MERC:ERC20无限授权方便自己也方便黑客 有没有解决方案？

随着DeFi的火爆，一般的区块链老手用户肯定不止一次对DeFi项目进行授权了，每当使用一个新的DApp，都需要授权这个DApp花费你的代币。除了流程繁琐之外，每次授权都还要支付不菲的手续费。很多用户为了省钱省事，每次授权都是提供无限期授权，结果不知道哪天，突然发现自己的钱被人转走了。而原因并不是因为私钥被盗，而是因为图方便给DeFi合约进行了无限授权，为什么会有无限授权？有没有解决方案？

为什么要有ERC20授权？

有了以太坊上的原生代币ETH，你就可以将ETH发送至该智能合约，同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是，由于ERC20代币本身就是智能合约，以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的，不在DeFi合约。

Mercado Bitcoin将与Comerc合作发行两个可再生能源代币:金色财经报道，巴西加密货币交易平台Mercado Bitcoin与巴西能源交易商Comerc达成协议，将发行两种可再生能源代币。第一个代币将作为现金返还给通过其分布式发电系统Sou Vagalume产生可再生能源的Comerc客户。该公司计划允许以固定金额购买该代币，随后在二级市场上提供该数字资产进行交易。Bitcoin Market和Comerc计划推出第二个代币，由国际REC标准支持，这是一个记录可再生能源电力消耗的证书。

此前6月，Mercado Bitcoin在B轮融资中从软银拉美基金筹集了2亿美元。（coindesk）[2021/11/10 6:43:09]

那么如果想要合约来调用ERC20应该怎么办？ERC20标准中，提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能，需要用户授权智能合约转移代币的权限。

Mercurial?Finance创建Wormhole V2封装代币wUSD-4Pool:9月25日消息，Solana链上稳定资产协议Mercurial?Finance与Solana生态跨链协议Wormhole合作，为Wormhole V2封装代币创建Solana首个4pool，wUSD-4Pool允许所有主要ETH稳定资产和USDC之间使用单一池进行兑换。一旦资产被桥接，用户可以将其存入Mercurial以获得奖励，或者使用封装资产与Solana上的任何代币进行兑换。奖励将持续4周。[2021/9/25 17:05:30]

授权后，用户就可以将代币“存入”智能合约，进行DeFi应用的使用了。

巴西最大的加密交易Mercado Bitcoin计划进行扩张和收购:金色财经报道，在从软银获得2亿美元融资后，巴西最大的加密货币交易所Mercado Bitcoin希望加快拉丁美洲加密市场的增长。该集团正计划进行地域扩张和收购，但从长远来看，其目标的该地区大量没有银行账户的人口。Mercado Bitcoin主管Fabrício Tota表示，希望为拉丁美洲“无银行账户”的人们提供银行服务。[2021/7/14 0:49:32]

比如，用户将USDT“存入”Aave来赚取利息，首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数，指定想要存入USDT的数量。然后，Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。

投资人Gary Vaynerchuk：人们如今购买的NFT基本上不会成为一项好投资:科技公司投资人Gary Vaynerchuk近日表示，“我真的相信，人们如今购买的98%、99%的NFT最终都不会成为一项好的投资。”他将如今的NFT市场与21世纪初的互联网股票进行了对比。据此前报道，Gary Vaynerchuk在接受CNBC财经节目SquawkBox采访时透露已发布NFT系列VeeFriends。（CoinDesk）[2021/5/23 22:35:28]

无限ERC20授权的问题

授权使用DeFi时，你就可以选择将这个币种单次授权，即仅同意本次转账，或者进行无限授权，让合约能够在未来不限次的有权操作你钱包内的这种代币。

在目前DeFi依托的以太坊网络底层不完善的前提下，对DeFi合约进行无限授权，是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦，以及每次交易前授权造成的GAS消耗。设置无限授权后，用户只需要同意一次，之后存款时就不会再重复这一过程。

但是，该设置存在很大的弊端。因为用户授予的，不仅仅是操作转入合约部分代币的权利，而是这个钱包中这个代币的支配权。

也就是说一旦合约留有后门，或者遭到黑客攻击，那么不仅是存入DeFi项目中的代币，我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的，因此一旦遭到攻击，即便使用冷钱包，也不能防止自身财产被盗。

怎样防范风险？

1.对于不交易的持仓资产可以选择取消授权

现在DeFi项目如同雨后春笋，不知不觉可能就会授权很多项目，这就加大了被盗风险，我们可以在DeBank上通过查询自身钱包地址的方式，查询授权的合约，然后及时取消高风险项目的授权。

2.分号使用，交易完及时转出资产

即便是再靠谱的项目，也都存在被攻击的可能，因此，不要把鸡蛋放到同一个篮子里更加重要。

3.考虑其他项目

既然以太坊底层无法改变，那么其他拥有灵活底层的公链，就成为了后续可以关注的对象。

比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中，多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位，可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费，除了不能参与QKC网络治理，原生代币可以实现QKC所有的功能，包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中，原生代币的功能，将做到和QKC完全一致，消除多原生代币应用的最后一层障碍。也就是说不需要授权，也就避免了无限授权的问题。

结语

代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性，我们显然需要改进代币授权功能。目前，最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险，不过目前QuarkChain公链上DeFi项目仍然较少，相信后续会有更大的爆发

标签：MERCDEFIEFIDEFLiquid Mercurykingdefi币归零StingDefiGDEFI

币安app下载热门资讯