DeFi 少做這一步 沒有私鑰別人也能轉走你的資產_DEFI

按歷史情況看呢，國內的假期通常也都對應著市場熱度和交易量的下降，加之今年還有出jin問題，不管凍結率有多高，這也會使更多的朋友短期對無腦沖，多一層顧慮，所以估計是沒啥劇情，咱該玩玩該樂樂，回來說不定也還能有驚喜。

當然節前最后一期，這個內容還是很重要的，關于玩defi的授權安全隱患問題，你說要是虧完不能出jin可以歸于能力問題，但這種莫名坑就真的很惡心對不對，正好今天也看到幣圈一個短視頻在說這個事情，我覺得還是有必要在這里專門提一下，讓更多的朋友注意到。

其實關于授權隱患，咱們社區的小伙伴們應該多少是有點印象的，此前我們有專門講過這個月靠uniswap空投暴富的其中很大一部分資深玩家，就是因為擔心玩土狗項目安全問題而開了很多小號，沒想到卻意外收獲了幾千幾萬個uni。

波卡生態DeFi協議 Centrifuge 已成功遷移到波卡平行鏈:4月6日消息，波卡生態DeFi協議 Centrifuge 宣布已成功遷移到波卡平行鏈，賬戶和轉賬功能已啟用， Sudo 密鑰已被刪除。Centrifuge表示，眾貸貢獻者的 CFG 認領將在 4 月 11 日左右上線。[2022/4/6 14:06:56]

不過我們只是表面知道好像授權有一些坑，但有沒有想過為啥這些dex、swap的都有這么個授權操作呢？

到底是不是坑，咱先從源頭追溯。

這個授權呢，通俗來理解，就像去賣一輛二手車，需要找當地的一些中介或經銷商，把車放到他們的平臺，讓更多有需求的買家看到它，那么這里的第一步就是你要和中介簽署一份合同，這份合同表明了你授權該經銷商來代理出售你的車。

DeFi Kingdoms 1月份交易額超過Axie Infinity:金色財經報道，DappRadar的數據，2022 年 1 月，玩賺錢游戲DeFi Kingdoms交易額約 18.4 億美元，是Axie Infinity的三倍。分析師在一份報告中表示，基于Harmony?(?ONE?) 區塊鏈的DeFi Kingdoms 上個月持有 7.75 億美元，占鎖定總價值 (TVL) 的 64.6% 。[2022/2/19 10:02:56]

swap類的去中心交易所的邏輯也是這樣，授權，即這是一份你和交易所中介之間簽訂的合同，只不過在咱這叫——智能合約，它允許該平臺有代理出售你資產的權限。

當然，上面的比喻只是為了方便理解，細心的小伙伴應該發現，dex交易又不是NFT還需要等待一個有緣人，直接砸到資金池里就好啦，為啥還要有授權這么個流程。

初夏虎：DEFI≠DEMG，真正的DEFI有很長的生命周期:8月24日消息，在以“元界DNA主網上線，將如何改造DEFI產業現狀”為主題的AMA上。

初夏虎表示，現階段真正意義上DEFI的應用并不是很多，大部分項目只能說是把博弈論用到極致的一系列應用而已。快速的用博弈的方式把用戶和資金吸引進來，?但是這些項目并不能持續的保持資金長期的收益，也不解決任何真正的金融問題，這些充其量只能算去中心化資金游戲（Decentralized Money Game）。真正的DEFI有很長的生命周期，是真正能夠對傳統金融發出最終挑戰的項目。[2020/8/24]

這其實源于以太坊合約的一個特性，對于erc20代幣，直接從地址像目標合約轉賬，合約是接收不到的！(這也是為啥你們從傳統交易所提幣一般都會看到一句提示：請勿轉到合約地址)

