EFI:ERC20 無限授權 方便自己也方便黑客 有沒有解決方案？

隨著DeFi的火爆，一般的區塊鏈老手用戶肯定不止一次對DeFi項目進行授權了，每當使用一個新的DApp，都需要授權這個DApp花費你的代幣。除了流程繁瑣之外，每次授權都還要支付不菲的手續費。很多用戶為了省錢省事，每次授權都是提供無限期授權，結果不知道哪天，突然發現自己的錢被人轉走了，而原因并不是因為私鑰被盜，而是因為圖方便給DeFi合約進行了無限授權，為什么會有無限授權？有沒有解決方案？

為什么要有ERC20授權？

有了以太坊上的原生代幣ETH，你就可以將ETH發送至該智能合約，同時調用智能合約功能。這是通過所謂的可支付函數實現的。但是，由于ERC20代幣本身就是智能合約，以太坊無法通過直接將智能合約代幣發送到智能合約來調用其函數。原因是這個轉賬是在ERC20代幣合約上發生的，不在DeFi合約。

ERCOT臨時CEO：比特幣礦業與得克薩斯州可以實現互利關系:12月6日消息，美國得州電力可靠性委員會（ERCOT）臨時首席執行官Brad Jones宣布他支持比特幣。“我支持比特幣……但我太厭惡風險，不想成為比特幣的投資者。”據悉，ERCOT為該州約90%的地區供電。

Brad Jones指出，該州的比特幣挖礦可能對得克薩斯州和比特幣網絡都有利。比特幣礦業與得克薩斯州可以建立互利關系。這是因為比特幣礦工需要大量能源，而該州能夠以極具競爭力的價格提供能源。隨著該公司計劃將大量可再生能源發電納入電網，電力輸出甚至有望增加。他指出，比特幣礦工可以在需求低迷時消耗這種過剩的電力供應。得克薩斯州眾議員Ted Cruz也有同樣的看法。（Zycrypto）[2021/12/6 12:54:55]

那么如果想要合約來調用ERC20應該怎么辦？ERC20標準中，提供了一個讓智能合約使用transferFrom()函數代表用戶轉移代幣的方案。為了激活這個功能，需要用戶授權智能合約轉移代幣的權限。

Gary Vaynerchuk NFT系列涂鴉在佳士得拍賣會上以120萬美元成交:10月2日消息，佳士得周五拍賣了企業家 Gary Vaynerchuk 為其 VeeFriends NFT 系列創作的五件藝術品。此次拍賣是佳士得在紐約市舉行的“戰后到現時”現場拍賣的一部分，進一步推動了該拍賣行進軍數字藝術品銷售領域。VeeFriends 系列由 10,255 個字符的不可替代代幣組成，可通過加密貨幣以太坊購買 。每個代幣都包含一個帶有元數據的“智能合約”，Vaynerchuk 可以使用這些元數據與買家進行交互。在 NFT 購買后的三年內，代幣持有者還將獲得一項名為 VeeCon 的年度商業活動的獨家訪問權。（cnbc）[2021/10/2 17:20:32]

授權后，用戶就可以將代幣“存入”智能合約，進行DeFi應用的使用了。

分析 | 以太坊近期市場表現優于ERC20代幣 基本面狀況維穩:據 TokenGazer 數據分析顯示，截止至 8 月20日 11 時，以太坊價格為$200.72，總市值為$21,537.52M，主流交易所交易量約為$146.87M，環比昨日增量15.31%，以太坊對比特幣匯率平穩波動；基本面方面，以太坊鏈上交易量、算力平穩波動，近期新增活躍地址數增速有一定放緩，鏈上DApp交易量持續下滑；以太坊 30 天開發者指數約為 2.31，與 BTC 180 天關聯度保持穩定，目前約為0.795；以太坊 30 天 ROI 平穩波動；ERC20代幣總市值約為以太坊總市值的 66.97%，持續下滑，說明在市場波動過程中，ERC20代幣表現不及ETH。[2019/8/20]

