幣安、等主要錢包的合約授權風險 大機構真的安全嗎？_ETH:KucoinETH錢包地址

主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力，DilationEffect無法得知這些機構內部的安全水平和實施細節，但出于好奇，我們想嘗試通過公開信息來對這些機構錢包地址做簡單分析，見微知著，從普通用戶角度來考量這些地址是否存在潛在安全風險，以及潛在風險敞口有多大。

本次快閃點評的數據全部來源于Etherscan、Debank等公開服務。

1、分析對象選擇

查看Etherscan的Top1000Accounts，挑出其中打了標簽的機構地址。

2、分析維度選取

由于不了解這些交易所和機構生成和管理錢包的技術細節，該如何對地址的安全性做分析？DilationEffect這次選取的維度是分析這些地址的合約授權情況。

因為地址被惡意合約騙取授權或者授權過的合約存在漏洞而導致被盜幣是很常見的攻擊。限制授權額度、定期清理授權已經成為最佳安全實踐。那么這些大型交易所的地址做的如何呢，我們隨機挑選幾個地址來做分析。

某巨鯨在市場暴跌后共從幣安和OKX提取17901枚ETH:8月21日消息，據Lookonchain監測，在本輪市場暴跌后，某巨鯨向幣安和OKX存入了1000萬枚USDC和5700萬枚USDT。

到目前為止，該鯨地址已經從幣安和OKX提取了總共17901枚ETH（3000萬美元）。[2023/8/22 18:14:07]

案例一

地址：

Binance8(0xF977814e90dA44bFA03b6295A0616a897441aceC)

這是Binance余額最大的錢包地址，ETH鏈為100億美金，其他鏈加起來一共161億美金。部分資產截圖如下：

查看此地址在ETH鏈的合約授權情況，發現提示32億美金存在風險。當然這里并不是說一定存在確定性安全風險，這只是一種潛在風險敞口的可能性描述。

WSJ：幣安創始人趙長鵬受到德國監管機構審查:金色財經報道，據知情人士和《華爾街日報》獲取的內部文件稱，幣安創始人趙長鵬受到德國監管機構的審查，德國聯邦金融監管局（BaFin）基于對首席執行官趙長鵬（CZ）和公司結構的擔憂，建議幣安撤回其許可申請。

報道稱，BaFin向幣安表示，CZ可能沒有通過金融監管機構監管準則下的“適當人選”測試，該監管機構的許可證申請指南規定，董事總經理（在本例中指CZ）必須“具有管理機構所需的專業資格和良好聲譽，并且必須投入足夠的時間來履行其職能”。BaFin發言人證實幣安已撤回申請，但拒絕提供更多細節。

幣安發言人對此回應稱，《華爾街日報》的報道不準確。他表示，幣安出于多種原因主動撤回了申請，其中包括集中精力獲得新的歐盟加密貨幣許可證。[2023/7/29 16:05:42]

那么我們具體來看看此地址是如何做授權的，比如什么幣種授權給了什么合約，授權額度如何。以下摘錄部分查詢結果。

幣安將暫停DOGE提款長達10至14天:幣安（Binance）正試圖解決由上周的軟件升級引發的技術問題，該問題導致了許多錯誤的狗狗幣（DOGE）交易。幣安表示，用戶必須歸還狗狗幣，否則他們將無法提取或使用其余額中的資金。用戶則表示他們無法訪問兩年前發送的那些狗狗幣，在某些情況下甚至不知道這些代幣最終去了哪里。根據幣安周一更新的博客文章，截至11月15日，“由于問題的復雜性，預計DOGE網絡提款將在接下來的10到14天內暫停”。但是，一些用戶表示，他們無法提取帳戶中的任何加密貨幣。（Coindesk）[2021/11/16 6:54:15]

庫幣安全事件更新：OPQ將聯合庫幣進行代幣替換追回:Opacity Storage于推特上表示，針對此次庫幣熱錢包異常轉賬事件涉及的OPQ代幣，將進行代幣替換，幫助庫幣追回被盜資產。[2020/9/28]

