以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

Solana授權釣?事件解析:授權轉移還是直接偷??_SOL

Author:

Time:1900/1/1 0:00:00

原文作者:Fairyproof

前兩天,Solana區塊鏈上出現了安全預警,有?篇?章指出?個名為

https://officialsolanarares.net/mint/釣??站在?戶批準之后,可以將?戶的原?代幣轉?。在該?章中提到了?點:

惡意合約在?戶批準(Approve)后,可以轉??戶的原?資產(這?是SOL),這點在以太坊上是不可能的,以太坊的授權釣?釣不?以太坊的原?資產(ETH),但可以釣?其上的Token。于是這?就存在“常識違背”現象,導致?戶容易掉以輕?。

其實該?章這?的說法是不甚準確的,混淆了批準交易和Solidity中ERC-20代幣授權這兩個不同的概念。

真實情況是通過Solana的簽名擴散機制,惡意合約直接盜取了?戶的SOL資產,和通常意義上的授權并沒有什么關聯。

SOL突破13美元:金色財經報道,行情顯示,SOL突破13美元,現報13.01美元,日內漲幅達到16.58%,行情波動較大,請做好風險控制。[2023/1/4 9:50:19]

1.以太坊中的授權

在以太坊中,通常意義上授權是指?戶調?代幣合約,向其它地址授權?定處理額度,這樣我們在和其它合約交易時,可以?便的?付ERC-20代幣。

在這?,授權是必須的,否則第三?合約?權處理?戶的代幣資產。同時,這種機制也伴?了?量的授權攻擊,只要你授權了惡意合約,惡意合約就可以轉?你的ERC-20代幣。

2.Solana中的授權

在Solana中,代幣?般為官?提供的spl-token合約,它模擬了ERC-20代幣的?為,因此也存在類似的ERC-20授權概念。同樣授權第三?合約后第三?合約可以處理?戶的代幣(注意不是原?幣SOL)。這點同以太坊是?致的,并沒有什么反常識。

STEPN宣布開始回購和銷毀GMT,擬每天出資1萬枚SOL直至資金耗盡:4月14日消息,Move to Earn 應用 STEPN 宣布開始回購和銷毀 Token GMT,團隊計劃每天購買價值 1 萬枚 SOL(約合 100 萬美元)的 GMT,直到資金用完(約合 2600 萬美元)。

此前報道,據 STEPN 官方表示,2022 年第一季度通過應用內 NFT 市場交易版稅(4%)及手續費(2%)盈利 198,635.62 SOL(約 26,815,807.35 美元),據計算總交易額約為 3310593.67SOL(約 4.46 億美元)。同時團隊宣布將利用這筆利潤從二級市場回購并銷毀 GMT。為避免導致價格突然波動,此過程可能需要長達一個月的時間才能完成。[2022/4/14 14:23:25]

3.Approve的涵義

SOL突破110美元:SOL突破110美元,現報110.0038美元,日內漲幅達到15.29%,行情波動較大,請做好風險控制。[2022/2/2 9:26:55]

不管在以太坊中還是在Solana中,我們習慣將Approve當作授權,因此?然?然的會認為是代幣授權。當我們使?MetaMask錢包時,如果是代幣授權交易會明確提示授權,并且所有交易彈出的是?個確認按鈕。然?在Solana的Phantom錢包?,彈出的是?個Approve按鈕,讓?很容易以為是授

權交易。但真實情況是批準?次交易?并不是進?代幣授權。所以安全預警中出現的被盜?為,是?戶批準了?個未知交易,?不是?戶進?了SOL的授權操作,當然也就不能說是授權偷?了原?幣。

貨幣

Antier Solutions通過開發加密友好型銀行解決方案擴展其產品:區塊鏈開發公司Antier Solutions已擴大服務范圍,提供加密友好型銀行開發解決方案,目標群體是尋求機會推出加密友好型銀行的初創企業、銀行和金融機構。

該公司提供的銀行軟件是一個白標解決方案,包含所有基本銀行功能:IBAN賬戶、非接觸式信用卡/借記卡、支付、交易、借貸和用戶登錄。希望建立其數字資產銀行的初創企業、成熟的組織或金融機構可以利用此白標解決方案快速啟動其銀行,并為其客戶提供更好的加密友好型銀行解決方案。

Antier Solutions提供的白標銀行軟件無縫支持法定貨幣和加密貨幣。此外,將TextBit集成到銀行平臺中,可以通過短信在用戶之間直接傳輸加密貨幣,而無需支付任何挖礦費或記住很長的錢包地址。(Bitcoin.com)[2020/12/16 15:21:58]

