La autorización ilimitada ERC20 es conveniente para usted y los piratas informáticos.¿Hay alguna solución?

Con la popularidad de DeFi, los usuarios veteranos de blockchain en general deben haber autorizado proyectos DeFi más de una vez. Siempre que use una nueva DApp, debe autorizar esta DApp para gastar sus tokens. Además del engorroso proceso, cada autorización también requiere una alta tarifa de manejo. Para ahorrar dinero y problemas, muchos usuarios brindan autorización ilimitada para cada autorización. Como resultado, no saben cuándo descubren de repente que su dinero ha sido transferido. La razón no es porque la clave privada fue robada, sino porque el mapa es conveniente para dar. El contrato DeFi tiene autorización ilimitada, ¿por qué hay autorización ilimitada? ¿Hay una solución?

¿Por qué la autorización ERC20?

Con ETH, el token nativo en Ethereum, puede enviar ETH a este contrato inteligente y llamar a funciones de contrato inteligente al mismo tiempo. Esto se logra a través de las llamadas funciones pagaderas. Sin embargo, dado que los tokens ERC20 son en sí mismos contratos inteligentes, Ethereum no puede invocar sus funciones mediante el envío directo de tokens de contratos inteligentes a un contrato inteligente. La razón es que esta transferencia ocurrió en el contrato de token ERC20, no en el contrato DeFi.

Huo Xuewen, director de la Oficina de Supervisión Financiera Municipal de Beijing: Este año, el objetivo de Beijing es expandir los escenarios de aplicación del renminbi digital a "más de 1 millón": según las noticias del 21 de octubre, Huo Xuewen, director de la Oficina de Supervisión Financiera Municipal de Beijing, dijo en una entrevista: En la actualidad, el renminbi digital de Beijing La aplicación piloto de toda la escena de los Juegos Olímpicos de Invierno avanza constantemente. El número de usuarios de la lista blanca en la ciudad representa el 15% del total del país, y el número de cuentas de escenarios piloto el 20% del total del país. Este año, el objetivo de Beijing es expandir los escenarios de aplicación del renminbi digital a "1 millón o más", y explorará la primera aplicación del renminbi digital en campos como la gestión de prepago, el financiamiento de la cadena de suministro y el financiamiento de la cadena industrial bajo la guía del Banco Popular. de China. (Red Central de Radiodifusión) [2021/10/21 20:45:50]

Entonces, ¿qué debo hacer si quiero que el contrato llame a ERC20? En el estándar ERC20, se proporciona un esquema para que los contratos inteligentes usen la función transferFrom() para transferir tokens en nombre de los usuarios. Para activar esta función, se requiere que el usuario autorice el contrato inteligente para transferir tokens.

Después de la autorización, el usuario puede "depositar" tokens en el contrato inteligente para usarlos en aplicaciones DeFi.

Morgan Stanley solicitó aumentar su exposición al riesgo de bitcoin de 12 fondos: Noticias el 1 de abril, según un documento presentado por Morgan Stanley a la Comisión de Bolsa y Valores de EE. UU. (SEC), Morgan Stanley Algunos de sus 12 fondos pueden obtener exposición indirecta a Bitcoin en forma de futuros liquidados en efectivo o Grayscale Bitcoin Trust (Bitcoin Trust), que incluye Advantage Portfolio, Asia Opportunity Portfolio, Counterpoint Global Portfolio, etc.

En marzo, CNBC citó a personas familiarizadas con el asunto que informaron que Morgan Stanley lanzará tres canales de inversión de fondos relacionados con bitcoin para que los clientes adinerados satisfagan las necesidades de los clientes. (El Bloque)[2021/4/2 19:38:31]

Por ejemplo, si un usuario "deposita" USDT en Aave para ganar intereses, primero debe autorizar el contrato de Aave para retirar USDT de la billetera del usuario. Luego llame a la función de contrato de Aave y especifique la cantidad de USDT que desea depositar. Luego, el contrato de Aave usa la función transferFrom() para retirar la cantidad correspondiente de USDT de su billetera para completar la transferencia.

Problemas con la autorización ERC20 ilimitada

Al autorizar el uso de DeFi, puede optar por autorizar la moneda una vez, es decir, solo aceptar esta transferencia, o realizar una autorización ilimitada, para que el contrato pueda operar el token en su billetera ilimitadas veces en el futuro.

Bajo la premisa de que la capa subyacente de la red Ethereum en la que se basa DeFi no es perfecta, la autorización ilimitada de los contratos DeFi es una forma de mejorar de manera efectiva la experiencia de usar DeFi. Evita el problema de la autorización antes de cada uso y el consumo de GAS causado por la autorización antes de cada transacción. Después de configurar la autorización ilimitada, los usuarios solo deben aceptar una vez y el proceso no se repetirá cuando se deposite más tarde.

Sin embargo, existen importantes inconvenientes en esta configuración. Porque lo que el usuario otorga no es solo el derecho de operar parte de los tokens transferidos al contrato, sino el derecho de controlar los tokens en la billetera.

En otras palabras, una vez que el contrato tiene una puerta trasera o es pirateado, no solo los tokens depositados en el proyecto DeFi, sino también los tokens correspondientes en nuestras propias billeteras se verán amenazados. Y debido a que esta autorización está autorizada por la firma de su propia clave privada, una vez que es atacada, incluso si usa una billetera fría, no puede evitar que le roben su propiedad.

¿Cómo prevenir riesgos?

1. Puede optar por cancelar la autorización para los activos de posición que no se negocien

Ahora los proyectos DeFi están surgiendo como brotes de bambú después de la lluvia, y muchos proyectos pueden autorizarse sin saberlo, lo que aumenta el riesgo de robo. Podemos consultar el contrato autorizado consultando nuestra propia dirección de billetera en DeBank y luego cancelar la autorización de Proyectos de alto riesgo en tiempo autorizado.

2. Use el punto y coma para transferir activos a tiempo después de la transacción

Incluso los proyectos más fiables pueden verse atacados, por lo que es más importante no poner todos los huevos en la misma cesta.

3. Considere otros proyectos

Dado que la capa inferior de Ethereum no se puede cambiar, otras cadenas públicas con capas inferiores flexibles se han convertido en objeto de atención de seguimiento.

Por ejemplo, QuarkChain ha lanzado una función de token multinativa. En la red principal de QuarkChain, los tokens multinativos tienen básicamente el mismo estado que QKC en el sistema QuarkChain. Pueden llamar a contratos, cruzar cadenas y pagar tarifas de transacción bajo ciertas condiciones, excepto que no pueden participar en la gobernanza de la red QKC, los tokens nativos pueden realizar todas las funciones de QKC, incluidas las transferencias entre cadenas. La mayoría de los problemas de inconvenientes de activos no nativos que enfrenta Defi se pueden resolver. En contratos futuros, las funciones de los tokens nativos serán completamente consistentes con las de QKC, eliminando la última barrera para la aplicación de múltiples tokens nativos. En otras palabras, no se requiere autorización y se evita el problema de la autorización ilimitada.

Conclusión

Existen grandes riesgos de seguridad en la autorización de tokens. Si queremos mejorar la experiencia del usuario y la seguridad de las aplicaciones de criptomonedas, obviamente necesitamos mejorar la función de autorización de tokens. En la actualidad, el mayor potencial es la función de token multinativo para resolver los riesgos de seguridad causados ​​​​por el problema de autorización desde la capa inferior, sin embargo, todavía hay pocos proyectos DeFi en la cadena pública de QuarkChain, y creo que habrá mayores brotes. en el futuro.

Tags：

TRX