TokenPocket閃兌服務商被盜，快檢查你開通了多少“無限授權”_TOK

今日，跨鏈DEX聚合器TransitSwap遭受攻擊，導致大量用戶的資金從錢包中被取出。截至目前，預計損失超2300萬美元。發現被盜后，TransitSwap技術團隊緊急暫停服務，合約已完全暫停，無法進行任何操作。發稿前TransitSwap官方發布公告稱，此前黑客攻擊事件原因系代碼錯誤，目前已確定黑客IP、電子郵件地址，以及相關的鏈上地址。TransitSwap團隊表示將盡力追蹤黑客，并嘗試與黑客溝通，幫助用戶挽回損失。慢霧分析，此次攻擊的主要原因在于TransitSwap協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。具體而言，路由合約本身沒有對transferFrom參數進行任何限制、也并未對解析后的兌換合約地址與調用數據進行檢查。攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷，通過路由代理合約傳入構造后的數據調用路由橋合約的callBytes函數，實現了竊取所有對權限管理合約進行授權的用戶的代幣。目前黑客已將2500BNB轉移到TornadoCash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從LATOKEN等平臺存提款的痕跡。此外，安全團隊PeckShield已確認黑客資金流向。

安全團隊：BSC Token Hub跨鏈交易驗證方式存在漏洞:10月7日消息，據Beosin EagleEye平臺監測顯示，BSC Token Hub10月7日遭遇黑客攻擊，Beosin安全團隊現將手法解析如下：幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Beosin Trace正在對被盜資金進行實時追蹤。[2022/10/7 18:41:51]

TokenBetter TB礦池解除TBP、CBT、ABD、TM算力池限制:據官方公告，TokenBetter將于2020年9月27日10:00（UTC+8）起取消TBP、CBT、ABD、TM流通算力池，TBP、CBT、ABD、TM流通/鎖倉算力池即日起將不限制投入算力挖礦。

TokenBetter成立于2018年12月，總部位于美國，在新加坡、中國臺灣、中國香港均設有運營中心，是一家獨立的全球性的數字資產國際站，目前已擁有美國、加拿大等多國金融牌照。詳情請點擊原文查看。[2020/9/27]

與此前被盜項事件不同的是，TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗，也再一次向我們明確了加密市場“黑暗森林”的恐怖法則，即使是錢包背書的便捷“閃兌”服務，依然存在被盜隱患。什么是閃兌？

目前，幾乎所有錢包都嵌入了DeFi功能，而一些錢包出于易用性的考量，更是創造了“閃兌”這一概念并加以應用。所謂閃兌，即和錢包深度整合，在產品中擁有更明顯的獨立入口、更簡化的操作流程，更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如，“Approve”操作通常被簡單的一鍵式集成在交易流程中，用戶幾乎是無感的。或是因錢包內置集成，用戶對其天然更具信任，也一定程度降低了防范意識。但究其本質，無外乎是錢包app集成的一款DEX，與其他DEX并無差異。這也給本次安全事件留下了隱患。

動態 | PlusToken跑路資金EOS部分正通過SWFT平臺混淆轉移:據PeckShield旗下數字資產可視化追蹤平臺CoinHolmes數據顯示，今天上午10點38分，PlusToken跑路資金關鍵地址中jackflymooon轉移少量EOS至swftaccount1賬戶。PeckShield安全人員分析認為：swftaccount1賬戶所屬的SWFT是一站式幣幣跨鏈兌換平臺。昨天，jackflymooon賬號先是向OKEx轉移了共計1,104枚EOS，之后又向幣安交易所轉移了100枚EOS，為防止遭交易所封堵，轉移量均較小。今天跑路資金嘗試通過SWFT平臺轉移，目的是混淆資金以逃避追蹤和交易所封堵。PeckShield在此提醒廣大用戶謹慎參與投資，避免數字資產遭到損失，同時呼吁各大交易所應做好地址標記，協助并及時凍結流入的臟款。[2019/12/6]

合約授權潛藏了多少風險？

“沒有人可以強行拿走你的加密資產”，是投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有，沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時，DEX是如何將一種資產拿走再轉移給你另一種資產的？授權就成為了這一切的關鍵。用戶于DEX出售資產之前，需先執行“Approve”操作，這一操作之后合約便擁有了動用用戶某種代幣的權限。或者描述的更加直白一些：只要你做了授權，無需打開錢包、無需執行操作、無需私鑰，該合約就可以不經你的許可，支配你授權的資產。這是由以太坊的機制和授權模型所決定的，與項目方的道德操守、安全規范、代碼審計都并無任何關系。

