比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

DEFI:【必讀】以太坊 DeFi 生態當前最大的安全隱患

Author:

Time:1900/1/1 0:00:00

轉載自:比特派錢包

DeFi很火、Compound很熱,業內都仿佛打入雞血一般地參與到這個生態,創新、革命,終結中心化這一天似乎馬上就能到來。

預言機、智能合約錢包、去中心化借貸、去中心化交易、去中心化blahblah......

很多區塊鏈行業內的從業者們開始樂觀地認為DeFi的黃金大廈已經基本完工。

不過,在DeFi晴朗的天空上,卻還飄忽著幾朵令人不安的烏云。

2020年4月18日,Uniswap爆出智能合約漏洞,該漏洞被人利用盜取了數十萬美金的資產;

2020年4月19日,Lendf.me因相同漏洞,被一位程序員盜取了數千萬美金的資產;

這兩次的事件,在業內引起了軒然大波,尤其是Lendf.me的被盜,更是引發了更廣泛地討論:

“到底應該由誰來承擔責任?”

“似乎去中心化之后就很難說清楚出了問題該找誰?”

“難道DeFi了之后,丟幣就全得是用戶承擔了嗎?”

幸運的是,因為盜取Lendf.me的人只是一名普通的程序員,并不是職業的黑客——他并不懂得如何更好的隱匿自己的行蹤。因其泄露了IP,并進一步被定位,最終這位程序員只能主動退還資產以避免受到法律上的懲罰。

在這件事情上,Lendf.me的項目方和用戶可以說是極其幸運的,他們躲過了巨額資產損失及冗長的法律訴訟的風險,從行業的角度上講,找回了肯定是好事。但好事歸好事,籠罩在DeFi生態上的烏云仍未消散,DeFi的未來還安全嗎?

關于智能合約安全,歷史上已經發生過很多起事故了,這朵烏云其實一直就在那里,這也是行業需要一直面臨下去的風險和挑戰。

不過我們今天要跟您聊的是另一朵烏云,從安全的角度上講,另一朵烏云的復雜度要低很多,但其影響卻更廣泛——幾乎影響到了每一個參與DeFi的用戶。

Web3投資機構Cipholio Ventures對Meta Era進行戰略投資:據官方消息,Web3投資機構Cipholio Ventures宣布將對Web3內容生態聚合器Meta Era進行戰略投資,并共同致力于線上及線下Web3科普推廣。這次投資是Cipholio Ventures和Meta Era在香港新政策出臺后加大投資力度的重要舉措。雙方將充分發揮各自優勢,在區塊鏈技術應用、Web3理念傳播等方面展開深入合作。

據悉,Cipholio Ventures是一家以研究為導向的投資公司,專門研究有可能重塑萬億美元市場的加密貨幣、代幣和區塊鏈項目。Meta Era 是立足于香港的Web3.0資源聚合器,已與數百家投資機構,web3企業及業內媒體、社區建立了合作。[2023/6/1 11:53:01]

其影響程度明明很嚴重,但卻一直被行業內的用戶和從業者們所忽視。這朵烏云如達摩克利斯之劍,懸于DeFi的之頂,無論你是否無視它,它一直都在那里,靜靜地看著你,等待著機會將你一口吞嚙。

作為比特派安全實驗室成立之后的第一篇文章,我們將系統的把這朵烏云給大家講清楚,并且還會包括完整的智能合約案例來給大家演示這朵烏云對于普通用戶可能造成的資產安全風險。相信通過本文,用戶們就能清楚的意識到,當你去參與以太坊的DeFi生態時,很多你不經意地操作所帶來的風險可能沒那么簡單,這其中的風險,可以大到沒有上限。

在正式開始討論之前,我先問大家一個問題:

假設你有100萬個以太版本的USDT,現在你決定向一個中心化的交易所轉入1萬。如果出了問題,你的風險上限是多少?

答案很簡單,風險只是你存入的1萬USDT。剩下的99萬都在你的錢包里,無論是黑客還是交易所老板都拿這些錢沒辦法,他們能偷走的只有那1萬。

好了,現在相同的場景放到DeFi里:

還是假設你有100萬USDT,現在你決定往一個去中心化的DeFi合約里存1萬,如果出了問題,你的風險上限是多少?

