NBS:Dilation Effect 研究：幣安、等主要錢包的合約授權風險 大機構真的安全嗎？

本文由 Dilation Effect 與吳說區塊鏈共同發布。

主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力，Dilation Effect 無法得知這些機構內部的安全水平和實施細節，但出于好奇，我們想嘗試通過公開信息來對這些機構錢包地址做簡單分析，見微知著，從普通用戶角度來考量這些地址是否存在潛在安全風險，以及潛在風險敞口有多大。

本次快閃點評的數據全部來源于 Etherscan 、Debank 等公開服務。

1、分析對象選擇

查看 Etherscan 的 Top 1000 Accounts，挑出其中打了標簽的機構地址。

2、分析維度選取

由于不了解這些交易所和機構生成和管理錢包的技術細節，該如何對地址的安全性做分析？Dilation Effect 這次選取的維度是分析這些地址的合約授權情況。

因為地址被惡意合約騙取授權或者授權過的合約存在漏洞而導致被盜幣是很常見的攻擊。限制授權額度、定期清理授權已經成為最佳安全實踐。那么這些大型交易所的地址做的如何呢，我們隨機挑選幾個地址來做分析。

荷蘭百萬富翁Zihni ?zdil在短期內看好SHIB和DOGE:金色財經報道，荷蘭百萬富翁、該國左翼綠黨前成員Zihni ?zdil在推特上表示，他在短期內看好SHIB和DOGE。他還補充說，如果利率真的開始再次上升，你應該遠離加密貨幣，而轉向藍籌股。[2021/11/30 12:39:48]

案例一

地址：

Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC) 

這是 Binance 余額最大的錢包地址，ETH鏈為100億美金，其他鏈加起來一共161億美金。部分資產截圖如下：

查看此地址在 ETH 鏈的合約授權情況，發現提示 32 億美金存在風險。當然這里并不是說一定存在確定性安全風險，這只是一種潛在風險敞口的可能性描述。

ConsenSys Diligence已于5月對DeFi穩定幣協議Lien進行審查:ConsenSys Diligence宣布已于5月份對DeFi穩定幣協議Lien進行審查，并提出了7項安全建議。Lien可將抵押資產ETH分割成兩部分獨立的衍生品，在系統中分別叫做 SBT （固態債券代幣）和 LBT （液態債券代幣），其中所有與抵押物ETH法幣價值匯率相關的風險都由LBT吸收和承擔，從而使另一部分SBT的價格維持穩定，并由SBT這部分資產抵押生成穩定幣iDOL代幣，與其他穩定幣抵押系統不同，Lien無需超額抵押，也無需手動調整參數以維持目標匯率的錨定。[2020/7/4]

那么我們具體來看看此地址是如何做授權的，比如什么幣種授權給了什么合約，授權額度如何。以下摘錄部分查詢結果。

動態 | 沃爾瑪已加入MediLedger區塊鏈聯盟:據Coindesk消息，零售巨頭沃爾瑪已加入了MediLedger，這是一個區塊鏈的聯盟，用于跟蹤藥品的來源。此前，McKesson Corporation、AmerisourceBergen Corporation、Premier Inc.和Pfizer Inc.四家美國制藥公司已宣布加入區塊鏈項目MediLedger的工作組。[2019/6/3]

這時我們會發現一個奇怪的現象，就是這個地址上有的幣種限制了授權額度，有的幣種卻直接無限制，授權額度規則看起來并不統一。我們特別關注到 BUSD、Matic、SHIB、SAND 這幾個余額較大的幣種，地址余額分別為 19 億美金、4.6 億美金、2.6 億美金、1.4 億美金，相關授權記錄如下：

這里存在幾個明顯的問題：

一是對合約的授權沒有定期清理。比如針對 BUSD 的合約授權，兩年多過去了都沒做過清理，要么沒關注到要么覺得沒必要。這說明 Binance 在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說，已經分析過相關授權合約發現這些合約能做的操作有限，相對安全。但我們想說的是，這里首先并不是單純的技術問題，而更多是安全管理的問題。即 Binance 在這里該如何全面系統的去管理第三方合約帶來的風險，我們認為可以做的更嚴格深入。其實如果仔細看，你會發現 Aave: Lending Pool V2 是個可升級的代理合約，假如（我是說假如）Aave 合約被攻擊，這里就是 19 億美金的損失。

