TOK:TokenPocket 闪兑服务商被盗，快检查你开通了多少“无限授权”

作者：

时间：1900/1/1 0:00:00

作者：LoopyLu，星球日报Odaily

今日，跨链??DEX?聚合器TransitSwap遭受攻击，导致大量用户的资金从钱包中被取出。截至目前，预计损失超2100万美元。

发现被盗后，TransitSwap技术团队紧急暂停服务，合约已完全暂停，无法进行任何操作。发稿前?TransitSwap官方发布公告称，此前黑客攻击事件原因系代码错误，目前已确定黑客IP、电子邮件地址，以及相关的链上地址。TransitSwap团队表示将尽力追踪黑客，并尝试与黑客沟通，帮助用户挽回损失。

此外，安全团队PeckShield已确认黑客资金流向。

与此前被盗项事件不同的是，TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验，也再一次向我们明确了加密市场“黑暗森林”的恐怖法则，即使是钱包背书的便捷“闪兑”服务，依然存在被盗隐患。

马克·库班公开个人钱包地址，持有OCEAN、RARI、gOHM、AUDIO等Token:1月15日消息，NBA 达拉斯独行侠队老板马克·库班公开了自己钱包地址，该地址内包含几个和一些建立在以太坊上的 Token。根据 EtherScan 数据显示，马克·库班持有的 Token 包括数据交换平台 Ocean Protocol (OCEAN)、跨链智能合约协议 Rarible (RARI)、Olympus DAO 的治理令牌 (gOHM) 和音乐流媒体区块链 Audius (AUDIO)）。此外，马克·库班还公开了自己的部分 NFT，并在社交加密收藏平台 Lazy 上展示了自己的 NFT 收藏品，这些 NFT 主要分布在 Solana、Polygon 和以太坊链上。

马克·库班坦言：我现在所做的投资大多不在传统行业中，在 Shark Tank 以外的投资中，有 80% 是在加密货币领域和围绕加密货币进行的。（dailyhodl）[2022/1/15 8:50:38]

什么是闪兑？

LBank蓝贝壳于6月19日21:00上线TOKAU，开放USDT交易:据官方公告，6月19日21:00，LBank蓝贝壳上线TOKAU，开放USDT交易，于6月9日18:00开启充值，6月21日14:00开启提现。资料显示,TOKAU是一个NFT网络，将追随者与他们的偶像联系起来，同时在他们之间建立一个永恒的关系。基于NFT，TOKAU与众多明星、名人、各领域的偶像合作。他们的图片、视频、音频、互动活动、商品和他们的一系列 \"价值 \"将被制作成NFT。它的目的是让每个用户都能通过TOKAU获得他们喜欢的偶像的NFT。[2021/6/19 23:49:47]

目前，几乎所有钱包都嵌入了?DeFi?功能，而一些钱包出于易用性的考量，更是创造了“闪兑”这一概念并加以应用。

所谓闪兑，即和钱包深度整合，在产品中拥有更明显的独立入口、更简化的操作流程，更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如，“Approve”操作通常被简单的一键式集成在交易流程中，用户几乎是无感的。

BW.io FOMA上线BW Tokens LaunchPad开启申购:据官方消息，BW将于10月28日香港时间12:00 正式开启FOMA申购，申购价格：1.1USDT/FOM.在BW.io Tokens LaunchPad页面，用户可使用USDT进行购买。

Fompound作为IPFS领域去中心化金融聚合器，对IPFS领域包括但不限于算力提供等方式进行投资，Fompound聚合器将使用Defi质押加流动性挖矿的方式产生平台权益及治理代币Fomp，并通过Fom-A至Fom-J分期分批的投资，对Fomp产生聚合效益，从而提升Fompound的项目价值。[2020/10/26]

或是因钱包内置集成，用户对其天然更具信任，也一定程度降低了防范意识。但究其本质，无外乎是钱包app集成的一款DEX，与其他DEX并无差异。这也给本次安全事件留下了隐患。