ParaSpace合約完成升級,提款時間鎖安全增強功能現已全面實施:3月25日消息,NFT借貸協議 ParaSpace 發推表示,其協議合約完成升級,提款時間鎖安全增強功能現已全面實施,ParaSpace 已恢復并滿負荷運行。

同時宣布與 BlockSec 達成合作伙伴關系,BlockSec 將加入 ParaSpace 安全委員會。[2023/3/25 13:26:24]

還是1萬嗎?錯!你現在的風險上限很可能變成了100萬USDT,即便剩下的99萬USDT明明還是安安靜靜地躺在你的錢包里,甚至你可以很小心地把這些USDT保管在絕不觸網、絕對安全的硬件冷錢包里也一樣,你的百萬資產極有可能一瞬間就會灰飛煙滅,BOOM!

為什么會這樣呢?原因就在于以太坊生態最基礎的授權模型。

當你訪問一個智能合約時,智能合約可能會為了“能更方便的操縱你的資產”的目的,向你申請授權,那這個授權調用又是個什么樣子呢?

現在我們隨便從鏈上找一筆授權交易來看一下:

https://etherscan.io/tx/0x419d17e216cda75dd9635a752e9aedb8f43ed4bfe31a6f75ed8923779c73eb6e

這筆交易很簡單,其實就是這個地址授權給合約無限動用自己全部USDT的權力。

那這么做的好處又是什么呢?

在完成了這個授權操作后,Uniswap就可以很方便地操作你的資產了,后續的調用少了,訪問次數也少了。有的合約甚至還可以幫你兌換以太礦工費,也就是說,讓你在沒有ETH做礦工費的情況下,仍然可以調用這個合約。

這種授權方式的優點其實就是方便,方便到你甚至不用打開錢包了,也能幫你轉幣。

“什么?不用打開錢包了也能轉幣?誰能轉我的幣?”

加密指數基金管理公司Bitwise將引入主動管理加密策略:11月2日消息,加密指數基金管理公司Bitwise Asset Management宣布將引入主動管理加密策略,以滿足機構對流動性加密策略快速增長的需求。Bitwise的主動管理加密策略團隊由Jeffrey Park領投,Jeffrey Park此前是Corbin Capital的合伙人,在此之前,曾在哈佛管理公司和摩根士丹利任職。[2022/11/2 12:07:03]

這就是問題所在,只要你做了授權,該合約就可以不經你的許可,支配你所有的資產。記住,這跟你的私鑰是如何保管的沒有關系,哪怕你把你的私鑰保管在硬件冷錢包里,放到冰箱里凍起來,該合約仍然能把你的幣一掃而空。

好了,現在估計有人會說了,雖然合約能轉走我的幣,但智能合約代碼如果是開源的,并且都經過了第三方審計,里面又沒有轉走我的幣的代碼,那我是不是就安全了呢?

其實跟合約授權相關的安全性跟是否開源以及有沒有經過第三方審計關系不大,現在DeFi生態的大部分復雜的智能合約,都是可以升級代碼的,也就是說,今天的代碼可能的確不能轉走你的幣,但明天Owner作惡更新一下代碼,就能把你的幣一掃而空了。

看完授權交易的樣例之后,我們現在再來看一個合約的樣例代碼:

https://github.com/bitpie-wallet/erc20-approve-issue-demo/blob/master/contracts/ExchangeDemo.sol

在這個樣例中,我們模擬了一個智能合約漏洞的情況,假設合約開發者不小心將ExchangeDemo合約的transfer方法訪問控制權限設置成了public。在這種情況下,只要你對該合約進行了授權操作,哪怕你沒有對該合約進行過任何轉賬操作,別人都能直接轉走你錢包里的全部Token,就這么簡單。

比特幣成為eToro上持有最多的加密資產:7月22日消息,比特幣在2022年首次擊敗Cardano,重新成為全球eToro平臺上最廣泛持有的加密資產。與此同時,相對于比特幣,羅馬尼亞投資者仍然更青睞于Cardano。盡管2022年市場陷入困境,但持有比特幣的eToro用戶數量在第二季度增長了9%,這表明有韌性的散戶投資者仍然長期看好比特幣。Cardano的持有量小幅下降不到1%,在eToro平臺上持有最多的10種加密資產中排名第二。