交易轉?批準者的原?貨幣,例如SOL和ETH,是?常簡單的。在以太坊上的Solidity中,只要調??個payabletransfe的函數就可以轉?交易?戶的ETH;在Solana中,相應的,只要調?系統合約的戶的SOL資產,這和我們平常講的代幣授權概念是沒有任何關系的。

函數也能轉移?交易?不同的是,在Solidity中,ETH轉移發?在合約調?的時候,因此錢包可以提前知道要轉移的ETH數量并顯示出來,?在Solana中,轉移是發?在合約內部的,因此錢包?法提前知曉你會被轉?多少SOL,當然也會?法顯示。只要你簽名認同了這筆惡意交易,你就相當于簽名認同了這次SOL轉移,這正是這次Solana上釣?盜取的問題所在。

?段類似如下的代碼就可以在合約內部轉移user的SOL。

5.Solana中的簽名擴散機制

在Solana中,有?個簽名擴散機制。?戶調?合約A,此時合約A中?戶是簽名批準的。當合約A內部調?合約B時,?戶的簽名會隨著跨合約調??起擴散到合約B。因此,在合約B中,?戶也是簽名批準的。所以這?存在?個安全?險,當簽名?個惡意合約時,惡意合約就獲取了我們這個簽名,然?它可以拿我們這個簽名做任何事情!!!!!!!

在上述的偷盜事件中,?戶同惡意合約3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v進?交易,該合約直接調?系統合約轉移?戶的SOL,因為簽名隨著調??起擴散到了系統合約,因此系統合約認為該筆交易也是批準過的,是正常的,所以就轉?了?戶的資產。

https://explorer.solana.com/tx/4j33JSGRS6rD5irzW1cA9wjQAvAgVDAnBTrGRjqtqBBWXspTzU5HpEFwTeCC2uD9hH9eA2Pw5ddHyd5JyG6h6cNq

我們可以看到該交易涉及的輸?賬號:

這其中:

?戶賬號:4XF4wyjein7ZN4RPM6YK2mC2mC6T41cZAoKjJqpP19fR

SOL轉移賬號:BepccLHDcXqqHi6MfpTDo9Sfc5tmRjmSC1XY48Tb8HuY

惡意合約地址:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

從上可以看出,?戶賬號調?合約后轉移了1.2545SOL到轉移賬號。同時我們可以看到并沒有涉及到spl-token代幣合約,出產沒有通常意義上的授權這么回事。

其交易打印出的?志為:

從?志中也可以判斷,惡意合約僅是簡單的調?了系統合約轉?了?戶的SOL,因此?戶簽名批準了對惡意合約的交易,這個簽名也擴散到了系統合約,因此判定有效。

7.結論

在Solana中,不要輕易確認或者批準任何來歷不明的交易,因為它可以拿你的簽名代表你做任何事情。

Tags:SOLSOLAOLASolanasol幣下架solana幣什么意思SOLARIXsolana幣官網下載app

歐易okex官網
區塊鏈基礎設施初創公司Tenderly完成4000萬美元B輪融資,Spark Capital領投_區塊鏈

3月2日消息,以太坊開發者平臺Tenderly完成4000萬美元B輪融資,SparkCapital領投.

1900/1/1 0:00:00
體育商品巨頭Fanatics以270億美元估值完成15億美元融資,此前曾成立體育NFT公司Candy Digital_NFT

據華爾街日報3月3日消息,體育商品巨頭Fanatics宣布以270億美元估值完成了15億美元融資,富達投資、貝萊德旗下基金和MSDCapitalLP等參投.

1900/1/1 0:00:00
華爾街頂級基金更青睞團隊投資,高質量人才成為最大資本_區塊鏈

華爾街頂級基金更青睞團隊投資,高質量人才成為最大資本回顧加密數字貨幣上一輪牛市,整個行業為之吶喊歡呼,各個賽道百花齊放.

1900/1/1 0:00:00
WEEX上線ADA/USDT正向合約_cardano

尊敬的WEEX用戶您好!WEEX已正式上線ADA/USDT正向合約。其中合約采用美元穩定幣正向計價,提供5倍、10倍、15倍、20倍等多種不同杠桿類型,滿足不同投資者需求.

1900/1/1 0:00:00
NFT 2月市場回顧:市值增速放緩,交易量為107.9億美元_NFT

過去一年,NFT發展突飛猛進,其所帶來的巨額利潤遠超股票市場。然而,自2月初開始,NFT市場有所放緩.

1900/1/1 0:00:00
圖文教程:三分鐘學會如何用IBC轉賬領取Evmos空投_MOS

從北京時間3月4日開始,Cosmos生態的EVM兼容鏈Evmos空投已經開放領取,但由于官方的領取通道還尚未開放,很多小伙伴在問如何才能拿到屬于自己的空投。別急,這篇教程會幫助你實現這一目標.

1900/1/1 0:00:00
ads