作者:/img/20230515172614942341/0.jpg "/>
TON原生Launchpad平台Tonstarter完成150万美元种子轮融资:金色财经报道,TON原生Launchpad平台Tonstarter完成150万美元种子轮融资,KingswayCapital、Gate.io、DWFLabs参投。
据悉,Tonstarter是一个使项目能够筹集资金和建立社区的平台,由TON生态系统中的风险投资机构First Stage Labs孵化。[2023/3/7 12:47:05]
在讲述今天的故事之前,我需要先向大家解释一些术语。USDC是以太坊上的一个具有多种功能的合约,规定了我们可以如何使用USDC。
在众多功能当中,我们需要特别关注下面两项功能:
转账
代转
玩赚游戏Players' Lounge完成1050万美元A轮融资:7月30日消息,玩赚游戏 Players' Lounge 宣布已完成 1050 万美元的 A 轮融资,Griffin Gaming Partners 与 Comcast Ventures 领投,Samsung Next、Vice Ventures、WndrCo、Sharp Alpha Partners、True Capital、NFL 巨星 Myles Garrett、Josh Norman 和 Breanna Stewar 等参投。
Players' Lounge 帮助玩家通过玩 AAA 视频游戏来获取收益,且彼此之间不会存在竞争关系。此前该公司还获得了 Drake、Strauss Zelnick、Merissa Mayer、Comcast、Macro Ventures、Canaaan、RRE 和 Courtside 等参投的 300 万美元投资。[2022/7/30 2:46:50]
当你需要在钱包之间转移USDC,或其他ERC20s时,就需要用到转账功能。它可以将Token从调用者转移到其他地址。如果有人能以你的名义恶意使用该功能,那么他一定得先掌握了你钱包的全部权限才行。
二层NFT交易平台Immutable X通过代币销售筹集超1250万美元:金色财经报道,二层NFT交易平台Immutable X宣布在 CoinList 上的代币销售在不到一个小时内售罄,筹集了超过 1250 万美元。\tImmutable 周一宣布,在注册参与销售的 720,000 个账户中,只有约 25,000 个(3.6%)能够因需求而进行购买。该协议准备与许多 NFT 市场集成,包括OpenSea和Mintable。[2021/9/27 17:10:28]
当你与合约产生互动时,它们会通过代转功能来转移你的Token,具体金额由你提前预设好的比例决定。因此,如果你允许一项合约转移无限量的USDC,那么理论上它就可以拿走你所有的USDC。
OpenSwap融资150万美元,NGC Ventures和Coin98 Ventures领投:OpenSwap宣布完成150万美元融资,NGC Ventures和Coin98 Ventures领投,BR Capital、Legos Capital、Double Peak Group、Prime Block Capital、Illusionist Group、All In Ventures以及包括Curve Finance的Julien Bouteloup、CREAM Finance的Leo Cheng、区块链资深投资人Ravindra Kumar和Mark Borsten在内的天使投资人参投。OpenSwap将利用新融资加快开发其流动性专利解决方案,即流动性队列。
此次融资之前,OpenSwap最近与Impossible Finance达成合作,后者是一家多平台DeFi孵化器、IEO Launchpad和交易平台。(U.Today)[2021/8/24 22:32:58]
现在让我们回到Joe的故事当中,转走他全部USDC的确实就是transferFrom功能。然而,只有当Joe批准合约使用他的USDC时,transferFrom才能发挥作用。但事实上,Joe坚信自己没有批准任何事项。
dVIX完成150万美元Pre-Seed轮融资,将开发以太坊波动性指数:据官方消息,dVIX协议宣布在最近结束的种子前轮融资中,获得150万美元资金,以开发以太坊波动性指数。OKEX,PNYX Ventures,MGNR,Petrock Capital,Dots Capital,Sneaky. VC,Existential Capital和Moonwhale共同参与本次投资。[2021/4/15 20:22:20]
可是,DeBank的交易记录清楚地显示,在漏洞发生前10分钟,该恶意合约可以无限使用账户中的USDC。那么问题就在于,如果不是Joe本人的话,究竟是谁给了该合约这一项批准呢?我只能说,Joe确实批准了这一操作,但却是在他不知情的情况下完成的。
Etherscan上的信息显示,Joe本人确实没有调用该功能,真正批准了这一额度的是其他地址,这才让恶意合约得以花光Joe全部的USDC。
我们不禁疑问,别人怎么能代替我给予合约许可呢?
许可功能的引入原本是为了改善以太坊的用户体验,它只需一个签名就可以让用户在不提交交易的情况下修改批准金额。也就是说,只要有了你的签名,任何人都可以调用许可功能,并更新你对合约的批准额度。
当你使用1inchdApp时,你就可以体验到这一功能。如果你想在上面出售USDC,那你并不需要事先批准,只需要签上你的名字就够了。有了这个签名,1inch便获取了你全部USDC的使用权限。虽然1inch不会无缘无故花光你所有的USDC,但这却给了恶意合约机会。
Joe一定是不小心在一个恶意网站上签署了这样的信息。不幸的是,那一次他用的是热钱包,签名只是随手点击一下就完成了。如果他用的是硬件钱包的话,就需要在外部设备上签署信息,那么还会有一个思考的时间。
有了Joe的签名,其他地址便可以提交一个带有许可功能的交易,这样恶意合约就获取了Joe钱包全部USDC的使用权限。然后,只要它调用transferFrom功能,就可以转走全部这些资金了。
所以说,一个看似小小的签名却可以引来巨大的灾难。在某些情况下,Metamask会在你准备签名是对你发出警告,告知你其中的危险性。签署一个信息可能是危险的。但一些技术层面上的批准签名却不会收到预警,但这些一旦滥用往往会造成巨额的损失。
如何避免今后遇到类似的问题?
1.不要在Metamask中签署一切内容;
2.花点时间了解你所签署的内容;
3.对传统的批准事项要格外小心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。