以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > AVAX > Info

Solana授權釣?事件解析:授權轉移還是直接偷??_SOL

Author:

Time:1900/1/1 0:00:00

前兩天,Solana區塊鏈上出現了安全預警,有?篇?章指出?個名為https://officialsolanarares.net/mint/釣??站在?戶批準之后,可以將?戶的原?代幣轉?。在該?章中提到了?點:惡意合約在?戶批準(Approve)后,可以轉??戶的原?資產(這?是SOL),這點在以太坊上是不可能的,以太坊的授權釣?釣不?以太坊的原?資產(ETH),但可以釣?其上的Token。于是這?就存在“常識違背”現象,導致?戶容易掉以輕?。其實該?章這?的說法是不甚準確的,混淆了批準交易和Solidity中ERC-20代幣授權這兩個不同的概念。真實情況是通過Solana的簽名擴散機制,惡意合約直接盜取了?戶的SOL資產,和通常意義上的授權并沒有什么關聯。1.以太坊中的授權

報告:比特幣、以太坊和Solana活躍貢獻者數量自2018年1月以來年均增加71.6%:8月3日消息,技術投資機構Telstra Ventures發布的一份報告顯示,盡管加密市場動蕩,比特幣、以太坊和Solana生態頂級項目的活躍貢獻者自2018年1月以來平均每年增加71.6%。

其中Solana的月度活躍貢獻者的年度增長最為顯著,自2018年1月1日以來的復合年增長率為173%。以太坊排名第二,自2018年以來每月貢獻者的復合年增長率為24.9%,比特幣排名第三,“緩慢而穩定”的年增長率為17.1%。

報告還指出,以太坊在三者中擁有“最大和最強”的開發者社區。該網絡在4月份有近2500名月度活躍貢獻者,在7月份下降到2000多名貢獻者,這與幣價的下跌相吻合。(Cointelegraph)[2022/8/3 2:56:08]

在以太坊中,通常意義上授權是指?戶調?代幣合約,向其它地址授權?定處理額度,這樣我們在和其它合約交易時,可以?便的?付ERC-20代幣。在這?,授權是必須的,否則第三?合約?權處理?戶的代幣資產。同時,這種機制也伴?了?量的授權攻擊,只要你授權了惡意合約,惡意合約就可以轉?你的ERC-20代幣。2.Solana中的授權

Solana NFT市場日交易量創兩個月以來新高,約1900萬美元:5月17日消息,據Dune Analytics的數據顯示,Solana NFT市場日交易量創兩個月以來新高,約為34萬枚SOL(1900萬美元),其中Magic Eden日交易量約為25萬枚SOL,占比74%。[2022/5/17 3:22:50]

在Solana中,代幣?般為官?提供的spl-token合約,它模擬了ERC-20代幣的?為,因此也存在類似的ERC-20授權概念。同樣授權第三?合約后第三?合約可以處理?戶的代幣(注意不是原?幣SOL)。這點同以太坊是?致的,并沒有什么反常識。3.Approve的涵義

不管在以太坊中還是在Solana中,我們習慣將Approve當作授權,因此?然?然的會認為是代幣授權。當我們使?MetaMask錢包時,如果是代幣授權交易會明確提示授權,并且所有交易彈出的是?個確認按鈕。然?在Solana的Phantom錢包?,彈出的是?個Approve按鈕,讓?很容易以為是授權交易。但真實情況是批準?次交易?并不是進?代幣授權。所以安全預警中出現的被盜?為,是?戶批準了?個未知交易,?不是?戶進?了SOL的授權操作,當然也就不能說是授權偷?了原?幣。4.交易直接轉?原?貨幣

基于Solana的NFT項目Okay Bears單日銷售額超1800萬美元:金色財經報道,基于Solana的個人資料圖片NFT項目Okay Bears周二以每NFT 1.5 SOL(約 145 美元)的鑄造價格推出,OpenSea數據顯示,該項目在過去 24 小時內完成了196,574 SOL的二級交易,按Solana的當前價格計算,價值逾1840萬美元,超過了所有以太坊NFT項目。相比之下,過去24小時內,Gary Vaynerchuk 推出的新項目VeeFriends V2交易量為4,565 ETH(1,310 萬美元),Yuga Labs的 Meebits交易量為4,136 ETH(1,190 萬美元)。

(Decrypt)[2022/4/28 2:35:28]

交易轉?批準者的原?貨幣,例如SOL和ETH,是?常簡單的。在以太坊上的Solidity中,只要調??個payabletransfe的函數就可以轉?交易?戶的ETH;在Solana中,相應的,只要調?系統合約的戶的SOL資產,這和我們平常講的代幣授權概念是沒有任何關系的。函數也能轉移?交易?不同的是,在Solidity中,ETH轉移發?在合約調?的時候,因此錢包可以提前知道要轉移的ETH數量并顯示出來,?在Solana中,轉移是發?在合約內部的,因此錢包?法提前知曉你會被轉?多少SOL,當然也會?法顯示。只要你簽名認同了這筆惡意交易,你就相當于簽名認同了這次SOL轉移,這正是這次Solana上釣?盜取的問題所在。?段類似如下的代碼就可以在合約內部轉移user的SOL。

