TokenPocket 閃兌服務商被盜，快檢查你開通了多少“無限授權”_TOKE:TOK

作者：LoopyLu，星球日報Odaily

今日，跨鏈??DEX?聚合器TransitSwap遭受攻擊，導致大量用戶的資金從錢包中被取出。截至目前，預計損失超2100萬美元。

發現被盜后，TransitSwap技術團隊緊急暫停服務，合約已完全暫停，無法進行任何操作。發稿前?TransitSwap官方發布公告稱，此前黑客攻擊事件原因系代碼錯誤，目前已確定黑客IP、電子郵件地址，以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客，并嘗試與黑客溝通，幫助用戶挽回損失。

此外，安全團隊PeckShield已確認黑客資金流向。

與此前被盜項事件不同的是，TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗，也再一次向我們明確了加密市場“黑暗森林”的恐怖法則，即使是錢包背書的便捷“閃兌”服務，依然存在被盜隱患。

DApp商店平臺DappRadar推出跨鏈Token Staking平臺:金色財經報道，DApp商店平臺DappRadar宣布推出跨鏈Token Staking平臺，專注于解決不同區塊鏈之間的質押障礙，據稱此舉或是業內首創。根據 DappRadar 的說法，他們提出的跨鏈質押平臺不需要使用橋接資產，而且跨鏈代幣質押機制確保投資者不會僅限于與 EVM 兼容的區塊鏈。 （finbold）[2022/7/1 1:45:15]

什么是閃兌？

目前，幾乎所有錢包都嵌入了?DeFi?功能，而一些錢包出于易用性的考量，更是創造了“閃兌”這一概念并加以應用。

所謂閃兌，即和錢包深度整合，在產品中擁有更明顯的獨立入口、更簡化的操作流程，更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如，“Approve”操作通常被簡單的一鍵式集成在交易流程中，用戶幾乎是無感的。

機械化格斗游戲MetalCore完成1500萬美元Token和NFT融資:3月10日消息，機械化格斗游戲 MetalCore 宣布完成 1500 萬美元私人代幣和NFT銷售，該私募由 BITKRAFT Ventures 和 Delphi Digital 領投，Immutable, Sanctor Capital, Animoca, Youbi Capital, Bitscale, Spartan Capital，Umbrella，Yield Guild Games (YGG), YGG SEA, Merit Circle, Perion, Avocado及BreederDAO等機構參投。[2022/3/10 13:47:44]

或是因錢包內置集成，用戶對其天然更具信任，也一定程度降低了防范意識。但究其本質，無外乎是錢包app集成的一款DEX，與其他DEX并無差異。這也給本次安全事件留下了隱患。

馬克·庫班公開個人錢包地址，持有OCEAN、RARI、gOHM、AUDIO等Token:1月15日消息，NBA 達拉斯獨行俠隊老板馬克·庫班公開了自己錢包地址，該地址內包含幾個和一些建立在以太坊上的 Token。根據 EtherScan 數據顯示，馬克·庫班持有的 Token 包括數據交換平臺 Ocean Protocol (OCEAN)、跨鏈智能合約協議 Rarible (RARI)、Olympus DAO 的治理令牌 (gOHM) 和音樂流媒體區塊鏈 Audius (AUDIO)）。此外，馬克·庫班還公開了自己的部分 NFT，并在社交加密收藏平臺 Lazy 上展示了自己的 NFT 收藏品，這些 NFT 主要分布在 Solana、Polygon 和以太坊鏈上。

馬克·庫班坦言：我現在所做的投資大多不在傳統行業中，在 Shark Tank 以外的投資中，有 80% 是在加密貨幣領域和圍繞加密貨幣進行的。（dailyhodl）[2022/1/15 8:50:38]

合約授權潛藏了多少風險？

去中心化內容發布平臺Mirror推出治理工具Token Race:9月29日消息，去中心化內容發布平臺Mirror宣布引入類似WRITE Race的治理機制Token Race，允許用戶上傳提案并指定持有特定ERC20代幣的社區用戶對該提案進行投票，以供個人和DAO讓社區參與決策，用例包括管理DAO的成員資格、圍繞DAO的運營策劃一系列提案以及為贈款計劃分配資金等。Mirror還將添加更多選項和參數以優化代幣Token Race，例如二次投票、基于ERC721的投票、委托等。[2021/9/29 17:14:49]

“沒有人可以強行拿走你的加密資產”，是投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有，沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時，DEX是如何將一種資產拿走再轉移給你另一種資產的？

