原文作者:Loopy Lu
原文來源:Odaily
10 月 2 日,跨鏈 DEX 聚合器 Transit Swap 遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超 2300 萬美元.
發現被盜後,Transit Swap 技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前 Transit Swap 官方發布公告稱,此前駭客攻擊事件原因係代碼錯誤,目前已確定駭客 IP、電郵信箱,以及相關的鏈上地址。Transit Swap 團隊表示將盡力追踪駭客,並嘗試與駭客溝通,幫助用戶挽回損失。
慢霧分析,此次攻擊的主要原因在於 Transit Swap 協議在進行代幣兌換時並未對用戶傳入的數據進行嚴格檢查,導致了任意外部調用的問題。具體而言,路由合約本身沒有對 transferFrom 參數進行任何限制、也並未對解析後的兌換合約地址與調用數據進行檢查。攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷,通過路由代理合約傳入構造後的數據調用路由橋合約的 callBytes 函數,實現了竊取所有對權限管理合約進行授權的用戶的代幣。
目前駭客已將 2500 BNB 轉移到 Tornado Cash,剩餘資金分散保留在駭客地址中。經過駭客痕跡分析發現,駭客疑似曾從 LATOKEN 等平台存提款。
此外,安全團隊 PeckShield 已確認駭客資金流向。
(一個典型的「無限授權」操作,授權金額高達 10 的 59 次冪數量級)
用戶如何防範?
沒有授權就沒有安全隱患。在執行鏈上操作之時,如需執行 Approve 操作,用戶應遵循「用多少、授多少」的原則。如果我只需賣出 1000 TOKEN,那即應手動修改 Approve 金額為 1000。在計算合約轉移金額時是累積的,即若只授權 1000、本次金額恰好交易了 1000,合約授權額度恰好已耗盡。即使日後合約出現安全風險,也已無法再從用戶錢包中轉移走任何資產。
(用戶可手動修改授權金額)
而對已經授權的用戶來說,還可發起取消授權操作。(一個有趣的細節是,以太坊並不支援「取消授權」,該操作本質是賦予合約「0」金額的授權。)
常用取消授權網站如下(安全公司慢霧推薦):
1. Dappstar
2. Revoke
3. Apprroved.zone
4. Rabby Wallet
此外,一些區塊鏈瀏覽器也支持用戶查看並取消授權:
1. Etherscan
2. BscScan
defi 被盜,誰的責任?
「黑暗森林」是對鏈上秩序廣為流傳的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責於用戶的安全意識嗎?
在此類事件中,DeFi 項目對於用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。儘管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。
至今,仍有多少Cryptocurrency用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。
DeFi 濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的天量資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了「沒有人可以拿走錢包裡的幣」這一樸素的直覺。這也是Cryptocurrency產業需要一直面臨的風險和挑戰。
被盜事件發生後,神魚就已在推特做出呼籲,「呼籲一下項目方規範使用授權功能,用多少授權多少,不要無限授權,大家都放心。」
去中心化充滿著機會與風險。還記得加密技術最初的願景嗎?「保護你的資產,沒有人可以奪走你錢包裡的加密貨幣。」
而一個良性秩序的建立,需要的不是複雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要產業裡每一個參與者共同的努力。
(以上內容獲合作夥伴 MarsBit 授權節錄及轉載,原文連結 | 出處:ODaily)
聲明:文章僅代表作者個人觀點意見,不代表觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及將不承擔任何責任。
本文轉自網路,如有侵權請來信告知,本網站不代表任何投資建議,僅提供資訊,若用戶有任何投資相關行為皆與本站無關
本網站所載的任何資訊均不構成投資建議,投資有賺有賠,投資人應獨立判斷,審慎投資,自負風險
