DeFi 少做這一步 沒有私鑰別人也能轉走你的資產_DEFI

按歷史情況看呢，國內的假期通常也都對應著市場熱度和交易量的下降，加之今年還有出jin問題，不管凍結率有多高，這也會使更多的朋友短期對無腦沖，多一層顧慮，所以估計是沒啥劇情，咱該玩玩該樂樂，回來說不定也還能有驚喜。

當然節前最后一期，這個內容還是很重要的，關于玩defi的授權安全隱患問題，你說要是虧完不能出jin可以歸于能力問題，但這種莫名坑就真的很惡心對不對，正好今天也看到幣圈一個短視頻在說這個事情，我覺得還是有必要在這里專門提一下，讓更多的朋友注意到。

其實關于授權隱患，咱們社區的小伙伴們應該多少是有點印象的，此前我們有專門講過這個月靠uniswap空投暴富的其中很大一部分資深玩家，就是因為擔心玩土狗項目安全問題而開了很多小號，沒想到卻意外收獲了幾千幾萬個uni。

Binance Labs投資其孵化計劃第五季中的5個項目，包括DeFi、基礎設施等領域:6月20日消息，Binance Labs已投資其孵化計劃第五季中的5個項目，所選項目涵蓋Web3的各個領域，包括DeFi、基礎設施、工具和中間件。具體項目細節如下：

zkPass，一種基于多方計算(MPC)和零知識證明(ZKP)技術的Web3可組合、隱私保護的去中心化身份驗證解決方案。zkPass旨在使用最新的密碼技術為Web3應用程序提供安全且保護隱私的身份驗證解決方案。

Mind Network，一個全加密網絡，建立在獲得專利的自適應全同態加密(FHE)框架之上，以保護Web3上的所有用戶數據、智能合約和人工智能。它被用作去中心化的隱私保護數據湖，提供加密的高性能按需付費數據存儲和計算。

Kryptoskatt，一個為全球用戶簡化Web3財務的項目，提供一套全面的解決方案，包括會計、投資組合管理和稅務報告。Kryptoskatt支持2000多種DeFi協議、100多個交易平臺和錢包以及50多個區塊鏈，是滿足所有Web3金融需求的一站式商店。

Bracket Labs是一個在鏈上構建杠桿結構化產品的項目，具有簡單的界面和創新的自適應定價，可大大提高可用性。Bracket Labs推出了BracketX.fi，該平臺可幫助交易者快速利用橫盤和趨勢市場條件下的波動。

DappOS，一個專注于構建操作協議的項目，通過創建提高Web3應用程序可用性和可訪問性的解決方案來降低進入Web3的門檻。[2023/6/20 21:48:54]

不過我們只是表面知道好像授權有一些坑，但有沒有想過為啥這些dex、swap的都有這么個授權操作呢？

DeFi策略協議Ammalgam宣布完成75萬美元Pre-seed輪融資:2月27日消息，DeFi策略協議Ammalgam宣布于2022年第三季度完成75萬美元Pre-seed輪融資，Synthetix創始人KainWarwick、Compound創始人RobertLeshner、Anton、Sergej、Mikhail、TarunChitra、SantiagoRSantos、BodhiVentures、BootNode、MarinVentures、KevinZhou、Factor、ZealCapital等參投。據悉，Ammalgam通過將借貸和交易合并到一個協議中來釋放更多的DeFi功能。這種組合構成了收益來源，同時提高了資本效率并為做市商解鎖了無限策略。[2023/2/27 12:31:03]

到底是不是坑，咱先從源頭追溯。

億萬富翁Mark Cuban正在關注DeFi領域，并提醒稱參與DeFi存在風險:億萬富翁、達拉斯獨行俠老板Mark Cuban發推表示，參與DeFi（例如Aave）的成本非常昂貴，其他非加密貨幣領域的類似金融產品可能會增加，并提醒稱，與所有衍生產品一樣，參與DeFi存在很大的風險，如果一個細分市場崩潰，就都面臨崩潰的風險。另外，MarkCuban表示，盡管比特幣和以太坊的交易成本非常高，但一旦擁有它，持有或攜帶成本就接近零。此前，Mark Cuban還建議其粉絲學會對沖以免造成財富損失，并稱，加密貨幣是一種供需驅動的貨幣，具有稀缺性和需求性。[2021/1/13 16:02:17]

這個授權呢，通俗來理解，就像去賣一輛二手車，需要找當地的一些中介或經銷商，把車放到他們的平臺，讓更多有需求的買家看到它，那么這里的第一步就是你要和中介簽署一份合同，這份合同表明了你授權該經銷商來代理出售你的車。

