最优质的加密货币资讯直接发送到您的邮箱。.
你知道 MetaMask 中一个简单的签名就能让你的钱包空空如也吗?
— korpi (@korpi87) 2022年8月19日
一位经验丰富的用户(Degen Score 排名前十)今天就因为漏洞损失了近 50 万 USDC。
下一个可能就是你……
本文将简要介绍事件经过以及如何避免将来再次遭受此类攻击。
那是一个宁静的下午,乔(化名)发现他的钱包里少了 46.9 万 USDC。
— korpi (@korpi87) 2022年8月19日
这不是一笔简单的转账,这意味着攻击者显然无法访问乔的钱包。
这是一份恶意合约trac盗走了他地址里的所有 USDC…… pic.twitter.com/pTgTjfMMeu
这里我们需要暂停一下,解释一些技术细节。USDC
— korpi (@korpi87) 2022年8月19日
代币是trac上的 Ethereum。它有很多功能, defi了我们如何与 USDC 交互以及可以用它做什么。
我们重点关注两个功能:
> 转账
> 从 pic.twitter.com/gekVmjmwvW
> 转账
— korpi (@korpi87) 2022年8月19日
当你在钱包之间转移 USDC(或其他 ERC20 代币)时,你会使用转账函数。
它会将代币从调用者(调用该函数的地址)转移到另一个地址。
要恶意地使用转账功能,有人必须先控制你的钱包。 pic.twitter.com/3Z3pYbBnRq
> transferFrom
— korpi (@korpi87) 2022年8月19日
当您与合约交互时trac他们会使用 transferFrom 来转移您的代币。他们可以转移的代币数量上限为您在批准函数中设置的限额。
如果您允许合约trac无限量的 USDC,它可以全部转移。https://t.co/QdUgLuZfZH
回到乔的故事……
— korpi (@korpi87) 2022年8月19日
前面提到的导致乔的USDC被消耗殆尽的合约trac确实是transferFrom功能。
但transferFrom功能只有在乔批准了trac使用其USDC的合约后才能生效。
乔百分之百确信他没有批准任何事情…… pic.twitter.com/HH9xxYeQms
等等……
— korpi (@korpi87) 2022年8月19日
DeBank 的历史记录清楚地显示,在恶意合同被利用前 10 分钟,USDC 对其进行了无限次批准trac乔
真的批准了吗?
是的。但也不完全是。并非直接批准的 。pic.twitter.com/AqQQs7GZAV
Etherscan 披露,无限次授权并非 Joe 本人调用的批准函数,
— korpi (@korpi87) 2022年8月19日
而是其他地址调用的许可函数,该函数授予恶意合约tracJoe 所有 USDC 的权限。
这到底是怎么回事?别人怎么能代表trac你 pic.twitter.com/TS3iDbhOXu
引入了授权功能,旨在提升用户体验 Ethereum。
— korpi (@korpi87) 2022年8月19日
它允许用户在不提交交易的情况下修改授权额度,只需签名即可。
任何人都可以通过您的签名调用授权功能,并更新您对某个消费者的授权额度。pic.twitter.com /hem0lPsnW1
您在使用 1inch dApp 时就能看到授权机制的实际应用。
— korpi (@korpi87) 2022年8月19日
如果您想出售 USDC,无需事先获得授权。您
只需签署一条消息即可。
此签名授予 1inch 使用您所有 USDC 的权限。1inch 本身不会这样做,但恶意合同trac会。pic.twitter.com /Dd7ggJFWtl
乔一定是dent在某个恶意网站上签署了这样的信息。
— korpi (@korpi87) 2022年8月19日
不幸的是,这次他使用的是热钱包,签名只需轻轻点击一下即可完成。
如果是硬件钱包,在外部设备上签名时,他肯定会三思而后行。
恶意攻击者利用 Joe 的签名提交了一笔带有授权功能的交易。
— korpi (@korpi87) 2022年8月19日
该授权允许恶意trac花费 Joe 钱包中的所有 USDC。
调用了 transferFrom 函数,trac盗取了这些资金。pic.twitter.com /1U6lWr9pmw
签名显然可能造成灾难性后果。
— korpi (@korpi87) 2022年8月19日
在某些情况下,Metamask 会警告您,对消息进行签名可能存在风险。
但对于签名授权而言,情况则不同,虽然签名授权在技术上按预期工作,但如果被滥用,则可能造成严重损害。https://t.co/5H9rNWVR3b
如何避免未来出现类似漏洞?