在羅馬尼亞,Cardano仍然是持有最多的加密資產,而自2022年第一季度末以來,持有比特幣的用戶數量增長了11%,超過以太坊成為第二名。

(Nine O’Clock)[2022/7/22 2:32:04]

當然,真實情況下的合約漏洞可能會很復雜,具體表現形態也是多種多樣的,但這里我們想說明的是如果一不小心合約里寫出了能被第三方動用授權者資產的漏洞,那毀掉的可就不僅是合約本身了,所有給該合約授權過的人的資產全部會被盜走。

有人可能會說了,那我們不寫出能轉走授權資產的漏洞就行了吧?道理沒錯,但現實中這是幾乎不可能的。以太歷史上無數次的漏洞都證明了這一點,只不過大部分漏洞只能影響到合約內的資產或者只能影響合約的執行方式,而授權相關的漏洞則會危及到所有做過授權的人的全部資產的安全,現在明白你到底在冒多大的風險了吧?

我們繼續看下一個樣例代碼:

https://github.com/bitpie-wallet/erc20-approve-issue-demo/blob/master/contracts/ExchangeDemoV2.sol

在這個例子中,合約開發者升級了ExchangeDemo合約,升級之前的claim方法本來只能支取合約上的token的余額,但開發者將其修改成可以轉走用戶授權的token,也就是更新之后,用戶再進行授權操作,開發者就可以輕松的調用claim方法轉走用戶錢包里的幣了,就這么簡單。

以太坊L2網絡總鎖倉量為37.4億美元:金色財經消息,據L2BEAT數據顯示,截至目前,以太坊Layer2上總鎖倉量為37.4億美元,近7日下跌8.61%。其中鎖倉量最高的為擴容方案Arbitrum,約19.3億美元,占比51.71%。其次是Optimism,鎖倉量7.15億美元,占比19.08%。dYdX占據第三,鎖倉量6.19億美元,占比16.54%。[2022/7/2 1:46:04]

上述樣例中完整的測試用例及代碼可以在https://github.com/bitpie-wallet/erc20-approve-issue-demo/blob/master/test/ExchangeDemo.test.js上看到,有興趣的同學們可以試試。

通過ExchangeDemoV1和V2兩個版本的智能合約樣例我們可以看出,因為濫用授權,即便用戶沒有或者只向合約轉入了很少的資產,如果合約有授權轉賬相關的漏洞,則所有授權過的用戶錢包內的資產都將面臨風險。即便是沒有漏洞,合約開發者也具備更新代碼后拿走授權用戶錢包內全部資產的權力。

這里我們還可以再進一步展開來談,一個向你索取無限授權的合約,其目的顯然是為了能方便的操縱你的資產,而合約本身的功能當然也會與操縱你的資產相關,無論是交易、借貸、理財等等的,都要操縱資產。

因此,合約本身至少會有相關接口來進行轉幣操作,當然這個轉幣操作都是功能性的,比如說為了抵押的目的向合約地址存入5萬USDT,或者為了兌換的目的向合約地址存入1千USDT,好了,現在的問題是,既然合約本身就有這類的接口,合約Owner也就有可能未經你的許可繼續使用相同調用讓你往合約里存入更多的資產,也就是說,即便不升級代碼或者沒有相關漏洞,這種可能性也是存在的,尤其是那種可以替你代付了以太礦工費的合約,說明連調用的發起審核都可能是由合約Owner來負責的。

也就是說,如果一個智能合約在你授權后能夠有一個方法將你的一千元轉入合約地址,自然也可以用相同的方法轉入一萬、十萬、一百萬,而轉入合約地址或者其它相關地址之后,合約Owner其實就有能力拿走這些資產了。

這里我們要說明一下,像0x這類的合約在這一點上是做了一些防范的,他們在調用接口時驗證了用戶的簽名,也就是說至少能確保調用操作是用戶發起的。但這種其實就很依賴于合約代碼的編寫方法了,合約代碼里可以驗證用戶簽名,也可以驗證合約Owner的簽名,當然還可以啥都不驗證,合約方法也可以是由用戶調用或者是由合約Owner調用,不同的寫法會把你錢包里幣的控制權給了不同的角色,聽著是不是很嚇人呢?

