USD:50万美元的血泪教训：一个简单的签名如何导致资产被盗？

作者：/img/2022103205524/0.jpg" />

FalconX过去7天从Binance提取8951枚MKR，约合1050万美元:7月28日消息，据Lookonchain数据监测，加密货币经纪商FalconX在过去7天从Binance总计提取8951枚MKR，价值约1050万美元。[2023/7/28 16:04:06]

在讲述今天的故事之前，我需要先向大家解释一些术语。USDC 是以太坊上的一个具有多种功能的合约，规定了我们可以如何使用 USDC。

在众多功能当中，我们需要特别关注下面两项功能：

转账（transfer）

代转（transferFrom）

当你需要在钱包之间转移 USDC，或其他 ERC20s 时，就需要用到转账功能。它可以将 Token 从调用者（调用该功能的地址）转移到其他地址。如果有人能以你的名义恶意使用该功能，那么他一定得先掌握了你钱包的全部权限才行。

以太坊二层扩容方案Fuel Labs获得150万美元融资，CoinFund领投:9月21日消息，Fuel Labs宣布获得150万美元融资，投资公司CoinFund领投，Fenbushi Capital、Origin Capital参投。据悉，Fuel Labs正在构建去中心化扩容解决方案Fuel optimistic Rollup，该解决方案利用第二层技术创建具有独特UTXO设计的非托管、抗审查和无需许可的平台。开发基于以太坊的协议是为了大幅降低高吞吐量价值转移交易的成本。Fuel用户无需注册就可以使用任何以太坊地址进行发送和接收，费用可以通过任何代币支付，而不仅仅是ETH。（Businesswire）[2021/9/21 23:41:13]

TUSD运营商TrustToken获a16z、Alameda等1250万美元投资:据官方最新消息，借贷协议TrueFi、美元稳定币TUSD运营商TrustToken 完成了1250 万美元新一轮融资，BlockTower Capital、a16z和 Alameda Research通过购买TrueFi的原生代币TRU领投。TrueFi是TrustToken团队推出的无抵押借贷产品，首批支持通过信用模型检测的用户以无抵押的方式借出TUSD。2020年12月，首个借款人、FTX 创始人SBF在规定时间内内完成还款，借出的500万TUSD共产生约 1.9 万美元利息收入。目前共有逾五千万TUSD抵押在TrueFi上，ROI超23%。[2021/8/9 1:43:07]

当你与合约产生互动时，它们会通过代转功能来转移你的 Token，具体金额由你提前预设好的比例决定。因此，如果你允许一项合约转移无限量的 USDC，那么理论上它就可以拿走你所有的 USDC。

区块链初创公司peaq融资250万欧元，Scherzer & Co. AG等领投:德国区块链初创公司peaq融资250万欧元，由Scherzer & Co. AG、Werner Geissler（宝洁公司前副主席）以及Meteoric VC领投。这些资金将用于扩大peaq的解决方案规模，以及建立销售和合作团队，大规模推出新的和现有的解决方案。据悉，peaq成立于2017年，支持数据和身份的民主化和主权。自成立以来，该团队为企业开发了解决方案和基础设施，使其能够采用新的、去中心化的市场解决方案，以打造物联网经济。（EU- Startups）[2021/6/9 23:24:38]

现在让我们回到 Joe 的故事当中，转走他全部 USDC 的确实就是 transferFrom 功能。然而，只有当 Joe 批准合约使用他的 USDC 时，transferFrom 才能发挥作用。但事实上，Joe 坚信自己没有批准任何事项。

可是，DeBank 的交易记录清楚地显示，在漏洞发生前 10 分钟，该恶意合约可以无限使用账户中的 USDC。那么问题就在于，如果不是 Joe 本人的话，究竟是谁给了该合约这一项批准呢？我只能说，Joe 确实批准了这一操作，但却是在他不知情的情况下完成的。

Etherscan 上的信息显示，Joe 本人确实没有调用该功能，真正批准了这一额度的是其他地址，这才让恶意合约得以花光 Joe 全部的 USDC。

我们不禁疑问，别人怎么能代替我给予合约许可呢？

许可功能的引入原本是为了改善以太坊的用户体验，它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说，只要有了你的签名，任何人都可以调用许可功能，并更新你对合约的批准额度。

当你使用 1inch dApp 时，你就可以体验到这一功能。如果你想在上面出售 USDC，那你并不需要事先批准，只需要签上你的名字就够了。有了这个签名，1inch 便获取了你全部 USDC 的使用权限。虽然 1inch 不会无缘无故花光你所有的 USDC，但这却给了恶意合约机会。

Joe 一定是不小心在一个恶意网站上签署了这样的信息。不幸的是，那一次他用的是热钱包，签名只是随手点击一下就完成了。如果他用的是硬件钱包的话，就需要在外部设备上签署信息，那么还会有一个思考的时间。

有了 Joe 的签名，其他地址便可以提交一个带有许可功能的交易，这样恶意合约就获取了 Joe 钱包全部 USDC 的使用权限。然后，只要它调用 transferFrom 功能，就可以转走全部这些资金了。

所以说，一个看似小小的签名却可以引来巨大的灾难。在某些情况下，Metamask 会在你准备签名是对你发出警告，告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警，但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题？

1. 不要在 Metamask 中签署一切内容；

2. 花点时间了解你所签署的内容；

3. 对传统的批准事项要格外小心。

区块律动BlockBeats

媒体专栏

阅读更多

金色早8点

Bress

链捕手

财经法学

PANews

成都链安

Odaily星球日报

标签：USDUSDCSDCJOEiZUMi Bond USDPoolTogether USDC Ticketusdc币市值减少JOE币

波场热门资讯