木星链 木星链
Ctrl+D收藏木星链

USDC:一个简单的签名如何导致50万美元被盗?

作者:

时间:1900/1/1 0:00:00

你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。在众多功能当中,我们需要特别关注下面两项功能:转账代转

比特币波动指数近一个月维持下降趋势,已回落至今年2月低位水平:5月22日消息,由金融指数公司 T3 Index 联合比特币期权交易平台 LedgerX 推出的 BitVol(比特币波动)指数在近一个月内维持下降趋势,昨日已跌至 52.88,回落至今年 2 月的低位水平,较前一日回暖 0.74%。注:BitVol指数衡量从可交易的比特币期权价格中得出的30天预期隐含波动率。隐含波动率是指实际期权价格所隐含的波动率。它是利用B-S期权定价公式,将期权实际价格以及除波动率σ以外的其他参数代入公式而反推出的波动率。期权的实际价格是由众多期权交易者竞争而形成,因此,隐含波动率代表了市场参与者对于市场未来的看法和预期,从而被视为最接近当时的真实波动率。[2023/5/22 15:18:22]

观点:印度在考虑对比特币交易征税前需建立一个加密货币监管框架:针对印度计划对比特币交易征税,安永会计师事务所合伙人Abhishek Jain解释说:“在考虑税收之前,需要建立一个加密货币监管框架。这对印度加密行业来说是一件好事。”目前,印度没有专门针对加密货币的适当监管框架。而在税收方面,印度加密货币交易员往往依赖于针对其他资产的规则。印度区块链律师Varun Sethi表示:“迄今为止,税务部门还没有针对比特币交易发布正式的规则或规定。”他还说:“这一行动确实影响了印度的加密行业,因为印度法律不明确,从而阻碍了外国机构实体带着监管透明度和信心进入印度。”此前报道,印度政府正在考虑对比特币交易征收18%的商品和服务税(GST)。预计每年征税约40亿卢比(5340万美元)。(Finance Magnates)[2021/1/1 16:13:55]

当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

Blockstream首席执行官:Sushi就是一个退出局:Blockstream首席执行官Adam Back昨日在推特上表示:这个有点意思:Sushi:贷款,空投,先拉后砸;莱特币:比特币是黄金的话莱特币就是白银,早期挖矿/购买,顶部卖出。今日Adam Back继续发推称,鉴于昨日发生的新情况(指SushiSwap创始人Chef Nomi套现1.8万枚ETH),需要更新一下:Sushi:贷款,空投,拉盘,退出局。此前消息,有成员表示SushiSwap创始人Chef Nomi疑似套现价值600万美元的ETH,随后导致SUSHI代币暴跌。Chef Nomi回应称,套现只造成5%的滑点。他将继续推进SushiSwap的发展和流动性迁移,继续在社区提供技术支持。同时他还坚称:“我卖掉Devshare的SUSHI代币和Sushiswap是不是局没有关系,我不知道为什么现在每个人都认为我是个子。我没有偷任何人的钱。Devshare的使用方式在最初的博客文章中已经非常清楚地说明了。”[2020/9/6]

金色财经现场报道 柏链道捷CEO孟岩:以太坊是一个高度民主化的治理制度:金色财经6月3日现场报道,在今天的以太坊技术及应用大会上,柏链道捷CEO孟岩做了题为《以太坊经济系统模型及其未来发展方向》的主题演讲。孟岩说,以太坊是一个高度民主化的、协商制的治理制度。前一段时间,以太坊社区提出要改算法,但因为以太坊社区是有治理的,如果有人在这里进行了高度的算力集中,社区会主动推动以太坊系统走向POS。即便如此,这些希望修改以太坊系统的社区成员,仍然继续通过EIP制度提案,推动社区探讨是不是要修改算法。这充分说明了以太坊系统是一个有精神领袖的民主社区,这在今天的公链是不多见的,是以太坊非常值得学习的一点。[2018/6/3]

当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。

可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。如何避免今后遇到类似的问题?1.不要在Metamask中签署一切内容;2.花点时间了解你所签署的内容;3.对传统的批准事项要格外小心。原地址

标签:USDCUSDSDCJOEAUSDCgusd币暴涨PoolTogether USDC TicketJOEY

POL币最新价格热门资讯
NFT:NFT数据日报 | Decagon by Golid and Deca成为日成交量冠军(8.16)

NFT数据日报是由Odaily星球日报与NFT数据整合平台NFTGO合作的一档栏目,旨在向NFT爱好者与投资者展示近24小时的NFT市场整体规模、交易活跃度.

1900/1/1 0:00:00
稳定币:监管之雷降临,去中心化稳定币之春来了?

监管之雷突降TornadoCash除了逐渐临近的以太坊合并,美国财政部外国资产控制办公室(简称OFAC)对搭建在以太坊上的隐私混币器TornadoCash开展制裁是近期最大的行业热点.

1900/1/1 0:00:00
比特币:Arthur Hayes万字长文:战争时候的比特币

你会为战争做些什么?ZoltanPozar此前在“战争与利率”的文章中写到:战争导致通货膨胀不断加剧。战争有许多不同的形式.

1900/1/1 0:00:00
RUM:一文详解Arbitrum Nitro及其对Arbitrum的影响

人们常说,创新会在熊市中诞生。今年夏天与2017年的"DeFi之夏"相差甚远,但Layer2却得到了长远的发展。其中广受欢迎的Abritrum就是其中之一.

1900/1/1 0:00:00
AVE:一日消失1.3亿美元,USDN为什么一直在脱锚?

NeutrinoUSD按照稳定币市值目前在Coinmarketcap上排名为第8,体量约为$6.3亿,是稳定币市场不可忽视的一股区域和全球力量.

1900/1/1 0:00:00
以太坊:以太坊合并倒计时,你都准备好了吗?

就连Google都为以太坊合并上线了倒计时功能,可想而知这一事件的热度有多高。 老生常谈,什么是以太坊合并?简单来讲就是以太坊当前主网与信标链的过程.

1900/1/1 0:00:00