估計又有人要說了,如果智能合約的Owner不作惡,不就沒這個問題了嗎?

這里我們要說明一點:

去中心化首先要做到的是無需第三方信任,如果一個去中心化項目要求你必須信任合約Owner,那去中心化的意義何在呢?

另外,更為重要的是,你本來以為合約Owner對于你的資產的影響僅僅局限于你參與到該智能合約的部分,比如說你為了交易而轉給dex、為了理財而轉給去中心化借貸合約的幣,你以為合約Owner只能影響到你存進去的那部分資產,現在就應該明白了,合約Owner能影響到的不止是這一部分,他還能影響你錢包里的剩余資產,無論你的錢包是熱的還是冷的,沒關系,都可以是我的。

接著說,即便是我們假設合約Owner是道德上極其完美的人,但隨著智能合約越來越復雜,眾所周知出現漏洞的風險也就越來越高,在之前的理解里,大部分人可能認為的都是如果出現漏洞,主要的資產風險還是合約內的,攻擊者最多也就是把你存在合約里的幣都給拿走。但本文中的樣例告訴了你這么一個事實,如果合約漏洞恰好是跟授權轉賬相關的,那風險就擴散了,所有曾經給該合約授權過的地址都會被一掃而空,只要攻擊者掃描一下都有那些地址進行過授權操作,然后挨個把這些地址上的幣都給轉走就好了。

更重要的是,這還給了智能合約的開發者們如何安全的保管Ownerkey提出了更高的要求,如果哪天你的Ownerkey丟了,那完蛋的可不僅僅是存在合約里的幣,完蛋的是所有授權用戶錢包里的全部資產,這又有誰能承擔呢?

看到這里,你是不是就明白為什么本文的標題是“以太坊DeFi生態當前最大的安全隱患”了吧?

由于以太坊生態里對于授權的濫用已經到了非常嚴重的程度,我們甚至可以說幾乎所有的DeFi合約都在毫無節制的索取無限授權,在這種情況下,出于小白鼠的目的實驗各種DeFi項目的行為本身無可厚非,但如果告訴你,所冒的風險是你的全部資產,而并非僅僅是拿來參與DeFi的那點兒幣,你又該作何感想呢?

區塊鏈行業內對于以太坊生態的授權濫用情況之前曾有過一點點聲音,但其實還遠遠不夠,無論是開發者、從業者、用戶等群體,99.9%的人對此一無所知,濫用授權的情況幾乎是全部,是時候來改變這一現狀了。

這里我們列出了一些濫用授權的項目案例:

Compound

Uniswap

Kyber

Maker

0x

Balancer

dYdX

EtherDelta

IDEX

imTokenTokenlon

上述列表中的前面幾個Compound、Uniswap、Kyber正是當前DeFi世界中熾手可熱的明星項目,但這些項目卻無一例外的選擇了讓用戶無限授權以獲得用戶資產的完全控制權,也就是說任何用戶只要是使用過上述項目,你的錢包里的幣就有可能隨時會面臨本文中所提到的風險,這其實是很遺憾的一件事情。

我們對一部分無限授權了的地址進行了篩查,發現多數的地址上都仍存有資產,其中好多地址更是不乏擁有百萬千萬甚至億級別的資產,而這些地址的擁有者,其實已經在自己不知情的情況下把資產的支配權交予了別人。

上述合約都應調整自己的授權代碼,將其改為按需授權,比如說,你只需要兌換1000USDT,那就只授權1000USDT,額外的所要授權都是越權行為。使用這些合約的用戶也應該改變自己的DeFi合約使用行為,應該將不參與DeFi的幣放到另一個不會授權給任何應用的地址,以保護自己的資產安全。

由于以太生態的發展演化非常快,我們專門在比特派里設計了以太安全中心,當你切換到以太體系之后就能看到,在以太安全中心里我們目前開發了合約授權檢測功能,除了可以看你在比特派里的地址是否有哪些濫用授權的情況,還可以隨便看外部的任意一個地址的當前授權情況。對于被濫用的授權,還可以進行授權回收操作。