— korpi (@korpi87) 2022年8月19日
– 不要在 MetaMask 中对所有内容进行签名。
– 花时间了解你签名的内容。
– 谨慎使用传统的授权方式(参见链接帖子)https://t.co/549NmPly5s
希望这个帖子对您有所帮助。
— korpi (@korpi87) 2022年8月19日
请关注我的推特账号 @korpi87 ,并查看我的 Notion 主页: https://t.co/ZTqYKmhCNk, 了解更多信息。
请点赞/转发下方第一条推文,以帮助其他人避免类似攻击: https://t.co/9pqCSXi9JH
以太Ethereum的问题在于它不断优化代币经济模型,而忽视了去中心化、安全性和韧性。合并和权益证明机制似乎会导致中心化交易所和质押平台完全掌控监管,而且它们似乎无路可退。🧵👇 pic.twitter.com/Ur9tf42K5p
— Samson Mow (@Excellion) 2022年8月19日
他们是怎么走到这一步的?他们决定将质押 32 个 ETH 作为协议的一部分(为了锁定供应量并最大化代币经济效益)。这几乎使 PoS 机制达到了极致的中心化,而且他们也没有 “Bitcoin 私钥不属于你,币就不属于你”的文化。pic.twitter.com /Ml4QV93ECP
— Samson Mow (@Excellion) 2022年8月19日
所以现在有 66% 的验证者需要遵守 OFAC 的规定。而他们存入质押的 ETH 也无法提取,因为提现功能尚未编写——这就是代币经济模型。📈 pic.twitter.com/BdjFqYk70J
— Samson Mow (@Excellion) 2022年8月19日
等等!以太坊用户也可以像那样 Bitcoin 反垄断)吧?就像彻底向Coinbase展示谁才是老大一样!Maxi#UASF( pic.twitter.com/LBSRDOF79o
— Samson Mow (@Excellion) 2022年8月19日
不。首先,以太坊用户并不运行自己的节点;其次,大多数服务都依赖于 Infura,但这并非主要问题。pic.twitter.com /8rI1FsDwuU
— Samson Mow (@Excellion) 2022年8月19日
在开始下一部分之前,我要先声明,逮捕编写代码的开发者是极其恶劣的,而且会开创一个非常糟糕的dent。话虽如此……
— Samson Mow (@Excellion) 2022年8月19日
要 #UASF, 你需要软件支持。现在所有 Ethereum 分叉都有很酷的城市名称,比如伊斯坦布尔、伦敦、柏林等等。我们假设这个以太坊 Ethereum 分叉会叫“平壤”。平壤会阻止Coinbase和66%的多数用户审查受OFAC制裁的交易。
— Samson Mow (@Excellion) 2022年8月19日
“阻止审查OFAC制裁交易”的另一种说法可能是“帮助规避制裁”。也许我们忘了Virgil。所以,到底谁来给Pyongyang编写代码?Tornado Cash 开发者被捕了,所以Pyongyang的开发者们很可能也会被逮捕。pic.twitter.com /
— Samson Mow (@Excellion) 2022年8月19日
谁来掌控平壤?是那些用“X 🏴”做信号的人吗?他们也会把平壤节点和他们的以太坊账户关联起来吗?Coinbase、Kraken、 Bitcoin Suisse 以及其他占66%多数的平台 defi不会掌控平壤。.
— Samson Mow (@Excellion) 2022年8月19日
好了, Ethereum #UASF 已经取消了。
— Samson Mow (@Excellion) 2022年8月19日
“但如果Coinbase和其他公司胆敢遵守规定,我们可以狠狠地惩罚他们!” pic.twitter.com/rmlgn8Cb2Y
我或许是个可怜的 Bitcoin 小白,但我确实花了十分钟研究了一下,发现Coinbase根本没有惩罚机制。代码里也没有任何代码会检测和惩罚任何审查交易的行为。惩罚机制只会惩罚服务器宕机或双重签名。.
— Samson Mow (@Excellion) 2022年8月19日
所以我们又回到了需要平壤分叉的阶段,但没人会去编写或运行它。即使平壤分叉能够存在,用户也无法提取ETH。即使他们可以提取,也无济于事,因为只有Infura才重要。pic.twitter.com/ RQ44BWUqzE
— Samson Mow (@Excellion) 2022年8月19日
假设所有条件都完美契合, Ethereum 用户真的能够惩罚 Coinbase 等公司,那又意味着什么呢?这意味着少数股东将拥有随意惩罚多数股东的机制。从长远来看,这行不通。.
— Samson Mow (@Excellion) 2022年8月19日
这就是我们称以太坊为“垃圾币”的原因 。Ethereum 完全 是徒劳之举,充斥着糟糕的设计选择,其唯一目的就是拉抬代币价格。pic.twitter.com/ irYDrzJcOO
— Samson Mow (@Excellion) 2022年8月19日
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
伊比亚姆·瓦亚斯
伊比亚姆·瓦亚斯自 2019 年起便开始报道加密货币新闻。他毕业于尼日利亚国立开放大学计算机科学专业。他的作品曾发表于多家加密货币新闻平台,包括 Coinformania、Crypto News Australia 和 AltcoinBuzz。凭借其计算机科学背景,他目前专注于加密货币、机器人和长寿领域的新闻报道。.
