DeFi少做這一步，沒有私鑰別人也能轉走你的資產_EFI

編者按：本文來自風火輪社區，作者：佩佩，Odaily星球日報經授權轉載。大家好，我是佩佩，今天就是八天長假了，估計大家現在是要么堵在路上要么已經開啟放假模式，沒啥人能認真看文了，哈哈哈，接下來的一周的安排，如果有時間且市場上還有些故事能講的話，會繼續更一更，如果還像現在這個主流表現的比穩定幣還穩定那就停一停。按歷史情況看呢，國內的假期通常也都對應著市場熱度和交易量的下降，加之今年還有出jin問題，不管凍結率有多高，這也會使更多的朋友短期對無腦沖，多一層顧慮，所以估計是沒啥劇情，咱該玩玩該樂樂，回來說不定也還能有驚喜。當然節前最后一期，這個內容還是很重要的，關于玩defi的授權安全隱患問題，下圖是前幾天群里在傳的：

Archblock與Adapt3r合作將美國社區銀行引入DeFi:金色財經報道，無擔保貸款協議TrueFi的核心開發商Archblock正在與另類資產管理公司MJL Capital的子公司Adapt3r合作，將美國監管的社區銀行引入DeFi。

根據Archblock周四的新聞稿，這兩家公司計劃專注于擴大對鏈上信貸產品的訪問并降低傳統金融機構的資本成本。MJL Capital創始人兼首席投資官Marcus Leano表示：“我們的籌備中有許多資產規模從5億美元到50億美元不等且有穩定的放貸款的歷史的銀行。”Archblock的首席投資官Bill Wolf說：“對于可以利用該技術在鏈上有效構建和融資的金融資產的類型和范圍沒有任何限制。”該合作伙伴關系還凸顯了DeFi的加速趨勢，即與老式銀行業務融為一體，并將銀行貸款、抵押貸款和企業信貸等現實世界的資產引入基于區塊鏈的協議。[2022/12/16 21:47:43]

DeFi借貸協議Cream Finance將向DeFi治理協議過渡:10月13日消息，DeFi借貸協議Cream Finance宣布其正在向DeFi治理協議過渡。Cream將繼續在BNB Chain、Arbitrum和Polygon上運營市場，DeFi治理將是該協議的新重點。

據悉，DeFi治理活動產生的價值將累積到CREAM代幣中。[2022/10/13 14:26:14]

你說要是虧完不能出jin可以歸于能力問題，但這種莫名坑就真的很惡心對不對，正好今天也看到幣圈一個短視頻在說這個事情，我覺得還是有必要在這里專門提一下，讓更多的朋友注意到。其實關于授權隱患，咱們社區的小伙伴們應該多少是有點印象的，此前我們有專門講過這個月靠uniswap空投暴富的其中很大一部分資深玩家，就是因為擔心玩土狗項目安全問題而開了很多小號，沒想到卻意外收獲了幾千幾萬個uni。不過我們只是表面知道好像授權有一些坑，但有沒有想過為啥這些dex、swap的都有這么個授權操作呢？到底是不是坑，咱先從源頭追溯。這個授權呢，通俗來理解，就像去賣一輛二手車，需要找當地的一些中介或經銷商，把車放到他們的平臺，讓更多有需求的買家看到它，那么這里的第一步就是你要和中介簽署一份合同，這份合同表明了你授權該經銷商來代理出售你的車。swap類的去中心交易所的邏輯也是這樣，授權，即這是一份你和交易所中介之間簽訂的合同，只不過在咱這叫——智能合約，它允許該平臺有代理出售你資產的權限。當然，上面的比喻只是為了方便理解，細心的小伙伴應該發現，dex交易又不是NFT還需要等待一個有緣人，直接砸到資金池里就好啦，為啥還要有授權這么個流程。這其實源于以太坊合約的一個特性，對于erc20代幣，直接從地址像目標合約轉賬，合約是接收不到的！(這也是為啥你們從傳統交易所提幣一般都會看到一句提示：請勿轉到合約地址)

Flashbots核心貢獻者等人發表新論文，研究DeFi智能合約經濟安全的形式化驗證框架CFF:9月18日消息，Flashbots核心貢獻者PhilipDaian、康奈爾大學計算機安全博士生KushalBabel和MahimnaKelkar以及康奈爾理工學院教授AriJuels共同發布關于ClockworkFinanceFramework（CFF）的新論文，這是一種DeFi智能合約經濟安全的形式化驗證框架。論文中表示，CFF具有三個關鍵特性，合約完備、以漸近最優的模型大小實現、在構造上窮舉攻擊。CFF可以支持多個目標，開發者對合約的經濟安全性分析、用戶對DeFi交易風險的分析、機器人或礦工對套利機會的優化。此外，CFF框架引入了一個新的DeFi合約經濟安全概念，可提取價值（EV）。[2021/9/18 23:35:18]

