TOKEN:TokenPocket闪兑服务商被盗，快检查你开通了多少“无限授权”

今日，跨链DEX聚合器TransitSwap遭受攻击，导致大量用户的资金从钱包中被取出。截至目前，预计损失超2100万美元。

发现被盗后，TransitSwap技术团队紧急暂停服务，合约已完全暂停，无法进行任何操作。发稿前?TransitSwap官方发布公告称，此前黑客攻击事件原因系代码错误，目前已确定黑客IP、电子邮件地址，以及相关的链上地址。TransitSwap团队将尽力追踪黑客，并尝试与黑客沟通，帮助用户挽回损失。

与此前被盗项事件不同的是，TransitSwap是TokenPocket钱包的闪兑服务提供商。这让大量用户实现了“无感被盗”的丝滑体验，也再一次向我们明确了加密市场“黑暗森林”的恐怖法则，即使是钱包背书的便捷“闪兑”服务，依然存在被盗隐患。

SellToken即将上线首个DEX做空聚合交易平台:据官方消息，SellToken即将上线首个DEX做空聚合交易平台 ，SellToken是一个基于智能合约的去中心化做空交易所，它的运行完全基于不可修改的智能合约代码，根据用户提交的做空请求，由智能合约全自动的执行，完成用户做空操作，SellToken与传统中心化交易所合约有很大的区别，区别在于SellToken开空永不爆仓，避免了巨鲸恶意操控代币价格。

SellToken提供用户极佳的安全性和可信度，所有交易直接在智能合约执行，避免了资金被攻击和失窃的风险，目前，平台支持BNB Chain网络BNB和USDT交易对，以太坊网络稍后开放。此外，平台币SELLC 5%用于空投。[2023/3/25 13:26:05]

什么是闪兑？

Optimism Token合约疑似正进行测试，OP空投申领或将于明日开启:5月27日消息，加密KOL Olimpio Crypto在社交媒体发文表示，在Etherscan观察到有用户通过Optimism官方发布的OP合约地址，申领了Token空投，或为官方测试行为。OlimpioCrypto表示，代码中显示的空投结束区块高度1685140271时间约为2023年5月28日6：30(UTC+8)，其智能合约代码经反编译后得出，OP Token空投申领的开启时间或为明日。[2022/5/27 3:45:21]

目前，几乎所有钱包都嵌入了DeFi功能，而一些钱包出于易用性的考量，更是创造了“闪兑”这一概念并加以应用。

所谓闪兑，即和钱包深度整合，在产品中拥有更明显的独立入口、更简化的操作流程，更便捷的操作。使用闪兑用户可以方便、快速的完成加密资产交易。例如，“Approve”操作通常被简单的一键式集成在交易流程中，用户几乎是无感的。

ECOC的DEFI生态token（GPT）将于2020年12月9日正式开放质押挖矿:据官方消息，GPT为ECOC的DEFI 借贷生态中用于合约延期的token，总量为1万枚，可质押挖矿部分为9000枚，官方基金会以及社区奖励为1000枚，预计产出周期为三个月（1000000EFG质押挖矿三个月产出为9千枚）。作为ECOC 生态中的DEFI 创新型产品EFG， 自上线MXC抹茶48小时最高涨幅为3300%?，现MXC报价为 161.96USDT。[2020/12/8 14:34:56]

或是因钱包内置集成，用户对其天然更具信任，也一定程度降低了防范意识。但究其本质，无外乎是钱包app集成的一款DEX，与其他DEX并无差异。这也给本次安全事件留下了隐患。

投资者对区块链特性的一种广泛共识。链上资产一旦被钱包所有，没有任何强制手段将其转移。但当我们使用DEX进行链上交易之时，DEX是如何将一种资产拿走再转移给你另一种资产的？

声音 | BB：EOS应是全球token持有者共同民主化治理的社区:Block.one CEO Brendan Blumer发推表示：EOS是全球token 持有者共同民主化治理的社区。EOS的初衷是与用户群体不断进化和前进，不分种族、国籍和地区，一视同仁。[2019/8/23]

授权就成为了这一切的关键。用户于DEX出售资产之前，需先执行“Approve”操作，这一操作之后合约便拥有了动用用户某种代币的权限。

或者描述的更加直白一些：只要你做了授权，无需打开钱包、无需执行操作、无需私钥，该合约就可以不经你的许可，支配你授权的资产。这是由以太坊的机制和授权模型所决定的，与项目方的道德操守、安全规范、代码审计都并无审核关系。

Uniswap尽管拥有随时将用户钱包清空的能力，但并不会真的这么做一样。但动态来看，这一逻辑依然是危险的。

现代软件开发，升级是一项必不可缺的能力。智能合约也是如此。在Solidity智能合约中，拥有Transparent和UUPS两种升级方法，借助于这两个功能，合约代理和升级几乎是业界合约的标配。

项目方是如何进行合约升级的呢？通常，用户所访问的合约并非直接运行业务逻辑的核心合约，而是一个“代理合约”，代理合约接收到用户请求之后将其转发到核心的业务合约，再由业务合约进行处理。而合约升级即是更改简单来说，智能合约尽管不可修改，但用户所最终访问的、运行业务逻辑的合约是可以替换的。这也是业界的通用做法。

而即便是最安全的合约，只要进行“合约升级”，其业务合约就已发生变化，此前的审计报告也沦为了一张废纸。

简单来说，今天你所交互的合约是安全的，但明天访问同样的这个项目，可能他的安全性已经发生根本性改变。合约仍可能拥有转走你所有已授权资产的能力。

而对已经授权的用户来说，还可发起取消授权操作。

常用取消授权网站如下：

1.Dappstar：https://tac.dappstar.io/#/

2.Revoke：https://revoke.cash/

3.Approved.zone：https://approved.zone/

4.?RabbyWallet?

此外，一些区块链浏览器也支持用户查看并取消授权。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盗，责任全在用户吗？

“黑暗森林”是广为流传的对于链上秩序的叙述了，也提醒着用户这个世界的危险性和高风险。但诸如此类的安全事件一再发生，真的可以全部归责于用户的安全意识吗？

在此类事件中，DeFi项目对于用户授权毫无节制的索取是隐患的最初来源，几乎所有的项目，在索取授权之时其默认选项都是无限授权。尽管用户可以手动修改，但一个负责任的市场应承担投资者保护和用户教育的责任。

至今，仍有多少加密用户尚不清楚授权的危险？而在这种环境背景之下，项目方仍在索取危险极大的无限授权。

DeFi滥用授权的情况早已成为业界惯例，而这一高危情况几乎危及所有用户的田亮资产，其影响之深远、广泛、隐患之巨，恐怕尚未有一个安全隐患可以望其项背。该风险从根本上违背了“没有人可以拿走钱包里的币”这一朴素的直觉。这也是行业需要一直面临的风险和挑战。

被盗事件发生后，神鱼就已在推特做出呼吁，“呼吁一下项目方规范使用授权功能，用多少授权多少，不要无限授权，大家都放心。”

去中心化充满着机会与风险。还记得加密技术最初的愿景吗？“保护你的资产，没有人可以夺走你钱包里的加密货币。”而一个良性秩序的建立，需要的不是复杂的代码、晦涩的概念，确保每一个普通用户都能安全的使用加密技术，仍然需要行业里每一个参与者共同的努力。

标签：TOKENTOKTOKEKENMyTokenNASDEX TokenQmall Tokenitokenwallet停止维护doge停止维护

欧易okex官网热门资讯