USDC:一个简单的签名如何导致50万美元被盗？

你可能很难想象，Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上，今天他因一个漏洞损失了近50万USDC。如果不多加小心的话，你可能就是下一个他。所以，今天我想和大家讲讲这件事的来龙去脉，告诉大家以后如何注意此类问题。那是在一个安静的午后时分，Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单，肯定不是攻击者能做出的行为，因为他们根本不可能得到Joe钱包的权限。那就说明，转走他所有USDC的应该是某个恶意合约。

在讲述今天的故事之前，我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约，规定了我们可以如何使用USDC。在众多功能当中，我们需要特别关注下面两项功能：转账代转

比特币波动指数近一个月维持下降趋势，已回落至今年2月低位水平:5月22日消息，由金融指数公司 T3 Index 联合比特币期权交易平台 LedgerX 推出的 BitVol（比特币波动）指数在近一个月内维持下降趋势，昨日已跌至 52.88，回落至今年 2 月的低位水平，较前一日回暖 0.74%。注：BitVol指数衡量从可交易的比特币期权价格中得出的30天预期隐含波动率。隐含波动率是指实际期权价格所隐含的波动率。它是利用B-S期权定价公式，将期权实际价格以及除波动率σ以外的其他参数代入公式而反推出的波动率。期权的实际价格是由众多期权交易者竞争而形成，因此，隐含波动率代表了市场参与者对于市场未来的看法和预期，从而被视为最接近当时的真实波动率。[2023/5/22 15:18:22]

观点：印度在考虑对比特币交易征税前需建立一个加密货币监管框架:针对印度计划对比特币交易征税，安永会计师事务所合伙人Abhishek Jain解释说：“在考虑税收之前，需要建立一个加密货币监管框架。这对印度加密行业来说是一件好事。”目前，印度没有专门针对加密货币的适当监管框架。而在税收方面，印度加密货币交易员往往依赖于针对其他资产的规则。印度区块链律师Varun Sethi表示：“迄今为止，税务部门还没有针对比特币交易发布正式的规则或规定。”他还说：“这一行动确实影响了印度的加密行业，因为印度法律不明确，从而阻碍了外国机构实体带着监管透明度和信心进入印度。”此前报道，印度政府正在考虑对比特币交易征收18％的商品和服务税（GST）。预计每年征税约40亿卢比（5340万美元）。（Finance Magnates）[2021/1/1 16:13:55]

当你需要在钱包之间转移USDC，或其他ERC20s时，就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能，那么他一定得先掌握了你钱包的全部权限才行。

Blockstream首席执行官：Sushi就是一个退出局:Blockstream首席执行官Adam Back昨日在推特上表示：这个有点意思：Sushi：贷款，空投，先拉后砸；莱特币：比特币是黄金的话莱特币就是白银，早期挖矿/购买，顶部卖出。今日Adam Back继续发推称，鉴于昨日发生的新情况（指SushiSwap创始人Chef Nomi套现1.8万枚ETH），需要更新一下：Sushi：贷款，空投，拉盘，退出局。此前消息，有成员表示SushiSwap创始人Chef Nomi疑似套现价值600万美元的ETH，随后导致SUSHI代币暴跌。Chef Nomi回应称，套现只造成5%的滑点。他将继续推进SushiSwap的发展和流动性迁移，继续在社区提供技术支持。同时他还坚称：“我卖掉Devshare的SUSHI代币和Sushiswap是不是局没有关系，我不知道为什么现在每个人都认为我是个子。我没有偷任何人的钱。Devshare的使用方式在最初的博客文章中已经非常清楚地说明了。”[2020/9/6]

金色财经现场报道 柏链道捷CEO孟岩：以太坊是一个高度民主化的治理制度:金色财经6月3日现场报道，在今天的以太坊技术及应用大会上，柏链道捷CEO孟岩做了题为《以太坊经济系统模型及其未来发展方向》的主题演讲。孟岩说，以太坊是一个高度民主化的、协商制的治理制度。前一段时间，以太坊社区提出要改算法，但因为以太坊社区是有治理的，如果有人在这里进行了高度的算力集中，社区会主动推动以太坊系统走向POS。即便如此，这些希望修改以太坊系统的社区成员，仍然继续通过EIP制度提案，推动社区探讨是不是要修改算法。这充分说明了以太坊系统是一个有精神领袖的民主社区，这在今天的公链是不多见的，是以太坊非常值得学习的一点。[2018/6/3]

当你与合约产生互动时，它们会通过代转功能来转移你的Token，具体金额由你提前预设好的比例决定。因此，如果你允许一项合约转移无限量的USDC，那么理论上它就可以拿走你所有的USDC。现在让我们回到Joe的故事当中，转走他全部USDC的确实就是transferFrom功能。然而，只有当Joe批准合约使用他的USDC时，transferFrom才能发挥作用。但事实上，Joe坚信自己没有批准任何事项。

可是，DeBank的交易记录清楚地显示，在漏洞发生前10分钟，该恶意合约可以无限使用账户中的USDC。那么问题就在于，如果不是Joe本人的话，究竟是谁给了该合约这一项批准呢？我只能说，Joe确实批准了这一操作，但却是在他不知情的情况下完成的。

Etherscan上的信息显示，Joe本人确实没有调用该功能，真正批准了这一额度的是其他地址，这才让恶意合约得以花光Joe全部的USDC。我们不禁疑问，别人怎么能代替我给予合约许可呢？

许可功能的引入原本是为了改善以太坊的用户体验，它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说，只要有了你的签名，任何人都可以调用许可功能，并更新你对合约的批准额度。

当你使用1inchdApp时，你就可以体验到这一功能。如果你想在上面出售USDC，那你并不需要事先批准，只需要签上你的名字就够了。有了这个签名，1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC，但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是，那一次他用的是热钱包，签名只是随手点击一下就完成了。如果他用的是硬件钱包的话，就需要在外部设备上签署信息，那么还会有一个思考的时间。有了Joe的签名，其他地址便可以提交一个带有许可功能的交易，这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后，只要它调用transferFrom功能，就可以转走全部这些资金了。

所以说，一个看似小小的签名却可以引来巨大的灾难。在某些情况下，Metamask会在你准备签名是对你发出警告，告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警，但这些一旦滥用往往会造成巨额的损失。如何避免今后遇到类似的问题？1.不要在Metamask中签署一切内容；2.花点时间了解你所签署的内容；3.对传统的批准事项要格外小心。原地址

标签：USDCUSDSDCJOEAUSDCgusd币暴涨PoolTogether USDC TicketJOEY

POL币最新价格热门资讯