区块新看点｜DeFi与授权,DeFi一天,币圈一年!

经区块新看点编者通过 TokenPocket 上查证，被盗原因为用户在 2018 年 9 月将账户 owner 权限提交给「exchangename」账号导致的，与参与 DMD 挖矿无直接联系。

以上的案例是发生在 EOS 网络上的。因为授权导致资产被盗。DeFi 是金融在区块链上的大创新，也离钱太近了，相信这样的事情会越来越多。相比中心化金融的银行，有非常多的安全措施保障资金的安全，抢劫银行、攻击银行系统，这些都被纳入刑法，一般人可不敢轻举妄动。但去中心化网络上，你甚至都不知道这个地址背后的主人是谁，在「私钥即正义」的信条下，只有掌握私钥，才真正掌握资产。

以太坊的 DeFi 应用实在是太多，通过审计的只有一部分。DeFi 应用向用户获取授权，很有可能存在过度授权的风险。授权是什么呢？授权本质上也是一笔链上交易，需要用户支付矿工费（Gas 费）。Dapp 开发者为了避免用户反复授权，一般会默认设置授权最大数量的代币给智能合约。但这样的处理也明显暴露风险，如果智能合约出现漏洞或合约管理员作恶，那么用户的代币将存在丢失的风险，这就是「Dapp 过度授权」带来的问题。

检查你的以太坊账号的授权情况，可以使用一个名叫「Token Allowance Checker」的工具，用了 dfuse 的 API 进行检测，网址是 ：“tac.dappstar.io”。

读懂"Fi"

DeFi的介绍

波场、EOS 上的 DeFi 项目，不少人不敢入场，也是对这两条公链的鲁棒性存疑。特别是 EOS，公钥、私钥（还分 Owner Key 和 Active Key）的基础上，还有账号的概念，而且还可以更改一个账号的公钥（公私钥成对出现，相对应的私钥也修改了）。所以如果 EOS 的私钥泄漏，那别人可以很方便地修改公钥，然后账户里的资产就灰飞烟灭了。相比而言，以太坊、波场是不可能更改私钥的。

在授权这个事，区块新看点笔者有如下的建议：

体验 DeFi 项目，授权时建议认真看下都拿了什么权限；

体验 DeFi 项目，优先选择经过审计的项目；

建议选择知名度高的钱包，比如 MetaMask、imToken、TokenPocket；

体验 DeFi 项目的地址，最好是全新的，大额资产还是放硬件钱包；

如果有条件，可以使用 Trezor 或者 Ledger 之类的硬件钱包，再结合 MetaMask 使用，高阶用户都是这样玩的；

如果是 EOS 账号，定期检查自己的权限是否有问题；

有条件的情况下，可以考虑使用多签钱包管理资产。以太坊、波场、EOS 都支持多签，而且都可以找到对应的客户端。

DeFi 世界，赚多少钱都是其次的，核心是你的数字资产必须建立在安全前提下，希望你不要忽视这个根本的问题。

- end -

声明：编者在撰写本文时，未购买任何数字货币资产。

#去中心化金融#?#defi#

—-

编译者/作者：区块新看点

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。