随着DeFi的火爆,一般的区块链老手用户肯定不止一次对DeFi项目进行授权了,每当使用一个新的DApp,都需要授权这个DApp花费你的代币。除了流程繁琐之外,每次授权都还要支付不菲的手续费。很多用户为了省钱省事,每次授权都是提供无限期授权,结果不知道哪天,突然发现自己的钱被人转走了,而原因并不是因为私钥被盗,而是因为图方便给DeFi合约进行了无限授权,为什么会有无限授权?有没有解决方案?
为什么要有ERC20授权?
有了以太坊上的原生代币ETH,你就可以将ETH发送至该智能合约,同时调用智能合约功能。这是通过所谓的可支付函数实现的。但是,由于ERC20代币本身就是智能合约,以太坊无法通过直接将智能合约代币发送到智能合约来调用其函数。原因是这个转账是在ERC20代币合约上发生的,不在DeFi合约。
Mercurial Finance TVL超2亿美元 创历史新高:9月14日消息,Solana链上稳定资产协议Mercurial Finance发推宣布其3个流动性池的TVL已超2亿美元,创历史新高。[2021/9/14 23:23:58]
那么如果想要合约来调用ERC20应该怎么办?ERC20标准中,提供了一个让智能合约使用transferFrom()函数代表用户转移代币的方案。为了激活这个功能,需要用户授权智能合约转移代币的权限。
授权后,用户就可以将代币“存入”智能合约,进行DeFi应用的使用了。
公告 | 火币全球站恢复USDT (ERC20) 提币业务:火币发布公告称,火币全球站现已恢复USDT (ERC20) 的提币业务。[2019/6/26]
比如,用户将USDT“存入”Aave来赚取利息,首先需要授权Aave合约可以从用户的钱包中取出USDT。然后再调用Aave合约函数,指定想要存入USDT的数量。然后,Aave合约使用transferFrom()函数从你的钱包中取出相应数量的USDT完成转账。
无限ERC20授权的问题
授权使用DeFi时,你就可以选择将这个币种单次授权,即仅同意本次转账,或者进行无限授权,让合约能够在未来不限次的有权操作你钱包内的这种代币。
动态 | Thundercore发布共识协议代码Pala:据coindesk报道,公共区块链平台提供商ThunderCore刚刚在GitHub上发布了一个名为Pala的新共识协议的概念验证代码。根据GitHub页面所述,Pala是一种拜占庭容错共识协议,可以在部分同步网络设置中实现低延迟和高吞吐量。[2019/5/16]
在目前DeFi依托的以太坊网络底层不完善的前提下,对DeFi合约进行无限授权,是能有有效提高DeFi使用体验的一种方式。避免了每次使用前都要进行授权的麻烦,以及每次交易前授权造成的GAS消耗。设置无限授权后,用户只需要同意一次,之后存款时就不会再重复这一过程。
动态 | Reddit用户称Brock Pierce正在计划巨大局:据bitcoinexchangeguide报道,Reddit用户Soft_Bit1最近发帖称,前比特币基金会主管Brock Pierce正在计划一个“巨大的”局。该用户称,Pierce将声明将使用他所有权的所有收益来偿还Mt. Gox用户。然而,Pierce将使用比特币此前的价值而不是当前的价值来支付用户。这意味着如果用户接受,Pierce最终可能获得5.4亿美元的利润。据悉,在Gox被黑时,每枚比特币价值接近600美元,而目前则接近3900美元。该用户称,Pierce希望通过投票,向法庭证明Mt. Gox的用户支持其实际上拥有该交易所。对此,Pierce在推特上解释说,该用户的说法是错误的。[2019/3/7]
但是,该设置存在很大的弊端。因为用户授予的,不仅仅是操作转入合约部分代币的权利,而是这个钱包中这个代币的支配权。
也就是说一旦合约留有后门,或者遭到黑客攻击,那么不仅是存入DeFi项目中的代币,我们自身钱包里的相应代币也将受到威胁。而由于这个授权是由自身私钥签名授权的,因此一旦遭到攻击,即便使用冷钱包,也不能防止自身财产被盗。
怎样防范风险?
1.对于不交易的持仓资产可以选择取消授权
现在DeFi项目如同雨后春笋,不知不觉可能就会授权很多项目,这就加大了被盗风险,我们可以在DeBank上通过查询自身钱包地址的方式,查询授权的合约,然后及时取消高风险项目的授权。
2.分号使用,交易完及时转出资产
即便是再靠谱的项目,也都存在被攻击的可能,因此,不要把鸡蛋放到同一个篮子里更加重要。
3.考虑其他项目
既然以太坊底层无法改变,那么其他拥有灵活底层的公链,就成为了后续可以关注的对象。
比如推出了多原生代币功能的QuarkChain。在QuarkChain主网中,多原生代币(Multinativetoken)在QuarkChain系统中和QKC基本是一样的地位,可以调用合约、跨链、在满足某些情况的条件下可以支付交易手续费,除了不能参与QKC网络治理,原生代币可以实现QKC所有的功能,包括跨链转账。大部分Defi面临的非原生资产不便利性问题都可以解决。而未来合约中,原生代币的功能,将做到和QKC完全一致,消除多原生代币应用的最后一层障碍。也就是说不需要授权,也就避免了无限授权的问题。
结语
代币授权存在很大的安全隐患。如果我们想要改善密码学货币应用的用户体验和安全性,我们显然需要改进代币授权功能。目前,最有潜力的就是多原生代币功能从底层解决授权问题带来的安全风险,不过目前QuarkChain公链上DeFi项目仍然较少,相信后续会有更大的爆发。
以太坊于2015年7月首次上线,其去中心化应用程序(dApps)的生态系统多年来取得了惊人的发展。0x的第一个场外交易市场于2017年推出。Uniswap于2018年11月首次部署.
1900/1/1 0:00:006月30日消息,加密资产导航网站CoinMarketCap宣布推出了自己的代币交换服务,用户可连接支持的加密钱包并直接在CoinMarketCap上交易相关token.
1900/1/1 0:00:00就目前DeFi的基建水平、法律法规等方面来看,机构大规模采用DeFi协议还为时过早。原文标题:《CeDeFi?机构入场DeFi还有较长的路要走》炎炎夏日,DeFi蓝筹纷纷触底反弹.
1900/1/1 0:00:00今晚朱涛做客《金色讲堂》解读区块链产业生态:4月12号晚20:00,《金色讲堂》邀请中国高科技产业化研究会区块链产业联盟理事长、世界区块链组织副总干事朱涛先生前来对目前区块链技术的国际化出路进行.
1900/1/1 0:00:00一些业内人士表示,印度市场目前的增长仍是冰山一角,未来还将会有更多的印度投资者涌入。区块链数据追踪平台Chainalysis提供的数据显示,在已统计的154个国家中,印度的加密货币规模位列第11.
1900/1/1 0:00:00据U.Today消息,CathieWood旗下的方舟基金已与瑞士加密交易所交易产品发行商21SharesAG合作向美国证券交易委员会提交联合申请,以推出比特币交易所ETF.
1900/1/1 0:00:00
月亮链