DeFi 概念板塊今日平均漲幅為6.14%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為6.14%。47個幣種中38個上漲，9個下跌，其中領漲幣種為：LRC(+42.99%)、SNX(+20.33%)、MLN(+20.14%)。領跌幣種為：SWFTC(-16.88%)、HDAO(-6.12%)、LBA(-4.04%)。[2021/1/4 16:22:08]

而dex呢，它就是一個底層依靠各種智能合約來運轉的交易所，那這里沒法把用戶地址上的代幣直接轉到合約地址以便平臺進行調用兌換，所以就加了這個授權操作，授的就是dex里的合約可以直接調用用戶地址上的資產的權限。注意，在以太上，這個特性只限于像erc20這樣的代幣，eth自身是有強制轉賬機制，可以直接地址轉到合約里。所以，在使用dex時，用戶會發現交易eth是沒有什么授權的，但其他所有的erc20代幣在第一筆交易時都會先有一個授權，英文名是approve：

觀點：就像iPhone取代諾基亞那樣，“ETH殺手”需要利用ETH的DeFi和流動性:知名比特幣和區塊鏈教育家、YouTube博主Ivan on Tech發推稱，2020年是關于互操作性的。只有當你的“ETH殺手”能夠融入當前的ETH DeFi和流動性才有意義。他提到Cosmo和Polkadot。之后，他再次發推稱，如果iPhone不能與諾基亞進行互操作并利用諾基亞的用戶群，它就永遠無法取代諾基亞。這也適用于ETH對“你最喜歡的ETH殺手”。[2020/8/17]

之后再交易時就不會出現了。那是因為，目前上到未來的宇宙第一所uni下到各種野雞swap，對于這些資產授權的設置都是——無限額度！下圖是我在比特派錢包里檢測的授權情況(此處沒有收廣告費)：

也就是只要你授權過，交易所如果想，是可以轉走你所有資產，注意哦，這個意思是，假如你有10萬usdt，只在dex里交易過1萬u，理論上來說它是可以轉走你全部10萬u的，而不只是交易過的那個額度。這個授權額度是可以自定義的，但應該是考慮到使用體驗吧，所有資產基本都是無限模式，不然沒交易幾次又要重新授權，又要多花手續費，還每個幣都要單獨授權，這么麻煩還怎么取代cex呢？對吧。不過一般來說像uniswap、compound這些主流項目，安全性也還好，畢竟這么多眼睛盯著，項目方不會故意去改合約，漏洞概率也是非常小的，只是這給很多土礦提供了動歪心思的動機，特別是它是很隱秘的，不清楚的小白會認為幣在自己錢包里，但實際上只要做了授權，恐怕就和放在中心化交易所沒啥區別了。最開頭那個群聊圖片說的就是這個事兒，而且注意是發生在波場上，其實今天的重點也不在以太上，而是傳染了以太這個特性的其他鏈，至少波場和幣安智能鏈現在是有這樣的授權操作，而相對來說它們的問題項目和bug是會多一些的，需要格外注意資產安全，特別是usdt這種授權過的賬號，不要長期放u在里面。其實我不太懂他們為啥要“沿用”這樣的特性，之前有咨詢過一些接近開發人士，有人是認為這是一個“缺陷”的(我也不太懂以太上為啥要這樣，柚子上是可以直接轉賬的，希望有大佬能給予解答)。不過既然暫時改變不了，我們該怎樣防范這方面的風險呢？1.對于不交易的持倉資產可以選擇取消授權像上面圖中右邊有個“回收授權”按鈕，是可以直接解除，當然要收少量gas費，同時如果你下次要進行這個幣的交易需要重新授權。上面這個檢測在比特派錢包——ETH錢包首頁找到——以太安全中心——輸入地址即可查看你所有的授權情況。另外旁白君還推薦了一個工具：https://approved.zone/

它是一個查看授權，并還可以修改每個幣的最大轉賬額度的工具，不過這里僅做個了解吧，我就不細說了，因為修改額度對我們來說沒啥卵用，不能完全阻止作惡又還可能需要多次授權消耗手續費。2.分號使用，交易完及時轉出資產比起上面的取消授權，我會更推薦還是多號分工操作，畢竟市場是多變的，很難說不會去追高曾經看不起的幣種，另外除了以太，其他鏈上是沒有上面這種工具的。主號只存放資產，不適用任何應用，小號去swap，交易結束及時轉回資產，當然對于以太上這會多一點gas成本，其他鏈就好多了，不過對于其他鏈，這是必做的功課。結語swap千萬條，安全第一條，操作不規范，錢送陌生人。最后在這里代表風火輪社區祝大家中秋國慶快樂！闔家歡樂！

Tags：EFIDEFIDEFETHefi幣暴跌DOGDEFI幣PlutusDeFiETHO幣

AAVE