DEF:DeFi少做這一步，沒有私鑰別人也能轉走你的資產_EFI

編者按：本文來自風火輪社區，作者：佩佩，Odaily星球日報經授權轉載。大家好，我是佩佩，今天就是八天長假了，估計大家現在是要么堵在路上要么已經開啟放假模式，沒啥人能認真看文了，哈哈哈，接下來的一周的安排，如果有時間且市場上還有些故事能講的話，會繼續更一更，如果還像現在這個主流表現的比穩定幣還穩定那就停一停。按歷史情況看呢，國內的假期通常也都對應著市場熱度和交易量的下降，加之今年還有出jin問題，不管凍結率有多高，這也會使更多的朋友短期對無腦沖，多一層顧慮，所以估計是沒啥劇情，咱該玩玩該樂樂，回來說不定也還能有驚喜。當然節前最后一期，這個內容還是很重要的，關于玩defi的授權安全隱患問題，下圖是前幾天群里在傳的：

Wemade宣布在WEMIX3.0主網上推出新的DeFi服務:金色財經報道，韓國游戲公司Wemade宣布將于2023 年 6 月 9 日在 WEMIX3.0 主網上推出新的 DeFi 服務 Kurrency 和 Konverter 。Kurrency 允許其參與者存入代幣作為抵押品來鑄造WEMIX加密貨幣美元 (WCD) 以進行質押和交換。[2023/6/2 11:54:09]

你說要是虧完不能出jin可以歸于能力問題，但這種莫名坑就真的很惡心對不對，正好今天也看到幣圈一個短視頻在說這個事情，我覺得還是有必要在這里專門提一下，讓更多的朋友注意到。其實關于授權隱患，咱們社區的小伙伴們應該多少是有點印象的，此前我們有專門講過這個月靠uniswap空投暴富的其中很大一部分資深玩家，就是因為擔心玩土狗項目安全問題而開了很多小號，沒想到卻意外收獲了幾千幾萬個uni。不過我們只是表面知道好像授權有一些坑，但有沒有想過為啥這些dex、swap的都有這么個授權操作呢？到底是不是坑，咱先從源頭追溯。這個授權呢，通俗來理解，就像去賣一輛二手車，需要找當地的一些中介或經銷商，把車放到他們的平臺，讓更多有需求的買家看到它，那么這里的第一步就是你要和中介簽署一份合同，這份合同表明了你授權該經銷商來代理出售你的車。swap類的去中心交易所的邏輯也是這樣，授權，即這是一份你和交易所中介之間簽訂的合同，只不過在咱這叫——智能合約，它允許該平臺有代理出售你資產的權限。當然，上面的比喻只是為了方便理解，細心的小伙伴應該發現，dex交易又不是NFT還需要等待一個有緣人，直接砸到資金池里就好啦，為啥還要有授權這么個流程。這其實源于以太坊合約的一個特性，對于erc20代幣，直接從地址像目標合約轉賬，合約是接收不到的！(這也是為啥你們從傳統交易所提幣一般都會看到一句提示：請勿轉到合約地址)

游戲驛站GameStop將進軍NFT和DeFi行業:據游戲驛站GameStop最新發布招聘信息顯示，該公司正在招募精通區塊鏈、NFT和加密技術的安全分析師，這表明他們可能很快就會涉足NFT和去中心化金融行業。據悉，該崗位要求分析人員具有NFT和DeFi技術技能和經驗，同時必須具有學士學位或五年以上的相關工作經驗且能隨時待命。加拿大加密貨幣行業招聘公司FinTech Recruiters創始人兼首席執行官Nako Mbelle表示，近期市場對中心化金融產品經理和軟件工程師的需求很大，游戲驛站這次招募安全分析師可能意味著該公司正在考慮構建NFT，或者將向其平臺添加代幣，因為安全分析師這個職位表示游戲驛站正在認真考慮打造相關產品，畢竟“沒有人需要保護不存在的東西”。（Decrypt）[2021/4/12 20:09:13]

DeFi 概念板塊今日平均漲幅為3.95%:金色財經行情顯示，DeFi 概念板塊今日平均漲幅為3.95%。47個幣種中29個上漲，18個下跌，其中領漲幣種為：CRV(+41.97%)、NEST(+35.16%)、TRB(+28.61%)。領跌幣種為：JST(-11.82%)、YFI(-8.27%)、WNXM(-6.77%)。[2021/1/16 16:19:14]

