近来以太坊上最火爆的领域就是DeFi。主要的DeFi应用包括ERC20代币的借贷、质押和交易。若想在Uniswap、Aave和Yearn等DeFi协议上使用ERC20代币,你需要授权dApp来使用这些代币。这就是所谓的ERC20授权。这些授权对于DeFi平台的运作来说必不可少,但是如果不加以控制,那将是非常危险的。
ERC20授权的必要性
有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数(payablefuntion)实现的。但是,由于ERC20代币本身就是智能合约,你无法通过直接将代币发送到智能合约来调用其函数。
因此,ERC20标准让智能合约使用transferFrom函数代表用户转移代币。为此,用户需要允许智能合约代表他们转移代币。
这样一来,用户就可以将代币“存入”智能合约,同时智能合约会更新其状态来显示这笔存款。相反,如果你将ERC20代币发送至该智能合约,则合约不会更新其状态(例如,将这笔存款记入你的账户)。
例如,如果你将DAI“存入”Aave来赚取利息,你首先要允许Aave合约从你的钱包中取出一些DAI。然后你调用Aave合约里的函数,指定你想要存入的DAI的数量。然后,Aave合约使用transferFrom函数从你的钱包中取出相应数量的DAI,并将同等数量的aDAI代币记入你的账户。
无限ERC20授权的危害
将特定数量的ERC20代币(如100DAI)存入合约时,你就可以选择将授权额设成这个数量。然而,许多应用会向用户要求无限授权。
这会带来极好的用户体验,因为用户不需要在每次存款时重新授权。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。
但是,该设置存在很大的弊端。众所周知,即使是成熟的项目,也有可能存在漏洞。一旦你给了这些平台无限授权,不只是你的存款会陷入风险之中,你的钱包中的代币也是如此。
在Devcon5上,我第一次与PaulBerg谈到了这个问题。在这次大会上,Paul就本文所讨论的问题做了陈述。在开发Sablier时,Paul在他的智能合约中发现了一个漏洞(已经修复了!),不仅所有存入该智能合约的DAI(100美元)有风险,所有测试者的钱包中的DAI(1万美元)也是如此!
实际风险
长期以来,无限授权的风险主要是理论上的。在Paul所开发的Sablier平台正式上线之前,这个漏洞
最先,本人中间买卖BTC现阶段在中国不是违反规定的,说白了“法无禁止就可以为”。而且,五部委第一次给BTC判定的过程中也表明了它是一种特别的产品,群众在自承担风险的情形下有参加的随意。但是一旦发生冻结银行卡的状况,基本上...
小编这两年一直在研究数字货币最后的变现环节安全的问题,200万以上大额的我们已经解决,那就是线下现金交易,5-100万额度的就用ATM机无卡存款、或者柜台现金汇款解决。而最多问题的居然是散户,就是偶尔出个几千块万把块,每...
原文来源:Dilation Effect 与吴说区块链共同发布主流交易所和机构在网络安全防护上无疑都投入了大量资金和人力,Dilation Effect 无法得知这些机构内部的安全水平和实施细节,但出于好奇,我们想尝试通...
1.女装品牌Roksanda可购买的将于2022年伦敦时装周上推出NFT2月14日,女装品牌Roksanda可购买的将于2022年伦敦时装周上推出NFT。Roksanda虚拟世界创新提供商数字时尚研究所(IODF) 合作...