授權就成為了這一切的關鍵。用戶于DEX出售資產之前，需先執行“Approve”操作，這一操作之后合約便擁有了動用用戶某種代幣的權限。

動態 | 北京商報：Plus Token錢包傳銷馬腳畢現:7月3日，北京商報刊文《Plus Token錢包傳銷馬腳畢現 》，文章表示，7月2日，北京商報記者調查發現，多位投資者表示Plus Token錢包已經數日不能提現，并且App無法登錄，同時閑魚平臺上有不少于30條售賣Plus Token虛擬貨幣的信息。業內專家指出，Plus Token涉嫌傳銷騙局，利用高利息誘惑投資者，人為控盤達到詐騙巨額錢財的目的。此前Plus Token錢包曾因涉嫌傳銷被查處。[2019/7/3]

或者描述的更加直白一些：只要你做了授權，無需打開錢包、無需執行操作、無需私鑰，該合約就可以不經你的許可，支配你授權的資產。這是由以太坊的機制和授權模型所決定的，與項目方的道德操守、安全規范、代碼審計都并無審核關系。

審計=安全？

即使授權之后合約擁有轉移加密資產的能力，但這種能力只在合理的范圍內使用，這依然是安全的。而如果經過可信安全機構審計，是否即表示這種能力不會被濫用，只在用戶進行交易時轉走交易額的必要資產？

靜態來看，這一邏輯是成立的。就如同?Uniswap??盡管擁有隨時將用戶錢包清空的能力，但并不會真的這么做一樣。但動態來看，這一邏輯依然是危險的。

現代軟件開發，升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中，擁有Transparent和UUPS兩種升級方法，借助于這兩個功能，合約代理和升級幾乎是業界合約的標配。

項目方是如何進行合約升級的呢？通常，用戶所訪問的合約并非直接運行業務邏輯的核心合約，而是一個“代理合約”，代理合約接收到用戶請求之后將其轉發到核心的業務合約，再由業務合約進行處理。而合約升級即是更改簡單來說，智能合約盡管不可修改，但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。

而即便是最安全的合約，只要進行“合約升級”，其業務合約就已發生變化，此前的審計報告也淪為了一張廢紙。

簡單來說，今天你所交互的合約是安全的，但明天訪問同樣的這個項目，可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。

無限授權有多危險？

所幸的是，授權并不代表用戶隨時暴露于錢包清空的危險中下。授權機制還有一個重要規則即是授權是含有數量的。用戶“Approve”合約一定數量的代幣，合約最多只能動用這些數量，即使是錢包里該代幣數量再多，合約也已無法動用。

但危險的是，大多數DeFi合約都在無所顧忌索取用戶的“無限授權”，即在默認情況下，用戶所Approve的代幣數量為無限。

一個典型的“無限授權”操作，授權金額高達10的59次冪數量級

用戶如何防范？

沒有授權就沒有安全隱患。在執行鏈上操作之時，如需執行Approve操作，用戶應遵循“用多少、授多少”的原則。如果我只需賣出1000TOKEN，那即應手動修改Approve金額為1000。在計算合約轉移金額時是累積的，即若只授權1000、本次金額恰好交易了1000，合約授權額度恰好已耗盡。即使日后合約出現安全風險，也已無法再從用戶錢包中轉移走任何資產。

用戶可手動修改授權金額

而對已經授權的用戶來說，還可發起取消授權操作。

常用取消授權網站如下：

1.Dappstar：https://tac.dappstar.io/#/

2.Revoke：https://revoke.cash/

3.Approved.zone：https://approved.zone/

4.?RabbyWallet?

此外，一些區塊鏈瀏覽器也支持用戶查看并取消授權。

https://cn.etherscan.com/tokenapprovalchecker

https://bscscan.com/tokenapprovalchecker

DeFi被盜，誰的責任？

“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了，也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生，真的可以全部歸責于用戶的安全意識嗎？

在此類事件中，DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源，幾乎所有的項目，在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改，但一個負責任的市場應承擔投資者保護和用戶教育的責任。

至今，仍有多少加密用戶尚不清楚授權的危險？而在這種環境背景之下，項目方仍在索取危險極大的無限授權。

DeFi濫用授權的情況早已成為業界慣例，而這一高危情況幾乎危及所有用戶的田亮資產，其影響之深遠、廣泛、隱患之巨，恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。

被盜事件發生后，神魚就已在推特做出呼吁，“呼吁一下項目方規范使用授權功能，用多少授權多少，不要無限授權，大家都放心。”

去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎？“保護你的資產，沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立，需要的不是復雜的代碼、晦澀的概念，確保每一個普通用戶都能安全的使用加密技術，仍然需要行業里每一個參與者共同的努力。

Tags：TOKETOKENAPPTOKDreamr Platform Tokenimtoken幣幣兌換元宇宙APPGulag Token

以太坊交易