要点
在 Web3 世界中,无限制授权会产生漏洞,并通过智能合约漏洞或社会工程攻击为黑客所用。
定期检查并撤回不必要的授权,杜绝未经授权的资产访问。
使用币安 Web3 钱包等工具保护资金安全,并持续关注 Web3 安全风险。
在去中心化金融领域,忽视一次授权会付出什么样的代价?虽然智能合约可以简化交易,但与其交互也带来了特定的安全风险,尤其当用户授权第三方无限制地访问和管理其资金时。在之前的博客中,我们讨论了智能合约授权和外部账户 (EOA) 的风险。而本文将深入探讨其他授权风险以及如何保护资产免受威胁,并将重点关注以太坊虚拟机 (EVM) 链。
EVM 授权风险简介
许多用户认为,参与知名度高或经过审计的项目可以保证其资金安全无虞。但无论项目设计多么精密,都无法绝对免疫黑客攻击,尤其是在去中心化领域。若您原本信任的应用程序或平台遭到入侵,无限制授权将让智能合约能够不受限制地控制您钱包内的资产,从而增加风险。
用户往往为了方便而向智能合约授权,随后又将其抛在脑后,更增加了潜在风险。随着时间的推移,这些被遗忘的授权便成了隐藏的漏洞,随时可能为攻击者所用。一旦项目的安全性遭到威胁,黑客即可跳过您,直接利用这些无限制授权掏空您的资金。未能限制或定期撤回授权就像忘了锁门,将您的资产暴露在巨大的风险之中。因此,在 Web3 生态系统中,谨慎管理授权至关重要。
您可能想了解项目的安全性如何受到威胁。常见手段有两种:利用智能合约代码中的漏洞或通过社会工程攻击操纵开发人员。二者均可为攻击者打开大门,无需授权即可访问用户资金。
利用智能合约漏洞
智能合约是区块链的支柱,为代币创建、借贷、质押和桥接等功能提供支持。然而,任何软件代码都可能有漏洞。这些漏洞就是攻击者的主要目标,尤其对于拥有庞大用户群或大量资金的热门项目。
以下是此类攻击的大体过程。
寻找合适的目标:黑客通常会瞄准知名项目,分析其智能合约,寻找可利用的漏洞。由于区块链的透明性,该过程不仅需要技巧,更需要耐心,仔细搜寻编码错误或逻辑疏忽。
找到漏洞:一旦发现漏洞,攻击者就可未经授权访问项目合约。至此,他们的目标更为明确,就是掏空资金。即挖空流动性资金池和借贷储备金,或直接利用与受害合约互动的用户。
资金流失:用户若给予受害合约无限制授权,风险就会大大增加。通过此类授权,合约可不受限制地访问用户钱包中的代币。攻击者即可执行 transferFrom() 等函数,多次提取代币余额。只要无限制授权处于有效状态,同一钱包中的新进存款也同样暴露于风险之中。
除非撤回授权,否则用户现有资金和未来存入的资产都可能遭遇窃取。无限制授权看似方便,但很快就会成为严重的漏洞。因而,请务必定期检查并撤回不必要或较少使用的智能合约授权。花些时间重新授权总比面临损失资金的风险更安全。
社会工程攻击
尽管智能合约可能存在漏洞,但人为错误往往会带来更大的风险。攻击者会以开发人员或项目所有者为目标,利用其信任获取敏感系统的访问权限。一种常见的手段是恶意软件骗局,即不法分子诱骗个人下载恶意程序。一旦安装,此类程序即可窃取私钥、访问钱包或操纵合约,从而掏空项目资金和用户余额。因此,社会工程攻击是可能影响整个生态系统的严重威胁。
真实案例
智能合约升级中的漏洞:LI.FI 协议
LI.FI 平台的智能合约升级中存在一个漏洞,可供攻击者在未经适当验证的情况下任意调用任何合约。借此,攻击者能够利用给予 LI.FI 合约无限制代币授权的钱包,无需用户进一步授权即可从中提取资金。由于漏洞随时可能出现,用户须始终谨慎行事,定期撤回授权,以保障资金安全。
多重签名者遭遇攻击:Radiant Capital