這時我們會發現一個奇怪的現象，就是這個地址上有的幣種限制了授權額度，有的幣種卻直接無限制，授權額度規則看起來并不統一。我們特別關注到BUSD、Matic、SHIB、SAND這幾個余額較大的幣種，地址余額分別為19億美金、4.6億美金、2.6億美金、1.4億美金，相關授權記錄如下：

這里存在幾個明顯的問題：

一是對合約的授權沒有定期清理。比如針對BUSD的合約授權，兩年多過去了都沒做過清理，要么沒關注到要么覺得沒必要。這說明Binance在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說，已經分析過相關授權合約發現這些合約能做的操作有限，相對安全。但我們想說的是，這里首先并不是單純的技術問題，而更多是安全管理的問題。即Binance在這里該如何全面系統的去管理第三方合約帶來的風險，我們認為可以做的更嚴格深入。其實如果仔細看，你會發現Aave:LendingPoolV2是個可升級的代理合約，假如Aave合約被攻擊，這里就是19億美金的損失。

公告 | 幣安“關于SYS異常交易處理方案”:幣安剛剛公告表示，今日凌晨04:18:00，部分API用戶在SYS交易對出現異常交易行為并觸發了幣安風控系統，幣安暫停了交易、提現；用戶的資產完全安全。經查證，此次事件為部分API用戶的釣魚事件。[2018/7/4]

二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況，如果限制了授權額度會相應的降低風險。這同樣暴露出Binance在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況，但是對Crypto行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度，對風險要保持極度的厭惡是非常必要的。

三是幣種授權規則不統一，有些幣種限制了額度，有些完全沒限制額度，動作不統一。這說明Binance內部安全管理操作不明確，或者內部團隊沒有做好分工配合。

另外我們也很好奇，資產余額規模如此巨大的地址，為何要頻繁參與Defi合約的操作呢？Binance是否可以做出更細粒度的地址規劃和隔離設計呢？

案例二

地址：

Kucoin6(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

這是Kucoin交易所的地址，其ETH鏈上有17億美金，其他鏈加起來19億美金。此地址資產截圖如下：

查看此地址在ETH鏈的合約授權情況，發現提示11億美金存在風險。同樣的，這并不是指一定存在安全風險，而只是一種潛在風險敞口的可能性描述。

那么具體來看看Kucoin這個地址的授權情況。

哇！我們又發現了一些有意思的東西。

1、此地址的APE幣種在2022-04-02授權給了Multichain的跨鏈Router合約，大家應該知道前幾天Multichain出現了不可抗力因素的事件，但Kucoin并沒有在第一時間取消對Multichain合約的授權。這體現出Kucoin在風險應急響應上還存在改進空間。

2、此地址的大金額幣種USDT、USDC、KCS等全部都授權給了名為Bridge的合約，且授權額度完全無限制。簡單分析后發現Bridge是KuCoin社區鏈KCC的跨鏈橋合約，但在KCC的官網上查看搜索，并沒有發現相關的安全審計報告，這不禁又讓人心一慌。大家還記得BNBChain的200萬枚BNB攻擊事件嗎？

案例三

地址：

JumpTrading(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

這是機構JumpTrading的地址，其ETH鏈上有1.4億美金，其他鏈加起來1.5億美金。此地址資產截圖如下：

查看此地址在ETH鏈的合約授權情況，發現提示2500萬美金存在風險。同樣的，這并不是指一定存在安全風險，而只是一種潛在風險敞口的可能性描述。

那么具體來看看JumpTrading這個地址的授權情況。

可以發現此地址上幣種的授權不多，而且絕大部分的授權都做了額度限制，總體上管理得還不錯。

但是USDC幣種在2021-02-04授權給了Curve合約，未設置限額，且一直未取消。這一點需要做出提醒，如果不需要對應的合約操作，建議立即取消對此合約的授權。

總結

這次的快閃點評到這里就結束了。DilationEffect隨機抽取了幾個交易所和機構地址做分析，從結果來看，這些機構在合約授權方面做得并不是很完美，希望我們的分析能給相關機構提供參考。沒有抽取到地址的交易所和機構，也可以參考上文中的分析過程來檢查是否存在類似問題。

Tags：ETHUSDKucoinETH錢包地址ETH挖礦app下載Etherael指什么寓意USD幣USD價格kucoin是什么平臺kucoinpro是什么kucoinpro介紹

BNB