比如，用戶將USDT“存入”Aave來賺取利息，首先需要授權Aave合約可以從用戶的錢包中取出USDT。然后再調用Aave合約函數，指定想要存入USDT的數量。然后，Aave合約使用transferFrom()函數從你的錢包中取出相應數量的USDT完成轉賬。

動態 | 新貿鏈(CNCC)與服務鏈(SERC)達成戰略合作:2018年7月10日，服務鏈SerChain官方宣布與新貿鏈CNC-Chain建立深度戰略合作關系，雙方就在區塊鏈領域的合作內容進行了深入交流、探討，達成并簽署了全面戰略合作協議。SerChain主要為新貿鏈CNCC實體應用場景技術支持和區塊鏈技術支持。雙方共同探索如何利用基于游戲的區塊鏈投資生態為雙方帶來穩定、高質的客戶流量，加強產業合作與促進雙方戰略目標的達成；將共同致力于對區塊鏈落地應用方面的探索，推進區塊鏈技術的應用拓展。[2018/7/10]

無限ERC20授權的問題

授權使用DeFi時，你就可以選擇將這個幣種單次授權，即僅同意本次轉賬，或者進行無限授權，讓合約能夠在未來不限次的有權操作你錢包內的這種代幣。

在目前DeFi依托的以太坊網絡底層不完善的前提下，對DeFi合約進行無限授權，是能有有效提高DeFi使用體驗的一種方式。避免了每次使用前都要進行授權的麻煩，以及每次交易前授權造成的GAS消耗。設置無限授權后，用戶只需要同意一次，之后存款時就不會再重復這一過程。

但是，該設置存在很大的弊端。因為用戶授予的，不僅僅是操作轉入合約部分代幣的權利，而是這個錢包中這個代幣的支配權。

也就是說一旦合約留有后門，或者遭到黑客攻擊，那么不僅是存入DeFi項目中的代幣，我們自身錢包里的相應代幣也將受到威脅。而由于這個授權是由自身私鑰簽名授權的，因此一旦遭到攻擊，即便使用冷錢包，也不能防止自身財產被盜。

怎樣防范風險？

1.對于不交易的持倉資產可以選擇取消授權

現在DeFi項目如同雨后春筍，不知不覺可能就會授權很多項目，這就加大了被盜風險，我們可以在DeBank上通過查詢自身錢包地址的方式，查詢授權的合約，然后及時取消高風險項目的授權。

2.分號使用，交易完及時轉出資產

即便是再靠譜的項目，也都存在被攻擊的可能，因此，不要把雞蛋放到同一個籃子里更加重要。

3.考慮其他項目

既然以太坊底層無法改變，那么其他擁有靈活底層的公鏈，就成為了后續可以關注的對象。

比如推出了多原生代幣功能的QuarkChain。在QuarkChain主網中，多原生代幣(Multinativetoken)在QuarkChain系統中和QKC基本是一樣的地位，可以調用合約、跨鏈、在滿足某些情況的條件下可以支付交易手續費，除了不能參與QKC網絡治理，原生代幣可以實現QKC所有的功能，包括跨鏈轉賬。大部分Defi面臨的非原生資產不便利性問題都可以解決。而未來合約中，原生代幣的功能，將做到和QKC完全一致，消除多原生代幣應用的最后一層障礙。也就是說不需要授權，也就避免了無限授權的問題。

結語

代幣授權存在很大的安全隱患。如果我們想要改善密碼學貨幣應用的用戶體驗和安全性，我們顯然需要改進代幣授權功能。目前，最有潛力的就是多原生代幣功能從底層解決授權問題帶來的安全風險，不過目前QuarkChain公鏈上DeFi項目仍然較少，相信后續會有更大的爆發。

Tags：EFIDEFIDEF以太坊onekey一鍵還原提示uefiBasketDAO DeFi IndexBrainaut Defi以太坊行情

瑞波幣