聲音 | Chainlink CEO：未來將發布更多專門針對鏈上DeFi信息的預言機網絡:中心化預言機服務提供商Chainlink CEO Sergey Nazarov表示，該平臺正在為DeFi產品和其他應用建立應用程序。他表示，預言機（Oracle）就是給開發者提供最好的信息。Chainlink將很快發布更多專門針對鏈上DeFi信息的預言機網絡。“我們未來要做的是發布另外七個預言機網絡，將大大擴展人們在這一領域可以構建的內容。這意味著去中心化金融開發商甚至不需要形成服務協議，他們只需要有一份將關鍵價格數據放到鏈上的合約。”他補充說，對于Chainlink，一切都可以歸結為數據適用性。（CoinDesk）[2019/9/23]

swap類的去中心交易所的邏輯也是這樣，授權，即這是一份你和交易所中介之間簽訂的合同，只不過在咱這叫——智能合約，它允許該平臺有代理出售你資產的權限。

當然，上面的比喻只是為了方便理解，細心的小伙伴應該發現，dex交易又不是NFT還需要等待一個有緣人，直接砸到資金池里就好啦，為啥還要有授權這么個流程。

這其實源于以太坊合約的一個特性，對于erc20代幣，直接從地址像目標合約轉賬，合約是接收不到的！(這也是為啥你們從傳統交易所提幣一般都會看到一句提示：請勿轉到合約地址)

而dex呢，它就是一個底層依靠各種智能合約來運轉的交易所，那這里沒法把用戶地址上的代幣直接轉到合約地址以便平臺進行調用兌換，所以就加了這個授權操作，授的就是dex里的合約可以直接調用用戶地址上的資產的權限。

注意，在以太上，這個特性只限于像erc20這樣的代幣，eth自身是有強制轉賬機制，可以直接地址轉到合約里。

所以，在使用dex時，用戶會發現交易eth是沒有什么授權的，但其他所有的erc20代幣在第一筆交易時都會先有一個授權，英文名是approve：

之后再交易時就不會出現了。

那是因為，目前上到未來的宇宙第一所uni下到各種野雞swap，對于這些資產授權的設置都是——無限額度！

下圖是我在比特派錢包里檢測的授權情況(此處沒有收廣告費)：

也就是只要你授權過，交易所如果想，是可以轉走你所有資產，注意哦，這個意思是，假如你有10萬usdt，只在dex里交易過1萬u，理論上來說它是可以轉走你全部10萬u的，而不只是交易過的那個額度。

這個授權額度是可以自定義的，但應該是考慮到使用體驗吧，所有資產基本都是無限模式，不然沒交易幾次又要重新授權，又要多花手續費，還每個幣都要單獨授權，這么麻煩還怎么取代cex呢？對吧。

不過一般來說像uniswap、compound這些主流項目，安全性也還好，畢竟這么多眼睛盯著，項目方不會故意去改合約，漏洞概率也是非常小的，只是這給很多土礦提供了動歪心思的動機，特別是它是很隱秘的，不清楚的小白會認為幣在自己錢包里，但實際上只要做了授權，恐怕就和放在中心化交易所沒啥區別了。

最開頭那個群聊圖片說的就是這個事兒，而且注意是發生在波場上，其實今天的重點也不在以太上，而是傳染了以太這個特性的其他鏈，至少波場和幣安智能鏈現在是有這樣的授權操作，而相對來說它們的問題項目和bug是會多一些的，需要格外注意資產安全，特別是usdt這種授權過的賬號，不要長期放u在里面。

其實我不太懂他們為啥要“沿用”這樣的特性，之前有咨詢過一些接近開發人士，有人是認為這是一個“缺陷”的(我也不太懂以太上為啥要這樣，柚子上是可以直接轉賬的，希望有大佬能給予解答)。

不過既然暫時改變不了，我們該怎樣防范這方面的風險呢？

1.對于不交易的持倉資產可以選擇取消授權

像上面圖中右邊有個“回收授權”按鈕，是可以直接解除，當然要收少量gas費，同時如果你下次要進行這個幣的交易需要重新授權。

上面這個檢測在比特派錢包——ETH錢包首頁找到——以太安全中心——輸入地址即可查看你所有的授權情況。

另外旁白君還推薦了一個工具：

https://approved.zone/

它是一個查看授權，并還可以修改每個幣的最大轉賬額度的工具，不過這里僅做個了解吧，我就不細說了，因為修改額度對我們來說沒啥卵用，不能完全阻止作惡又還可能需要多次授權消耗手續費。

2.分號使用，交易完及時轉出資產

比起上面的取消授權，我會更推薦還是多號分工操作，畢竟市場是多變的，很難說不會去追高曾經看不起的幣種，另外除了以太，其他鏈上是沒有上面這種工具的。

主號只存放資產，不適用任何應用，小號去swap，交易結束及時轉回資產，當然對于以太上這會多一點gas成本，其他鏈就好多了，不過對于其他鏈，這是必做的功課。

結語

swap千萬條，安全第一條，操作不規范，錢送陌生人。

最后在這里代表風火輪社區祝大家中秋國慶快樂！闔家歡樂！

Tags：DEFIEFIDEFWEB3DEFI S價格TRD-DeFi比特令牌幣defi3.0METAWEB3PA

Bitcoin