SDC:50万美元的血泪教训：一个简单的签名如何导致资产被盗？

作者：@korpi87

编译：Kxp，BlockBeats

当“小狐狸”钱包跳出授权钱包时，要先了解清楚这个签名的意义及细节。

你可能很难想象，Metamask中一个简单的签名就能掏空你的钱包。但这样的事却发生在了一名资深用户身上，今天他因一个漏洞损失了近50万USDC。如果不多加小心的话，你可能就是下一个他。所以，今天我想和大家讲讲这件事的来龙去脉，告诉大家以后如何注意此类问题。

那是在一个安静的午后时分，Joe突然发现自己的钱包被转走了46.9万USDC。这次转账并不简单，肯定不是攻击者能做出的行为，因为他们根本不可能得到Joe钱包的权限。那就说明，转走他所有USDC的应该是某个恶意合约。

BRC-20代币过去24小时交易量突破450万美元:金色财经报道，数据显示，比特币铭文代币Ordi现报6.73美元，24小时涨幅78.51%，当前总市值已达1.41亿美元。此外，BRC-20相关代币目前约为12462种，总市值为221894005美元，过去24小时的交易量为4698428美元。

据悉，BRC-20协议是直接写到比特币网络上，以聪为载体，用OrdinalInscriptions的JSON数据部署、铸造和转移代币。Ordi是第一个比特币铭文代币，总供应量为2100万枚。[2023/5/6 14:46:03]

在讲述今天的故事之前，我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约，规定了我们可以如何使用USDC。

在众多功能当中，我们需要特别关注下面两项功能：

转账

Web3通知平台Yoz Labs完成350万美元融资:金色财经报道，Web3 通知平台 Yoz Labs 已筹集 350 万美元，以进一步实现其构建可扩展消息传递轨道的目标，使开发人员能够直接向用户发送即时链上通知。早期风险投资公司 Electric Capital 领投，这轮融资包括几位 Web3 投资者和天使投资人，例如 Collab+Currency、Coinbase Ventures、Dapper Labs、Form Capital、North Island、Mike Krieger 和 Naval Ravikant。[2023/4/20 14:14:41]

代转

12月数字资产投资产品平均每周净流出950万美元:12月30日消息， 据 CryptoCompare 数据，12 月的基金提款大幅增加，数字资产投资产品平均每周净流出达 950 万美元，为 2022 年 6 月以来最高，可能是受到 FTX 的影响以及对 Binance 等交易所安全性的担忧。[2022/12/30 22:17:10]

当你需要在钱包之间转移USDC，或其他ERC20s时，就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能，那么他一定得先掌握了你钱包的全部权限才行。

Web3激励性健康保险技术平台Growfitter完成50万美元pre-A轮融资:8月23日消息，Web3激励性健康保险技术平台Growfitter宣布完成50万美元pre-A轮融资，本轮融资由VentureCatalysts和新加坡的BakshCapital领投，Growfitter联合创始人兼首席技术官HarshitSethy表示，本轮融资标志着他们正式进入Web3和区块链领域，新资金将用于建设技术基础设施和扩大业务运营，目标在2年内将其生活方式和健康奖励应用程序用户量扩大到1000万。[2022/8/23 12:43:39]

当你与合约产生互动时，它们会通过代转功能来转移你的Token，具体金额由你提前预设好的比例决定。因此，如果你允许一项合约转移无限量的USDC，那么理论上它就可以拿走你所有的USDC。

现在让我们回到Joe的故事当中，转走他全部USDC的确实就是transferFrom功能。然而，只有当Joe批准合约使用他的USDC时，transferFrom才能发挥作用。但事实上，Joe坚信自己没有批准任何事项。

NFT运动鞋市场Futures Factory融资250万美元，Seedcamp、Stride等参投:9月20日消息，由区块链驱动的数字运动鞋市场Futures Factory宣布完成250万美元融资，Seedcamp、Stride、Voodoo联合创始人、Kima Ventures和RTP Global等参投。这家总部位于法国的初创公司于去年成立，是一个销售虚拟运动鞋的市场，用户可以收集这些运动鞋（以NFT形式进行交易），然后在视频游戏等增强现实平台上使用，此外还可以将虚拟运动鞋变成实物运动鞋。通过使用NFT和增强现实技术来“为运动鞋生产提供资金”，该公司希望“使（运动鞋生产）的等待时间更加有趣”，并“在消费者和品牌之间形成新的互动”，来支持创作者和消费者。（sifted）[2021/9/20 23:38:41]

可是，DeBank的交易记录清楚地显示，在漏洞发生前10分钟，该恶意合约可以无限使用账户中的USDC。那么问题就在于，如果不是Joe本人的话，究竟是谁给了该合约这一项批准呢？我只能说，Joe确实批准了这一操作，但却是在他不知情的情况下完成的。

Etherscan上的信息显示，Joe本人确实没有调用该功能，真正批准了这一额度的是其他地址，这才让恶意合约得以花光Joe全部的USDC。

我们不禁疑问，别人怎么能代替我给予合约许可呢？

许可功能的引入原本是为了改善以太坊的用户体验，它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说，只要有了你的签名，任何人都可以调用许可功能，并更新你对合约的批准额度。

当你使用1inchdApp时，你就可以体验到这一功能。如果你想在上面出售USDC，那你并不需要事先批准，只需要签上你的名字就够了。有了这个签名，1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC，但这却给了恶意合约机会。

Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是，那一次他用的是热钱包，签名只是随手点击一下就完成了。如果他用的是硬件钱包的话，就需要在外部设备上签署信息，那么还会有一个思考的时间。

有了Joe的签名，其他地址便可以提交一个带有许可功能的交易，这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后，只要它调用transferFrom功能，就可以转走全部这些资金了。

所以说，一个看似小小的签名却可以引来巨大的灾难。在某些情况下，Metamask会在你准备签名是对你发出警告，告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警，但这些一旦滥用往往会造成巨额的损失。

如何避免今后遇到类似的问题？

1.不要在Metamask中签署一切内容；

2.花点时间了解你所签署的内容；

3.对传统的批准事项要格外小心。

标签：SDCUSDUSDCJOECUSDC币USDGLO价格PCUSDC币joe币最新消息

PEPE热门资讯