写在前面:关于以太坊钱包及DeFi应用,目前行业内普遍存在的一个安全隐患就是“代币授权”,而且绝大多数情况下,这些应用都会默认要求你给予“无限授权”,这给用户带来便利的同时,也会埋下很大的安全隐患,因为如果合约存在问题,那么即便你没有将资金存入到合约中,攻击者也可以窃走你钱包内的资金。
那如何在体验五花八门的DeFi新应用的同时,最大限度地保护自己呢?本文将会告诉你一种取消代币授权的方式。
目标:学习如何撤销以太坊钱包授权
技能复杂性:简单
用时:5分钟
ROI:无价
Blur创始人:接受挂单价功能已重新启用,将向受影响的交易者予以退款补偿:4月22日消息,Blur创始人Pacman发推称,北京时间4月22日11:00左右,Blur在消息处理中检测到一个漏洞,该漏洞影响了过去80小时内取消的一些出价。在检测到漏洞后,团队立即禁用“接受挂单价”功能。在30分钟的时间里,有36个受影响的挂单价被接受。此后,Blur修复了这个问题,并在北京时间4月22日14:05启用挂单价功能。在启用接受挂单价之前,任何高于地板价的当前挂单价都将被自动取消。
Pacman表示,除了修复导致这一问题的漏洞外,团队还实施了两个额外的冗余安全检查,以便这一问题不会再次发生。所有受影响的挂单价被接受的交易者将被获得其出价与当时适当的最高出价之间差价的2倍退款。譬如,如果最高出价是14.5ETH,而受影响的挂单价以15.5ETH被接受,Blur将退还2ETH。受影响的交易者无需出售其NFT来获得这笔退款。Blur将在接下来的24小时内自动发送。[2023/4/22 14:20:35]
你可能已经参与了几十个DeFi应用,并在不知情的情况下授权这些应用无限访问你的以太坊钱包资金。
Balancer警告有630万美元的资金面临风险,督促部分池的 LP 尽快提取流动性:金色财经报道,Balancer已警告其流动性提供商从五个资金池中撤出资金,其中有630万美元面临风险。部分 Balancer 池的协议费用已设置为 0,以避免即将公开披露的一个问题,该问题已得到缓解。该举措是由紧急多重签名完成的。这些池继续正常运行,因此这些池的流动性提供者不需要采取任何行动,他们将继续收取掉期费用,但协议不会进行扣除。
随后,Balancer 又督促部分池的 LP 尽快提取流动性,因为紧急 DAO 无法缓解该相关问题。这五个池分别位于以太坊、Polygon、Optimism和Fantom。最大的资金池是DOLA / bb-a-USD,目前管理着360万美元的资金。[2023/1/6 10:58:44]
你猜怎么着?除非你能关闭这些授权,否则这些应用就有能力这么干!
CoinShares宣布在Xetra上市Algorand ETP:7月14日消息,数字资产投资公司CoinShares周四宣布其实物支持的质押Algorand ETP在由德国交易所运营商德意志交易所运营的电子交易平台Xetra上市。股票代码为RAND。该ETP将由100%实物支持,资产管理规模约为460万美元,每年0.0%的管理费和2.0%的质押奖励。[2022/7/14 2:13:04]
那如果其中一个合约被利用了怎么办?或者这个DeFi应用变成了一个跑路局?这意味着游戏结束,你会丢失资金。
但只要掌握一些技巧,你就可以保护自己。
例如使用新的地址,还比如经常检查合约授权,并移除你不再使用或不信任的应用合约授权。
良好的牙齿卫生可以防止蛀牙,而良好的加密卫生可以帮助你保护财产。
窃取用户资金的UniCats
?上个月,一个名为UniCats的流动性挖矿项目启动了,而这个所谓的DeFi项目最终被证明是欺诈性质项目,其部署者利用了“代币无限授权”权限偷取了用户的资金。
当交易者为追求新的收益机会,而将资金存入这个项目时,UniCat开发者取得了越来越多的代币授权权限,直到他们选择收网并开始窃取用户的代币资金。
正如研究员AlexManuskin在上个月发布的一条有见解的推文所示,一位UniCat用户因为授权了UniCats合约而损失了价值14万美元的Uniswap代币。
这是一个可怕的事件,而这个例子就是为了强调:作为一名以太坊用户,为什么要重视智能合约权限。
因此,让我们学习如何管理你的钱包权限。
如何撤销以太坊钱包授权
幸运的是,以太坊社区有一些非常值得尊敬的开源贡献者,他们经常会发布一些令人惊叹的工具,其中就包括AlphaWallet的JamesSangalli,他在今年早些时候发布了一个开源的ETHAllowance工具。
我们可以使用这个解决方案来轻松地撤销代币授权,流程如下所示:
1、使用Etherscan查找你想要撤销的合约。
假设你最近与一个类似UniCat的恶意或劣质项目进行了交互,现在你想要撤销授权,你需要确定该项目的合约地址并对其进行复制。使用Etherscan的“剪贴板”按钮,可以让这项工作变得简单。
2、访问ETHAllowance网站,你将看到下面所示的页面。
3、连接你的以太坊钱包。一旦你执行了这个操作,将会弹出已批准的智能合约列表,如下所示:
4、通过浏览器使用“查找“功能,粘贴并搜索你要移除的合约地址,为了简单起见,我将简单移除上面描述的第一个地址,它关联到了OmiseGo的OMG代币。当我点击”撤销“时,系统会提示我发送一笔撤销交易,如下所示:
5、确认交易,一旦交易确认后,你的钱包就可以避免掉这个合约地址的风险了。
总结
并不是每一个代币智能合约授权都是有漏洞的,有很多dapp在这一点上已经过了市场的考验,而给这些应用授权,有助于我们充分利用它们。
但在我们所处的去中心化的生态系统中,我们不能将这种信任授予那些还没有被证明,或没有经过适当审计的项目。这就是为什么我们必须要自己处理问题,定期管理我们的智能合约权限,去除掉我们不再使用或不再信任的代币授权。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。