今日,跨鏈DEX聚合器TransitSwap遭受攻擊,導致大量用戶的資金從錢包中被取出。截至目前,預計損失超2100萬美元。
發現被盜后,TransitSwap技術團隊緊急暫停服務,合約已完全暫停,無法進行任何操作。發稿前?TransitSwap官方發布公告稱,此前黑客攻擊事件原因系代碼錯誤,目前已確定黑客IP、電子郵件地址,以及相關的鏈上地址。TransitSwap團隊將盡力追蹤黑客,并嘗試與黑客溝通,幫助用戶挽回損失。
與此前被盜項事件不同的是,TransitSwap是TokenPocket錢包的閃兌服務提供商。這讓大量用戶實現了“無感被盜”的絲滑體驗,也再一次向我們明確了加密市場“黑暗森林”的恐怖法則,即使是錢包背書的便捷“閃兌”服務,依然存在被盜隱患。
Vega聯合創始人:Vega Token可能在周一上線:金色財經報道,DeFi平臺Vega用于創建和交易衍生品,它于5月初部署在alpha主網上。
根據CoinGeko的數據,相關代幣VEGA在周三飆升至1.62美元的月度高點,但此后鞏固至1.33美元左右的水平,在過去7天內仍上漲了21%。
據Vega聯合創始人Barney Mannerings稱,在過去的一周里,Vega背后的社區提議開始交易,并批準了USDT、USDC和ERC20代幣在Vega以太坊橋上進行存取款。如果這些提案成功,市場可能會在5月22日自動啟動。[2023/5/20 15:14:55]
什么是閃兌?
目前,幾乎所有錢包都嵌入了DeFi功能,而一些錢包出于易用性的考量,更是創造了“閃兌”這一概念并加以應用。
日本立法者:監管機構未告知消費者FTT潛在風險,呼吁將交易平臺和Token審查分開:12月14日消息,日本立法者敦促明確加密貨幣監管,并稱監管機構日本虛擬和加密資產交易協會(也稱為JVCEA)在今年批準FTT在當地上市時沒有告訴消費者有關FTX原生Token的潛在危險信號,僅“有條件”批準,導致FTX日本子公司在獲得執照后于2月將FTT添加到產品中,目前JCVEA拒絕置評。
此外,日本自民黨議員Akihisa Shiozaki表示日本不應放寬加密貨幣上市規則,而且要將交易所審查和Token審查分開進行。(Japan Times)[2022/12/14 21:44:25]
所謂閃兌,即和錢包深度整合,在產品中擁有更明顯的獨立入口、更簡化的操作流程,更便捷的操作。使用閃兌用戶可以方便、快速的完成加密資產交易。例如,“Approve”操作通常被簡單的一鍵式集成在交易流程中,用戶幾乎是無感的。
隱私基礎設施Nym發布原生Token NYM相關介紹:2月1日消息,隱私基礎設施Nym發布原生Token NYM相關介紹,據視頻介紹顯示,NYM屬于實用型Token,可以給予持有者Nym混合網絡的訪問權限,混合網絡可以加密用戶數據并隱藏元數據,使通訊隱蔽以保護隱私。持有者也可運營一個節點或將Token委托給一個節點,并從中賺取收益。[2022/2/1 9:26:29]
或是因錢包內置集成,用戶對其天然更具信任,也一定程度降低了防范意識。但究其本質,無外乎是錢包app集成的一款DEX,與其他DEX并無差異。這也給本次安全事件留下了隱患。
投資者對區塊鏈特性的一種廣泛共識。鏈上資產一旦被錢包所有,沒有任何強制手段將其轉移。但當我們使用DEX進行鏈上交易之時,DEX是如何將一種資產拿走再轉移給你另一種資產的?
