许多DeFi智能合约可以从用户钱包中提取无限量,这很可能会造成灾难。 周四在Bancor上发现了一个漏洞,该漏洞使黑客可以提取与其智能合约进行交互的任何人的资金。 该缺陷基于ERC-20标准中引入的提款授权概念。 这允许不同的基于以太坊的分散(Dapp)应用程序自动从用户的钱包中提取资金。 正如ZenGo的研究工程师Oded Leiba所写的那样,Bancor智能合约的提款功能设置有误,使任何人都有机会分配它。 Bancor已在恶意方干预之前撤回了用户资金。 Bancor合同要求在与该协议的第一次交互过程中无限制地提取资金。 即使用户仅计划测试有限量的协议,系统也可以提取该特定令牌的全部余额。 事实证明,以太坊上的许多其他DApp都这样做。 无限时间进行无限次批准 正如Leiba所说,许多著名的Defi应用程序都需要无限的批准。 在ZenGo,Compound,Uniswap,bZX,Aave,Kyber和dYdX团队进行的测试中,都有无限或非常大的批准。 Synthetix的创始人Kain Warwick说,无限批准可以带来更好的可用性和更低的耗油量,但与此相反,风险更高。 到目前为止,大多数DeFi平台似乎都喜欢某种东西可以使用或适合使用的程度。 但是,事故发生后,Bancor决定修改合同,只批准每笔交易所需的金额。 沃里克认为:“这是一个严重的问题,因为如果您违反了每一份新的合同,您将获得无限的批准,这会使您面临更大的风险。” 即使不再使用该平台,批准仍然有效。 Leiba指出,有160多个地址仍然容易受到错误的Bancor智能合约的攻击。 但是,如果他们恢复活动,则黑客将能够随时偷钱。 责怪标准 目前普遍使用的ERC-20令牌标准有一些基本限制。 批准没有时间限制,这可以帮助最大程度地减少无限津贴的长期影响。 各种竞争性标准,例如ERC-223,都试图通过完全消除批准的需求来最小化问题。 在大多数现有应用程序中,每次都可以手动初始化与智能合约的交互,而不会显着影响用户体验。 但是,智能合约无法响应用户做出的简单单方面转移指令。 相反,他们必须使用transferFrom函数自己收集令牌,这需要通过Wap的批准方法设置配额。 Warwick解释说,该团队最初使用了更高级的ERC-223标准。 过量使用天然气的问题以及不支持新标准的合同存在的错误迫使社区放弃该标准。 “这些标准非常困难,当为ERC20设计的所有产品单方面移至ERC223时,将会有很多冲突。” 如何解决这个问题? 有些钱包允许用户修改批准请求中的特定数量的收益,尽管很少有人透露默认值。 ZenGo已实施了一个系统,在该系统中,每次传输都同时发送批准,这可以帮助保护用户以更高的天然气成本。 沃里克分享了他的安全活动: “我可以无限期地接受合同,但是我要谨慎对待我做的哪个帐户以及我给哪个合同,因为这样可以减少冲突,但是风险要高得多。” 他还建议通过“撤消”,“批准区域”和“ TAC”之类的工具消除未使用合同的津贴来进行“维护”。 按照Twitter页面| 订阅电报频道| 跟随Facebook页面 加密贷款仅是年利率的5.9%-您可以有效地使用这笔钱而无需出售硬币。 拥有稳定币,美元,欧元和英镑的保险,每年最高可获得8%的利息,保险金额高达1亿美元。来吧,马上开始! → —- 原文链接:https://www.tapchibitcoin.vn/lo-hong-cua-bancor-cho-thay-muc-do-nguy-hiem-pho-bien-trong-defi-ethereum.html 原文作者:Huy Béo 编译者/作者:wanbizu AI 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
Bancor的缺陷表明DeFi以太坊中普遍存在危险
2020-06-24 wanbizu AI 来源:区块链网络
LOADING...
相关阅读:
- 为什么此DeFi交换是以太坊ERC-20代币的单程票?2020-08-01
- Messari:DeFi聚合器的受欢迎程度将继续增长2020-07-31
- 三星通过MANA和XLM合作关系深入公共账本2020-07-31
- 首要行动:Chainlink的飞涨代币在快速增长的DeFi中显示出幸运的“ Oracl2020-07-31
- 忽悠指数第21弹:佛萨奇——forsage(文末5000KEY红包)2020-07-31