恶意行为者入侵了三名多重签名者的设备,由此控制了 Radiant Capital 的多重签名钱包。通过该访问权限,他们将钱包的所有权转移给自己,并强行更新了借贷资金池合约。借助此次更新,他们能够从借贷资金池及已完成无限制授权的用户钱包中抽取所有资金。因此,尚未撤回无限制授权的用户仍然面临风险,尤其是在特定区块链上。
此案例表明,在项目遭到入侵后不撤回授权是相当危险的行为。如下图所示,这位 Web3 钱包用户已对遭到入侵的 Radiant Capital 借贷资金池合约进行了无限制授权。此种“无限制”许可意味着合约可以不受限制地从用户的钱包中提取代币。
只要授权有效,攻击者就可以反复从用户的钱包中提取 BUSC-USD。此外,由于合约保留提取资金的授权,因此任何新存入钱包的资金也存在风险。该案例告诫用户,当项目遭到入侵时,应及时检查并撤回相关授权,以保护资产安全。
社会工程攻击:Monoswap
攻击者冒充风险投资家,针对 Monoswap 开发人员开展定向骗局。其邀请开发人员参与据称是讨论融资机会的电话会议,诱骗他安装了 Kakaotalk 即时通讯程序的恶意假冒版本。他不知道的是,攻击者借此机会在他的办公室电脑上安装了僵尸网络,可通过该电脑访问与 Monoswap 相关的钱包及合约。
通过该访问权限,不法分子提取了大部分质押的流动性仓位,令协议及其用户蒙受了巨大损失。此事件表明,我们应始终采用严格的安全协议,并在授予敏感系统的访问权限之前认证应用程序或通信渠道的合法性。
自我保护的方法
在 Web3 世界中,时刻保持警惕是保障资产安全的关键。虽然没有系统可以做到绝对零风险,但采取主动措施仍可显著减少潜在威胁。以下将介绍自我保护的方法:
谨慎授权
尽量不要给出无限制代币授权,即使是信誉良好的项目。限制授权增加了额外的安全性,确保当项目遭遇入侵时,攻击者无法利用该授权窃取您的资产。
定期撤回不再使用的授权
学会定期检查并从不再使用的合约撤回代币授权。只需简单一步,即可降低恶意攻击或意外漏洞为资产带来的风险。
开展尽职调查
在授权合约之前,请花些时间通过 honeypot.is 等信誉良好的安全工具对其进行验证。尽管此类工具不能保证绝对的安全,但其针对潜在风险提供了宝贵见解,比完全不核查要好得多。养成这些习惯,以谨慎态度构筑抵御潜在威胁的强大屏障,即可在 Web3 世界中安全遨游。
使用币安 Web3 钱包
使用币安 Web3 钱包等可信工具保护您的钱包。该钱包优先考虑用户安全,并配备强大功能以应对常见的 Web3 威胁,包括滥用授权等问题。
当项目遭到入侵时,币安 Web3 钱包会迅速采取行动保护用户。系统将立即发送安全提醒和 App 内通知,敦促用户撤回有风险的授权或保护其资产安全。在完全撤回有风险的智能合约授权之前,系统将以持续弹窗不断提醒用户,确保用户采取行动保护资金。
这些积极主动的保护措施有助于用户随时了解情况并迅速做出反应,从而降低潜在损失。
随时了解新动态
在不断发展的 DeFi 领域中,专业知识就是最佳防御手段。您可通过币安学院了解最新的安全新闻、项目发展以及新出现的漏洞。如欲深入了解潜在威胁,敬请参阅我们的识破骗局系列。这些资源提供了宝贵的见解,帮助您识别骗局,免受新型风险威胁,为您的生态系统之旅保驾护航。
结语
在 Web3 世界中,只需养成一些简单的习惯,即可大大提升资产安全性。定期检查您的授权,使用币安 Web3 钱包等可靠工具,并通过币安学院等资源随时了解最新信息。这些步骤虽小,却能有效保护资金安全,助您安心享受去中心化金融带来的无限可能性。
