木星链 木星链
Ctrl+D收藏木星链
首页 > Luna > 正文

SDC:一个简单的签名如何导致50万美元被盗?

作者:

时间:1900/1/1 0:00:00

原文作者:@korpi87

原文编译:Kxp,BlockBeats

你可能很难想象,Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上,今天他因一个漏洞损失了近50万USDC。如果不多加小心的话,你可能就是下一个他。所以,今天我想和大家讲讲这件事的来龙去脉,告诉大家以后如何注意此类问题。

那是在一个安静的午后时分,Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单,肯定不是攻击者能做出的行为,因为他们根本不可能得到Joe钱包的权限。那就说明,转走他所有USDC的应该是某个恶意合约。

Circle产品副总裁:USDC的愿景是成为每一个开发人员都可以使用的开放平台:4月12日消息,在2023香港Web3嘉年华的“稳定币的基本要素”圆桌讨论中,Circle产品副总裁Joao Reginatto表示,USDC是一个非常强大的产品,以一种非常开放的方式向每一个人提供美元账户,USDC的愿景是成为每一个开发人员都可以使用的开放平台。[2023/4/12 13:59:04]

在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。

在众多功能当中,我们需要特别关注下面两项功能:

CME股票和外汇全球主管:投资者需要保证有一个规范的框架:金色财经联合Coinlive现场报道,新加坡“Token2049”峰会活动今日举办,在题为\"加密货币市场的机构化\"的圆桌讨论中,CME集团股票和外汇产品的全球主管Tim McCourt表示,市场开始了解如何真正使用加密货币。例如,人们正在弄清楚以太坊的PoW和PoS协议有什么不同。另外从监管的角度来看,其中一个立场是提供监管产品。投资者需要保证有一个规范的框架。[2022/9/28 22:37:27]

转账

代转

当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。

声音 | 李启元:BTC价格波动中每一波都是一个泡沫 推动价格进一步上涨:据Bitcoinist消息,前比特币中国CEO李启元(Bobby Lee)近日表示,比特币的价格仍然只是其未来几年将实现的价值的一小部分。他称其为价值上万亿美元的资产类别,并预计其价格将进一步上涨。李启元解释说,比特币的价格波动是一波一波的,每一波都是一个泡沫,推动比特币价格进一步上涨。他预计,未来几年将出现几波新浪潮,BTC的价格可能会升至10万至20万美元之间,最终甚至会达到100万美元。他声称,每次新的泡沫都会使比特币价格上涨10至20倍,他预计这一趋势将持续下去,这就是他支持并建议投资BTC的原因,也是他长期投资创建实体钱包的原因。[2019/11/9]

当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。

现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。

可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。

Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。

我们不禁疑问,别人怎么能代替我给予合约许可呢?

许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。

当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。

有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。

所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题?

1.不要在Metamask中签署一切内容;

2.花点时间了解你所签署的内容;

3.对传统的批准事项要格外小心。

标签:SDCUSDUSDCJOEPCUSDC币USDG币AUSDC币JOEY

Luna热门资讯
ETH:AAX關於支持以太坊合併計劃的公告

親愛的AAX用戶:以太坊的工作量證明鏈將在達到終端總難度值58750000000000000000000時,遷移至權益證明鏈。時間線預計在2022年09月10日至2022年09月20日之間.

1900/1/1 0:00:00
WEB:下一个风口?一文盘点八个Web3社交产品

随着Crypto和元宇宙逐渐出圈,Web3成为热门话题,并被冠以「互联网下一个时代」的宏大愿景。与此同时,Web3社交赛道开始兴起,对中心化的Web2社交平台造成冲击.

1900/1/1 0:00:00
NFT:NFT新手避坑指南、新手必看

随着NFT走入主流,越来越多的艺术家、项目方都开始加入到NFT领域之中。自2021年开年以来,最大的NFT交易平台OpenSea的月度交易量呈爆发式增长,其中,Meebits、BoredApeY.

1900/1/1 0:00:00
ENS:解析Lenster:“发推即发NFT”的Web3版推特

社交一向是想要“截获”Web2用户的Web3产品创业者青睐的赛道,对比金融行为,社交往往频度更高、需求更强。同时,先社交再切入金融服务也是Web2“大厂”屡试不爽的业务路径.

1900/1/1 0:00:00
区块链:报告:到2027年,元宇宙数字资产市场将创造2249亿美元的机会

金色财经报道,ResearchAndMarkets发布了“2022-2027年行业垂直领域技术、平台、解决方案和应用的Metaverse市场”报告.

1900/1/1 0:00:00
APE:Aperture:生不逢时的Delta中性策略投资协议

Aperture是一个颇为有趣却具有悲情色彩的项目。它产品设计独特,为用户提供了Delta中性的收益农场,却选错了公链,部署于Terra之上.

1900/1/1 0:00:00