聲音 | 中國區塊鏈應用研究中心葉健：無幣區塊鏈是主流，token價值在研究:在今日舉行的“上海區塊鏈技術協會揭牌儀式暨首屆長三角區塊鏈技術應用論壇”上，中國區塊鏈應用研究中心輪值秘書長葉健分享了區塊鏈的中國監管與國際經驗。葉健認為，監管可以影響趨勢但本質上不能改變趨勢。目前，全球監管共識尚未形成；但在中國，無幣區塊鏈是主流，token價值在研究。葉健分析，觀察中國區塊鏈監管有三個視角：中央集權，部門競權與地方分權。從中央政策看，中央認可區塊鏈是“新一代信息技術”，但去年“9?4”以來強化了ICO禁令。就部門而言，不同監管部門對區塊鏈的態度存在微妙差異：產業積極發展行業應用，金融方面一行兩會謹慎對待，網信部門開始關注。另外，北京、上海、杭州、廣州、海南等各地方政府已在布局區塊鏈。[2018/11/23]

審計=安全？

即使授權之后合約擁有轉移加密資產的能力，但這種能力只在合理的范圍內使用，這依然是安全的。而如果經過可信安全機構審計，是否即表示這種能力不會被濫用，只在用戶進行交易時轉走交易額的必要資產？靜態來看，這一邏輯是成立的。就如同Uniswap盡管擁有隨時將用戶錢包清空的能力，但并不會真的這么做一樣。但動態來看，這一邏輯依然是危險的。現代軟件開發，升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中，擁有Transparent和UUPS兩種升級方法，借助于這兩個功能，合約代理和升級幾乎是業界合約的標配。項目方是如何進行合約升級的呢？通常，用戶所訪問的合約并非直接運行業務邏輯的核心合約，而是一個“代理合約”，代理合約接收到用戶請求之后將其轉發到核心的業務合約，再由業務合約進行處理。而合約升級即是更換掉最終轉發至的業務合約。簡單來說，智能合約盡管不可修改，但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。而即便是最安全的合約，只要進行“合約升級”，其業務合約就已發生變化，此前的審計報告也淪為了一張廢紙。簡單來說，今天你所交互的合約是安全的，但明天訪問同樣的這個項目，可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。

聲音 | 日本金融廳前任長官：發行Token大體都是騙局:日本金融廳前任長官佐藤隆文在接受日經采訪時表示：個人認為發行Token大體上都是騙局，區塊鏈技術或許有著很大的可能性，但是否可以利用該技術提供有價值的商品或服務非常重要。[2018/7/19]

無限授權有多危險？

所幸的是，授權并不代表用戶隨時暴露于錢包清空的危險中下。授權機制還有一個重要規則即是授權是含有數量的。用戶“Approve”合約一定數量的代幣，合約最多只能動用這些數量，即使是錢包里該代幣數量再多，合約也已無法動用。但危險的是，大多數DeFi合約都在無所顧忌索取用戶的“無限授權”，即在默認情況下，用戶所Approve的代幣數量為無限。

用戶如何防范？

沒有授權就沒有安全隱患。在執行鏈上操作之時，如需執行Approve操作，用戶應遵循“用多少、授多少”的原則。如果我只需賣出1000TOKEN，那即應手動修改Approve金額為1000。在計算合約轉移金額時是累積的，即若只授權1000、本次金額恰好交易了1000，合約授權額度恰好已耗盡。即使日后合約出現安全風險，也已無法再從用戶錢包中轉移走任何資產。

而對已經授權的用戶來說，還可發起取消授權操作。常用取消授權網站如下：1.Dappstar：https://tac.dappstar.io/#/2.Revoke：https://revoke.cash/3.Approved.zone：https://approved.zone/4.RabbyWallet此外，一些區塊鏈瀏覽器也支持用戶查看并取消授權。https://cn.etherscan.com/tokenapprovalcheckerhttps://bscscan.com/tokenapprovalchecker

DeFi被盜，誰的責任？

“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了，也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生，真的可以全部歸責于用戶的安全意識嗎？在此類事件中，DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源，幾乎所有的項目，在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改，但一個負責任的市場應承擔投資者保護和用戶教育的責任。至今，仍有多少加密用戶尚不清楚授權的危險？而在這種環境背景之下，項目方仍在索取危險極大的無限授權。DeFi濫用授權的情況早已成為業界慣例，而這一高危情況幾乎危及所有用戶的天量資產，其影響之深遠、廣泛、隱患之巨，恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。被盜事件發生后，神魚就已在推特做出呼吁，“呼吁一下項目方規范使用授權功能，用多少授權多少，不要無限授權，大家都放心。”去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎？“保護你的資產，沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立，需要的不是復雜的代碼、晦澀的概念，確保每一個普通用戶都能安全的使用加密技術，仍然需要行業里每一個參與者共同的努力。

Tags：TOKTOKENKENTOKESwerve DAO TokenTCS TokenKENKA幣COVIDTOKEN價格

MATIC