關于比特派的合約檢測功能,我們將專門寫一篇說明文章來指導大家如何使用,您的地址現在安不安全?檢測一下就知道了。

說到授權被廣泛濫用,比特派在這塊是怎么做的呢?以比特派錢包中很常用的批量轉賬功能為例,我們的做法是有限授權,也就是說,如果你需要將100個USDT轉到50個地址上,比特派只會授權100個USDT,不會產生任何額外的授權。再比如說,比特派的代付USDT礦工費功能,我們就完全沒有使用合約授權,哪怕明明是使用授權方式實現起來更簡單,我們都沒這么去做,其實就是因為這個道理,項目方應該以用戶的權益放在首位,任何徒增用戶風險的行為都應該被抵制。

考慮到這朵烏云之下的安全,普通用戶參與DeFi應該采取哪些防范措施呢?

1、定期使用像比特派這樣的錢包中提供的授權掃描功能,來看看都有哪些合約獲得了你的授權;

2、使用多個以太坊地址,將存幣地址和參與DeFi地址分開,把僅用于DeFi活動的幣放到DeFi地址中,這樣即便是烏云壓頂了,存幣地址里的幣還是安全的;

3、回收一些應用的授權,降低風險,至少你應該清楚哪些應用可以不經你的許可直接轉走你錢包里的幣才行;

4、呼吁項目方不要濫用授權,按需授權,以降低用戶的安全風險。

去中心化金融的確代表著未來,也是區塊鏈技術非常重要的應用場景。

但將我們聚在一起的,從來不是天翻地覆的概念、不是深奧晦澀的代碼、不是天花亂墜的技術,一直都是私有財產神圣不可侵犯的信念。

只有它能讓我們繼續走下去,直到撥云見日。

Tags:DEFIDEFEFISDTDefi TigerPEET DeFiDeFi Kingdombtcusdt

幣安app官網下載
比特幣:比特幣鏈上數據洞察:礦工偏好囤幣 真實流通僅 12%

因為比特幣地址是公開透明的,并且很多交易所、機構和個人往往也會因為個人公開或是機構公開亦或是被人們“猜測到”等原因,被人們知道地址歸屬者是誰.

1900/1/1 0:00:00
KEX:OKEx關于幣幣/杠桿業務最小價格精度調整公告

尊敬的OKEx用戶: 為提升市場流動性,優化客戶交易體驗,OKEx將于2020年12月30日15:00-15:10(HKT)調整部分幣幣/杠桿交易幣對的最小價格精度.

1900/1/1 0:00:00
區塊鏈:火幣大學于佳寧:比特幣等數字資產有望在2021年成為“新主流資產”

近期,比特幣接連上漲,全球區塊鏈數字資產市場異常活躍。最近一周,比特幣漲幅高達25%,價格一度沖破24000美元,今年以來比特幣漲幅高達233%,其他數字資產也接連上漲,全球數字資產總市值現已超.

1900/1/1 0:00:00
XRP:巴德言幣:12.24瑞波幣行情解析,暴跌之后多軍該如何自處?

各位老鐵大家好,我是你們的朋友巴德。跟著我的客戶都是做了很久的,不是我帶他們收獲了多少,而是我用心在指導,毫無保留的教技術,經常熬夜盯盤,深夜告知客戶出場或進單;我的長遠目標是有收獲的時候大家都.

1900/1/1 0:00:00
GAT:Gate.io 上線 1INCH (1inch) , POND(Marlin) 杠桿交易和幣幣理財服務

Gate.io一直秉承真實,透明的理念,不造假數據,不干預市場交易,為用戶提供真實自由的市場工具和穩定健康的市場服務。杠桿交易提供做多和做空機制,可以有效穩定市場到合理價值.

1900/1/1 0:00:00
VERS:老山說幣:比特幣繼續空,下方空間還有,多單不著急進場

各位朋友們,你們好,我是老山說幣。在這個市場,如果你處于一直虧損的狀態,不如換個環境。也許正是你的一次改變,會給你帶來不一樣的結果.

1900/1/1 0:00:00
ads