動態 | TokenInsight:BTC算力盤整于90E,多頭保持穩定:據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間12月28日8時報527.36點,較昨日同期上漲4.47點,漲幅為0.85%。此外,在TokenInsight密切關注的10大行業中,24小時內漲幅最高的為廣告行業,漲幅為2.99%;24小時內跌幅最高的為內容服務行業,跌幅為1.73%。
據監測顯示,BTC 24h成交額為$232億,活躍地址數較前日上升14.52%,轉賬數較前日上升13.15%。Coinwalle分析師Jeffrey認為,BTC算力盤整于90E,多頭保持穩定,短期或將延續盤整蓄力。
另據Bituniverse網格指數分析,今日行情可開啟LTC/USDT網格,區間38.06-43.99 USDT,高拋低吸,賺取收益。
注:以上內容僅供參考,不構成投資建議。[2019/12/28]
授權就成為了這一切的關鍵。用戶于DEX出售資產之前,需先執行“Approve”操作,這一操作之后合約便擁有了動用用戶某種代幣的權限。
或者描述的更加直白一些:只要你做了授權,無需打開錢包、無需執行操作、無需私鑰,該合約就可以不經你的許可,支配你授權的資產。這是由以太坊的機制和授權模型所決定的,與項目方的道德操守、安全規范、代碼審計都并無審核關系。
Uniswap盡管擁有隨時將用戶錢包清空的能力,但并不會真的這么做一樣。但動態來看,這一邏輯依然是危險的。
現代軟件開發,升級是一項必不可缺的能力。智能合約也是如此。在Solidity智能合約中,擁有Transparent和UUPS兩種升級方法,借助于這兩個功能,合約代理和升級幾乎是業界合約的標配。
項目方是如何進行合約升級的呢?通常,用戶所訪問的合約并非直接運行業務邏輯的核心合約,而是一個“代理合約”,代理合約接收到用戶請求之后將其轉發到核心的業務合約,再由業務合約進行處理。而合約升級即是更改簡單來說,智能合約盡管不可修改,但用戶所最終訪問的、運行業務邏輯的合約是可以替換的。這也是業界的通用做法。
而即便是最安全的合約,只要進行“合約升級”,其業務合約就已發生變化,此前的審計報告也淪為了一張廢紙。
簡單來說,今天你所交互的合約是安全的,但明天訪問同樣的這個項目,可能他的安全性已經發生根本性改變。合約仍可能擁有轉走你所有已授權資產的能力。
而對已經授權的用戶來說,還可發起取消授權操作。
常用取消授權網站如下:
1.Dappstar:https://tac.dappstar.io/#/
2.Revoke:https://revoke.cash/
3.Approved.zone:https://approved.zone/
4.?RabbyWallet?
此外,一些區塊鏈瀏覽器也支持用戶查看并取消授權。
https://cn.etherscan.com/tokenapprovalchecker
https://bscscan.com/tokenapprovalchecker
DeFi被盜,責任全在用戶嗎?
“黑暗森林”是廣為流傳的對于鏈上秩序的敘述了,也提醒著用戶這個世界的危險性和高風險。但諸如此類的安全事件一再發生,真的可以全部歸責于用戶的安全意識嗎?
在此類事件中,DeFi項目對于用戶授權毫無節制的索取是隱患的最初來源,幾乎所有的項目,在索取授權之時其默認選項都是無限授權。盡管用戶可以手動修改,但一個負責任的市場應承擔投資者保護和用戶教育的責任。
至今,仍有多少加密用戶尚不清楚授權的危險?而在這種環境背景之下,項目方仍在索取危險極大的無限授權。
DeFi濫用授權的情況早已成為業界慣例,而這一高危情況幾乎危及所有用戶的田亮資產,其影響之深遠、廣泛、隱患之巨,恐怕尚未有一個安全隱患可以望其項背。該風險從根本上違背了“沒有人可以拿走錢包里的幣”這一樸素的直覺。這也是行業需要一直面臨的風險和挑戰。
被盜事件發生后,神魚就已在推特做出呼吁,“呼吁一下項目方規范使用授權功能,用多少授權多少,不要無限授權,大家都放心。”
去中心化充滿著機會與風險。還記得加密技術最初的愿景嗎?“保護你的資產,沒有人可以奪走你錢包里的加密貨幣。”而一個良性秩序的建立,需要的不是復雜的代碼、晦澀的概念,確保每一個普通用戶都能安全的使用加密技術,仍然需要行業里每一個參與者共同的努力。
Tags:TOKETOKKENTOKENYoung Boys Fan TokenVanity TokenBlue Whale TokenVOYCE TOKEN
:content-type-MARKDOWN-DONOT-DELETE!(https://gimg2.gateimg.
1900/1/1 0:00:00原文標題:《Onbuildingmobilefirst.》原文作者:JoelJohn,FTX旗下基金LedgerPrime風投負責人原文編譯:Kxp.
1900/1/1 0:00:00HaveyoutriedouttheP2PtradingplatformonGate.io?Guesswhat?Nowyoucanbuyandsellcryptowithotherusersat.
1900/1/1 0:00:00金色財經報道,Telegram的WalletBot背后開發人員推出P2P加密貨幣交易所,它允許Telegram用戶使用銀行卡購買加密貨幣、兌換并轉移到其他錢包.
1900/1/1 0:00:009月30日消息,以太坊Layer2擴容開發團隊StarkWare成員odin_free在Discord發布公告稱,原計劃于9月底推出的以太坊StarkNetToken因技術優化而暫時推遲.
1900/1/1 0:00:00比特幣再次回到20,000美元以上,但這次明顯缺乏對它的熱情。這是因為加密貨幣一直在17,000美元到22,000美元之間來回波動。在過去的幾周里,國王硬幣一直在同一范圍內洗牌.
1900/1/1 0:00:00