前兩天,Solana區塊鏈上出現了安全預警,有?篇?章指出?個名為https://officialsolanarares.net/mint/釣??站在?戶批準之后,可以將?戶的原?代幣轉?。在該?章中提到了?點:惡意合約在?戶批準(Approve)后,可以轉??戶的原?資產(這?是SOL),這點在以太坊上是不可能的,以太坊的授權釣?釣不?以太坊的原?資產(ETH),但可以釣?其上的Token。于是這?就存在“常識違背”現象,導致?戶容易掉以輕?。其實該?章這?的說法是不甚準確的,混淆了批準交易和Solidity中ERC-20代幣授權這兩個不同的概念。真實情況是通過Solana的簽名擴散機制,惡意合約直接盜取了?戶的SOL資產,和通常意義上的授權并沒有什么關聯。1.以太坊中的授權
Helium將遷移至Solana區塊鏈的日期延后至4月18日:金色財經報道,去中心化無線通信網絡Helium將遷移至Solana區塊鏈的日期從3月27日延后至4月18日,這是其準備工作組投票決定的結果,旨在為社區準備、必要的治理投票、更多測試和運營改進提供更多時間。(Medium)[2023/3/17 13:09:57]
在以太坊中,通常意義上授權是指?戶調?代幣合約,向其它地址授權?定處理額度,這樣我們在和其它合約交易時,可以?便的?付ERC-20代幣。在這?,授權是必須的,否則第三?合約?權處理?戶的代幣資產。同時,這種機制也伴?了?量的授權攻擊,只要你授權了惡意合約,惡意合約就可以轉?你的ERC-20代幣。2.Solana中的授權
CyberCapital創始人:Solana虛假地夸大了使用率:金色財經報道,CyberCapital創始人兼首席投資官Justin Bons發表的一系列推文中對Solana網絡及其原生加密貨幣(SOL)發表了一些尖銳的評論,嚴厲地批評了Solana及其運作,提到了\"頻繁的停機、故障、黑客和丑聞\"。
關于SOL的總價值鎖定(TVL),Bons說,SOL的TVL大部分是假的,并提及此前的一條消息,“兩個開發者假裝是10多個開發者,并反復計算相同的TVL”,這“占SOL高峰時100億美元TVL的70%”。(beincrypto)[2022/10/4 18:39:15]
在Solana中,代幣?般為官?提供的spl-token合約,它模擬了ERC-20代幣的?為,因此也存在類似的ERC-20授權概念。同樣授權第三?合約后第三?合約可以處理?戶的代幣(注意不是原?幣SOL)。這點同以太坊是?致的,并沒有什么反常識。3.Approve的涵義
Messari:3家云提供商托管著以太坊和Solana約2/3的節點:8月18日消息,加密數據分析平臺Messari發布推文稱:“加密貨幣需要去中心化。以太坊上65%的節點托管在數據中心,而3家主要的云提供商占其中的69%。在數據中心托管的估計95%的Solana節點中,72%的節點托管于與以太坊相同的云提供商。”此外,Messari附圖顯示,3家云提供商托管著以太坊和Solana約2/3的節點。[2022/8/18 12:34:06]
不管在以太坊中還是在Solana中,我們習慣將Approve當作授權,因此?然?然的會認為是代幣授權。當我們使?MetaMask錢包時,如果是代幣授權交易會明確提示授權,并且所有交易彈出的是?個確認按鈕。然?在Solana的Phantom錢包?,彈出的是?個Approve按鈕,讓?很容易以為是授權交易。但真實情況是批準?次交易?并不是進?代幣授權。所以安全預警中出現的被盜?為,是?戶批準了?個未知交易,?不是?戶進?了SOL的授權操作,當然也就不能說是授權偷?了原?幣。4.交易直接轉?原?貨幣
數據:過去三周,持有100-1000枚SOL的錢包數量翻了一番:推特用戶Solana Matt表示,據統計,過去三周,持有100-1000枚SOL的錢包數量翻了一番。[2021/7/18 1:00:41]