動態 | 美國四家領先制藥公司加入區塊鏈項目MediLedger:據cointelegraph消息，McKesson Corporation、AmerisourceBergen Corporation、Premier Inc.和Pfizer Inc.四家領先的美國制藥公司宣布加入區塊鏈項目MediLedger的項目工作組。據悉，MediLedger旨在通過開發通用網絡來降低成本并提高數據共享流程的效率，該解決方案據稱可以自動執行合同對帳和退款流程。[2019/5/4]

二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況，如果限制了授權額度會相應的降低風險。這同樣暴露出 Binance 在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況，但是對 Crypto 行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度，對風險要保持極度的厭惡是非常必要的。

三是幣種授權規則不統一，有些幣種限制了額度，有些完全沒限制額度，動作不統一。這說明 Binance 內部安全管理操作不明確，或者內部團隊沒有做好分工配合。

另外我們也很好奇，資產余額規模如此巨大的地址，為何要頻繁參與 Defi合約的操作呢？Binance 是否可以做出更細粒度的地址規劃和隔離設計呢？

動態 | SGInnovate投資新加坡區塊鏈和醫療保健分析創業公司MediLOT Technologies:7月17日消息，新加坡政府所有的深度技術開發公司SGInnovate已投資新加坡區塊鏈和醫療保健分析初創公司MediLOT Technologies，作為其開發基于研究的深度科技初創公司戰略的一部分，但并未披露投資金額。該初創公司在一份聲明中表示，其醫療數據平臺MediLOT基于區塊鏈、人工智能和數據庫管理系統技術，面向患者、醫療服務提供商、研究人員和商業公司。SGInnovate風險投資負責人Tong Hsien Hui表示：“MediLOT已經組建了一支偉大的團隊，其愿景是建立一個可互操作的分散式平臺，所有醫療保健提供商都可以使用該平臺從醫療保健記錄中獲取更多價值，為患者提供更好的醫療服務等等”。[2018/7/17]

案例二

Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

這是 Kucoin 交易所的地址，其 ETH 鏈上有17億美金，其他鏈加起來19億美金。此地址資產截圖如下：

查看此地址在 ETH 鏈的合約授權情況，發現提示 11 億美金存在風險。同樣的，這并不是指一定存在安全風險，而只是一種潛在風險敞口的可能性描述。

那么具體來看看 Kucoin 這個地址的授權情況。

哇！我們又發現了一些有意思的東西。

1、此地址的 APE 幣種在 2022-04-02 授權給了 Multichain 的跨鏈 Router 合約，大家應該知道前幾天 Multichain 出現了不可抗力因素的事件，但 Kucoin 并沒有在第一時間取消對 Multichain 合約的授權。這體現出 Kucoin 在風險應急響應上還存在改進空間。

2、此地址的大金額幣種 USDT（5億美金）、USDC（2.9億美金）、KCS（4.8億美金） 等全部都授權給了名為 Bridge 的合約，且授權額度完全無限制。簡單分析后發現 Bridge 是 KuCoin 社區鏈 KCC 的跨鏈橋合約，但在 KCC 的官網上查看搜索，并沒有發現相關的安全審計報告，這不禁又讓人心一慌。大家還記得 BNB Chain 的 200萬枚BNB 攻擊事件嗎？

案例三

Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

這是機構 Jump Trading 的地址，其 ETH 鏈上有 1.4 億美金，其他鏈加起來 1.5 億美金。此地址資產截圖如下：

查看此地址在 ETH 鏈的合約授權情況，發現提示 2500 萬美金存在風險。同樣的，這并不是指一定存在安全風險，而只是一種潛在風險敞口的可能性描述。

那么具體來看看 Jump Trading 這個地址的授權情況。

可以發現此地址上幣種的授權不多，而且絕大部分的授權都做了額度限制，總體上管理得還不錯。

但是 USDC 幣種在 2021-02-04 授權給了 Curve 合約，未設置限額，且一直未取消。這一點需要做出提醒，如果不需要對應的合約操作，建議立即取消對此合約的授權。

總結

這次的快閃點評到這里就結束了。Dilation Effect 隨機抽取了幾個交易所和機構地址做分析，從結果來看，這些機構在合約授權方面做得并不是很完美，希望我們的分析能給相關機構提供參考。沒有抽取到地址的交易所和機構，也可以參考上文中的分析過程來檢查是否存在類似問題。

區塊律動BlockBeats

Foresight News

曼昆區塊鏈法律

GWEI Research

西柚yoga

ETH中文

金色早8點

金色財經 子木

ABCDE

0xAyA

Tags：NBSBSPETH區塊鏈NBS幣BSPTBETH幣區塊鏈上班都是干什么的

XLM