Solana Ignition Hackathon亞洲賽區41個項目獲得超24萬美元資助:10月31日,Solana Ignition Hackathon@Asia在DoraHacks開發者激勵平臺HackerLink結束報名和投票,來自亞洲各地區的41個團隊項目共收獲超過24萬美元資助,其中10萬美元來自于由Solana Foundation,Serum和Slope資助的二次方投票獎金池,14萬美元來自于社區資助。同時,來自亞洲賽區的StepN與Banksea也在全球賽區中獲得了獎項。

黑客松結束后,HackerLink將開啟反女巫攻擊(sybil-attack)閉源檢查的寬限期,并在寬限期結束后公布亞洲賽區最終排名結果。[2021/11/1 21:13:30]

5.Solana中的簽名擴散機制

在Solana中,有?個簽名擴散機制。?戶調?合約A,此時合約A中?戶是簽名批準的。當合約A內部調?合約B時,?戶的簽名會隨著跨合約調??起擴散到合約B。因此,在合約B中,?戶也是簽名批準的。所以這?存在?個安全?險,當簽名?個惡意合約時,惡意合約就獲取了我們這個簽名,然?它可以拿我們這個簽名做任何事情!!!!!!!在上述的偷盜事件中,?戶同惡意合約3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v進?交易,該合約直接調?系統合約轉移?戶的SOL,因為簽名隨著調??起擴散到了系統合約,因此系統合約認為該筆交易也是批準過的,是正常的,所以就轉?了?戶的資產。6.具體被盜交易

其中?筆被盜交易:https://explorer.solana.com/tx/4j33JSGRS6rD5irzW1cA9wjQAvAgVDAnBTrGRjqtqBBWXspTzU5HpEFwTeCC2uD9hH9eA2Pw5ddHyd5JyG6h6cNq我們可以看到該交易涉及的輸?賬號:

這其中:?戶賬號:4XF4wyjein7ZN4RPM6YK2mC2mC6T41cZAoKjJqpP19fRSOL轉移賬號:BepccLHDcXqqHi6MfpTDo9Sfc5tmRjmSC1XY48Tb8HuY惡意合約地址:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v從上可以看出,?戶賬號調?合約后轉移了1.2545SOL到轉移賬號。同時我們可以看到并沒有涉及到spl-token代幣合約,出產沒有通常意義上的授權這么回事。其交易打印出的?志為:從?志中也可以判斷,惡意合約僅是簡單的調?了系統合約轉?了?戶的SOL,因此?戶簽名批準了對惡意合約的交易,這個簽名也擴散到了系統合約,因此判定有效。7.結論

在Solana中,不要輕易確認或者批準任何來歷不明的交易,因為它可以拿你的簽名代表你做任何事情。

Tags:SOLSOLASolanaOLASOLAPE TokenSolar Energysolana幣今日價格Insolar

AVAX
屬于互聯網用戶的革命,三個核心點看Web3.0_WEB

什么是Web3.0?它是炒作嗎?它會改變世界嗎?很多人在有人提到Web2.0的時候就說,還會有Web3.0;但目前,全球沒有任何組織或人能夠準確的給出Web3.0的準確定義.

1900/1/1 0:00:00
全方位盤點2022年可能爆發的熱門鏈游公會_DAO

一、前言 PlaytoEarn,簡稱P2E,又可稱為“打金“,是一種邊玩邊賺的理念。憑借其上手快、門檻較低且易傳播的特點,搭上Gamefi的快車,迅速走入人們的視野.

1900/1/1 0:00:00
帶你了解「DeFi界中本聰」Andre Cronje,最后一次_CRO

Odaily星球日報譯者|Moni 2022年3月6日,加密行業傳出一則重磅信息,據Fantom高級解決方案架構師AntonNell在社交媒體上透露.

1900/1/1 0:00:00
幣安2億美元戰投,百年福布斯挺進Web3_福布斯

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 近期,美國商業媒體福布斯傳媒宣布,獲得全球最大加密貨幣交易平臺幣安2億美元戰略投資.

1900/1/1 0:00:00
Gitcoin創始人:加密經濟如何實現再生世界?_TAL

我們的世界面臨著許多生存威脅:氣候變化、內部沖突、外部戰爭、貧富差距、超級細菌——所有這些問題都是我們自己造成的。我們如何解決這些問題?我們的機構辜負了我們.

1900/1/1 0:00:00
TreasureDAO成員也抽過毯子?一圖帶你開扒事件內幕_ETH

本文梳理自加密KOLzachxbt在個人社交媒體平臺上的觀點,律動BlockBeats對其整理翻譯如下:最近我對Treasure團隊成員JC進行了調查.

1900/1/1 0:00:00
ads