交易轉?批準者的原?貨幣,例如SOL和ETH,是?常簡單的。在以太坊上的Solidity中,只要調??個payabletransfe的函數就可以轉?交易?戶的ETH;在Solana中,相應的,只要調?系統合約的戶的SOL資產,這和我們平常講的代幣授權概念是沒有任何關系的。函數也能轉移?交易?不同的是,在Solidity中,ETH轉移發?在合約調?的時候,因此錢包可以提前知道要轉移的ETH數量并顯示出來,?在Solana中,轉移是發?在合約內部的,因此錢包?法提前知曉你會被轉?多少SOL,當然也會?法顯示。只要你簽名認同了這筆惡意交易,你就相當于簽名認同了這次SOL轉移,這正是這次Solana上釣?盜取的問題所在。?段類似如下的代碼就可以在合約內部轉移user的SOL。
5.Solana中的簽名擴散機制
在Solana中,有?個簽名擴散機制。?戶調?合約A,此時合約A中?戶是簽名批準的。當合約A內部調?合約B時,?戶的簽名會隨著跨合約調??起擴散到合約B。因此,在合約B中,?戶也是簽名批準的。所以這?存在?個安全?險,當簽名?個惡意合約時,惡意合約就獲取了我們這個簽名,然?它可以拿我們這個簽名做任何事情!!!!!!!在上述的偷盜事件中,?戶同惡意合約3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v進?交易,該合約直接調?系統合約轉移?戶的SOL,因為簽名隨著調??起擴散到了系統合約,因此系統合約認為該筆交易也是批準過的,是正常的,所以就轉?了?戶的資產。6.具體被盜交易
其中?筆被盜交易:https://explorer.solana.com/tx/4j33JSGRS6rD5irzW1cA9wjQAvAgVDAnBTrGRjqtqBBWXspTzU5HpEFwTeCC2uD9hH9eA2Pw5ddHyd5JyG6h6cNq我們可以看到該交易涉及的輸?賬號:
這其中:?戶賬號:4XF4wyjein7ZN4RPM6YK2mC2mC6T41cZAoKjJqpP19fRSOL轉移賬號:BepccLHDcXqqHi6MfpTDo9Sfc5tmRjmSC1XY48Tb8HuY惡意合約地址:3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v從上可以看出,?戶賬號調?合約后轉移了1.2545SOL到轉移賬號。同時我們可以看到并沒有涉及到spl-token代幣合約,出產沒有通常意義上的授權這么回事。其交易打印出的?志為:從?志中也可以判斷,惡意合約僅是簡單的調?了系統合約轉?了?戶的SOL,因此?戶簽名批準了對惡意合約的交易,這個簽名也擴散到了系統合約,因此判定有效。7.結論
在Solana中,不要輕易確認或者批準任何來歷不明的交易,因為它可以拿你的簽名代表你做任何事情。
Tags:SOLSolanaLANAOLAsol幣2024年未來價格solana幣下半年會漲多少solana幣官網DOLAN
在Azuki之后,Mfers成為了大家不得不談論、不得不關注的PFP項目。然而,Mfers是怎么火起來的?它和Azuki所走的道路如此迥異,其背后的估值邏輯又在哪里?在Mfers之后我們又該關注.
1900/1/1 0:00:00本文來自微信公眾號老雅痞。 圖源:GETTYIMAGES2月4日周五,BuzzFeed的KatieNotopoulos發表了一篇報道,這引發了一場網絡戰爭.
1900/1/1 0:00:002021年,感覺世界鋪天蓋地藝術NFT。創作者意識到他們可以直接同他們最狂熱的粉絲聯結,而不是依賴從他們辛勤工作中榨取大量價值的中介.
1900/1/1 0:00:00自2018年成立以來,福布斯“區塊鏈50強”已經記錄了全球約114家公司對區塊鏈技術的使用情況.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 在當前這個低利率時代里,投資者們紛紛涌向加密貨幣領域尋找尋求更高的投資回報機會.
1900/1/1 0:00:00為什么NFT能賣到數十萬美元,背后肯定有更多原因?當我和我的家人在OpenSea上向叔叔展示一只無聊的猿時,他最初的反應是困惑和震驚。“那只猴子怎么值20萬美元?”他叫道.
1900/1/1 0:00:00