自身財產被盜。

怎樣防范風險？

1. 對于不交易的持倉資產可以選擇取消授權

現在 DeFi 項目如同雨后春筍，不知不覺可能就會授權很多項目，這就加大了被盜風險，我們可以在 DeBank 上通過查詢自身錢包地址的方式，查詢授權的合約，然后及時取消高風險項目的授權。

2. 分號使用，交易完及時轉出資產

即便是再靠譜的項目，也都存在被攻擊的可能，因此，不要把雞蛋放到同一個籃子里更加重要。

3. 考慮其他項目

既然以太坊底層無法改變，那么其他擁有靈活底層的公鏈，就成為了后續可以關注的對象。

比如推出了多原生代幣功能的 QuarkChain。在 QuarkChain 主網中，多原生代幣 (Multinative token) 在 QuarkChain 系統中和 QKC 基本是一樣的地位，可以調用合約、跨鏈、在滿足某些情況的條件下可以支付交易手續費，除了不能參與 QKC 網絡治理，原生代幣可以實現 QKC 所有的功能，包括跨鏈轉賬。大部分 Defi 面臨的非原生資產不便利性問題都可以解決。而未來合約中，原生代幣的功能，將做到和 QKC 完全一致，消除多原生代幣應用的最后一層障礙。也就是說不需要授權，也就避免了無限授權的問題。

結語

代幣授權存在很大的安全隱患。如果我們想要改善密碼學貨幣應用的用戶體驗和安全性，我們顯然需要改進代幣授權功能。目前，最有潛力的就是多原生代幣功能從底層解決授權問題帶來的安全風險，不過目前 QuarkChain 公鏈上 DeFi 項目仍然較少，相信后續會有更大的爆發。

Tags：RC2RC20C20ERC20brc20幣怎么買brc20是什么鏈brc20銘刻ethereum和erc20的地址一樣嗎

ICP