合约授权潜藏了多少风险？

USDK稳定币上线区块链数字货币钱包imToken:2月28日，据OKLink官方消息，USDK稳定币正式上线区块链数字货币钱包imToken，用户可基于imToken享受USDK资产存储等相关服务。imToken钱包旨在为区块链领域的用户提供安全放心、简单好用、功能强大的数字资产管理服务，现支持ETH、BTC、EOS等多个币种。

据了解，USDK是OKLink与美国信托公司Prime Trust联合推出的合规稳定币业务，锚定1:1美元兑换。由审计公司EideBailly每月出具审计报告，确保资产透明。[2020/2/28]

“没有人可以强行拿走你的加密资产”，是投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有，没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时，DEX是如何将一种资产拿走再转移给你另一种资产的？

授权就成为了这一切的关键。用户于DEX出售资产之前，需先执行“Approve”操作，这一操作之后合约便拥有了动用用户某种代币的权限。

金色财经独家：火币全球通用积分 Huobi token，官方表示不会私募也不会ICO:刚刚火币Pro Twitter宣布即将发布火币自己的全球通用积分HT。金色财经从火币官方了解到，HT不私募不ico，只送用户不卖。具体赠送规则即将在火币官网发布公告，金色财经会持续关注。[2018/1/21]

或者描述的更加直白一些：只要你做了授权，无需打开钱包、无需执行操作、无需私钥，该合约就可以不经你的许可，支配你授权的资产。这是由以太坊的机制和授权模型所决定的，与项目方的道德操守、安全规范、代码审计都并无审核关系。

审计=安全？

即使授权之后合约拥有转移加密资产的能力，但这种能力只在合理的范围内使用，这依然是安全的。而如果经过可信安全机构审计，是否即表示这种能力不会被滥用，只在用户进行交易时转走交易额的必要资产？

静态来看，这一逻辑是成立的。就如同?Uniswap??尽管拥有随时将用户钱包清空的能力，但并不会真的这么做一样。但动态来看，这一逻辑依然是危险的。

现代软件开发，升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中，拥有Transparent和UUPS两种升级方法，借助于这两个功能，合约代理和升级几乎是业界合约的标配。

项目方是如何进行合约升级的呢？通常，用户所访问的合约并非直接运行业务逻辑的核心合约，而是一个“代理合约”，代理合约接收到用户请求之后将其转发到核心的业务合约，再由业务合约进行处理。而合约升级即是更改简单来说，智能合约尽管不可修改，但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。

而即便是最安全的合约，只要进行“合约升级”，其业务合约就已发生变化，此前的审计报告也沦为了一张废纸。

简单来说，今天你所交互的合约是安全的，但明天访问同样的这个项目，可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

无限授权有多危险？

所幸的是，授权并不代表用户随时暴露于钱包清空的危险中下。授权机制还有一个重要规则即是授权是含有数量的。用户“Approve”合约一定数量的代币，合约最多只能动用这些数量，即使是钱包里该代币数量再多，合约也已无法动用。

但危险的是，大多数DeFi合约都在无所顾忌索取用户的“无限授权”，即在默认情况下，用户所Approve的代币数量为无限。

一个典型的“无限授权”操作，授权金额高达10的59次幂数量级

用户如何防范？

没有授权就没有安全隐患。在执行链上操作之时，如需执行Approve操作，用户应遵循“用多少、授多少”的原则。如果我只需卖出1000TOKEN，那即应手动修改Approve金额为1000。在计算合约转移金额时是累积的，即若只授权1000、本次金额恰好交易了1000，合约授权额度恰好已耗尽。即使日后合约出现安全风险，也已无法再从用户钱包中转移走任何资产。

用户可手动修改授权金额

而对已经授权的用户来说，还可发起取消授权操作。

常用取消授权网站如下：

1.Dappstar：https://tac.dappstar.io/#/

2.Revoke：https://revoke.cash/

3.Approved.zone：https://approved.zone/

4.?RabbyWallet?

此外，一些区块链浏览器也支持用户查看并取消授权。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盗，谁的责任？

“黑暗森林”是广为流传的对于链上秩序的叙述了，也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生，真的可以全部归责于用户的安全意识吗？