而dex呢，它就是一個底層依靠各種智能合約來運轉的交易所，那這里沒法把用戶地址上的代幣直接轉到合約地址以便平臺進行調用兌換，所以就加了這個授權操作，授的就是dex里的合約可以直接調用用戶地址上的資產的權限。注意，在以太上，這個特性只限于像erc20這樣的代幣，eth自身是有強制轉賬機制，可以直接地址轉到合約里。所以，在使用dex時，用戶會發現交易eth是沒有什么授權的，但其他所有的erc20代幣在第一筆交易時都會先有一個授權，英文名是approve：

yearn.finance創始人：資金正在成為defi游戲中使用的裝備:yearn.finance創始人Andre Cronje剛剛發推表示，游戲化在貨幣政策中的應用讓我興奮不已。你的資金正在成為在這個defi游戲中使用的裝備。到目前為止我們一直在克隆“tradfi”，接下來我們將進入“gamefi”。[2020/9/10]

之后再交易時就不會出現了。那是因為，目前上到未來的宇宙第一所uni下到各種野雞swap，對于這些資產授權的設置都是——無限額度！下圖是我在比特派錢包里檢測的授權情況(此處沒有收廣告費)：

金色沙龍 | 潘超：以太坊轉2.0不會對現有 DeFi 合約有影響:在本期金色沙龍圓桌上，針對“V神最近表示，ETH 2.0 階段將在今年夏天啟動。以太坊轉向ETH2.0會對DeFi產生什么影響？”話題，Maker DAO中國區負責人潘超表示以太坊轉 2.0，一個主要的改變是逐漸從 PoW 共識轉向 PoS，商業邏輯依然是還在 PoW 鏈上，PoS 只是并行的測試鏈，因此不會對現有 DeFi 合約有影響。從資產的角度來說，測試鏈上會多出一種帶息的 ETH，并且預計很多 PoS 礦池作為托管商，會在 PoW 鏈上發行對該資產的憑證，并帶有不同的風險和利息。這些帶息 ETH 的憑證本身又會作為抵押品，發行和生成新的資產。[2020/3/11]

也就是只要你授權過，交易所如果想，是可以轉走你所有資產，注意哦，這個意思是，假如你有10萬usdt，只在dex里交易過1萬u，理論上來說它是可以轉走你全部10萬u的，而不只是交易過的那個額度。這個授權額度是可以自定義的，但應該是考慮到使用體驗吧，所有資產基本都是無限模式，不然沒交易幾次又要重新授權，又要多花手續費，還每個幣都要單獨授權，這么麻煩還怎么取代cex呢？對吧。不過一般來說像uniswap、compound這些主流項目，安全性也還好，畢竟這么多眼睛盯著，項目方不會故意去改合約，漏洞概率也是非常小的，只是這給很多土礦提供了動歪心思的動機，特別是它是很隱秘的，不清楚的小白會認為幣在自己錢包里，但實際上只要做了授權，恐怕就和放在中心化交易所沒啥區別了。最開頭那個群聊圖片說的就是這個事兒，而且注意是發生在波場上，其實今天的重點也不在以太上，而是傳染了以太這個特性的其他鏈，至少波場和幣安智能鏈現在是有這樣的授權操作，而相對來說它們的問題項目和bug是會多一些的，需要格外注意資產安全，特別是usdt這種授權過的賬號，不要長期放u在里面。其實我不太懂他們為啥要“沿用”這樣的特性，之前有咨詢過一些接近開發人士，有人是認為這是一個“缺陷”的(我也不太懂以太上為啥要這樣，柚子上是可以直接轉賬的，希望有大佬能給予解答)。不過既然暫時改變不了，我們該怎樣防范這方面的風險呢？1.對于不交易的持倉資產可以選擇取消授權像上面圖中右邊有個“回收授權”按鈕，是可以直接解除，當然要收少量gas費，同時如果你下次要進行這個幣的交易需要重新授權。上面這個檢測在比特派錢包——ETH錢包首頁找到——以太安全中心——輸入地址即可查看你所有的授權情況。另外旁白君還推薦了一個工具：https://approved.zone/

它是一個查看授權，并還可以修改每個幣的最大轉賬額度的工具，不過這里僅做個了解吧，我就不細說了，因為修改額度對我們來說沒啥卵用，不能完全阻止作惡又還可能需要多次授權消耗手續費。2.分號使用，交易完及時轉出資產比起上面的取消授權，我會更推薦還是多號分工操作，畢竟市場是多變的，很難說不會去追高曾經看不起的幣種，另外除了以太，其他鏈上是沒有上面這種工具的。主號只存放資產，不適用任何應用，小號去swap，交易結束及時轉回資產，當然對于以太上這會多一點gas成本，其他鏈就好多了，不過對于其他鏈，這是必做的功課。結語swap千萬條，安全第一條，操作不規范，錢送陌生人。最后在這里代表風火輪社區祝大家中秋國慶快樂！闔家歡樂！

Tags：EFIDEFIDEFSWAPMetaegg DeFiAmun DeFi Momentum IndexDeFi CoinPrivacySwap

以太坊