火幣通過 Chainlink 向 DeFi 世界提供可靠的交易所數據喂價:7月3日，火幣錢包宣布，將向 Chainlink 提供火幣全球站交易數據，為連接到 Chainlink 上的任何 DeFi應用程序提供可靠、安全與透明的喂價服務。同時火幣將利用 Chainlink 提供的外部設配器實現火幣交易所應用程序接口（API）對智能合約的可用性，從而讓任何人可通過 API 訪問全球綜合交易量最大的交易所之一的火幣全球站的價格數據。 此外，火幣也是第一個運行Chainlink節點的交易所。火幣將把安全運行基礎設施的經驗帶到Chainlink網絡中，并進一步實現可用于語言機數據服務的節點數量的去中心化。 火幣錢包CEO Will Huang 指出：“DeFi通過提供透明、開放且可編程的金融產品為區塊鏈金融提供了獨特的價值。我們非常高興能夠通過運行自己的Chainlink 節點以及為用戶提供Huobi 交易所的數據，來加速我們對這一新興趨勢的參與。“ Chainlink CEO 兼聯合創始人Sergey Nazarov表示：“能夠協助火幣將他們的交易所數據安全可靠的提供到 DeFi 市場對我們來說是非常振奮人心的。火幣通過成為我們的節點和使用我們開發的適配器，讓智能合約很方便的調用火幣Global的API 數據。”[2020/7/3]

而dex呢，它就是一個底層依靠各種智能合約來運轉的交易所，那這里沒法把用戶地址上的代幣直接轉到合約地址以便平臺進行調用兌換，所以就加了這個授權操作，授的就是dex里的合約可以直接調用用戶地址上的資產的權限。

注意，在以太上，這個特性只限于像erc20這樣的代幣，eth自身是有強制轉賬機制，可以直接地址轉到合約里。

所以，在使用dex時，用戶會發現交易eth是沒有什么授權的，但其他所有的erc20代幣在第一筆交易時都會先有一個授權，英文名是approve：

之后再交易時就不會出現了。

那是因為，目前上到未來的宇宙第一所uni下到各種野雞swap，對于這些資產授權的設置都是——無限額度！

下圖是我在比特派錢包里檢測的授權情況(此處沒有收廣告費)：

也就是只要你授權過，交易所如果想，是可以轉走你所有資產，注意哦，這個意思是，假如你有10萬usdt，只在dex里交易過1萬u，理論上來說它是可以轉走你全部10萬u的，而不只是交易過的那個額度。

這個授權額度是可以自定義的，但應該是考慮到使用體驗吧，所有資產基本都是無限模式，不然沒交易幾次又要重新授權，又要多花手續費，還每個幣都要單獨授權，這么麻煩還怎么取代cex呢？對吧。

不過一般來說像uniswap、compound這些主流項目，安全性也還好，畢竟這么多眼睛盯著，項目方不會故意去改合約，漏洞概率也是非常小的，只是這給很多土礦提供了動歪心思的動機，特別是它是很隱秘的，不清楚的小白會認為幣在自己錢包里，但實際上只要做了授權，恐怕就和放在中心化交易所沒啥區別了。

最開頭那個群聊圖片說的就是這個事兒，而且注意是發生在波場上，其實今天的重點也不在以太上，而是傳染了以太這個特性的其他鏈，至少波場和幣安智能鏈現在是有這樣的授權操作，而相對來說它們的問題項目和bug是會多一些的，需要格外注意資產安全，特別是usdt這種授權過的賬號，不要長期放u在里面。

其實我不太懂他們為啥要“沿用”這樣的特性，之前有咨詢過一些接近開發人士，有人是認為這是一個“缺陷”的(我也不太懂以太上為啥要這樣，柚子上是可以直接轉賬的，希望有大佬能給予解答)。

不過既然暫時改變不了，我們該怎樣防范這方面的風險呢？

1.對于不交易的持倉資產可以選擇取消授權

像上面圖中右邊有個“回收授權”按鈕，是可以直接解除，當然要收少量gas費，同時如果你下次要進行這個幣的交易需要重新授權。

上面這個檢測在比特派錢包——ETH錢包首頁找到——以太安全中心——輸入地址即可查看你所有的授權情況。

另外旁白君還推薦了一個工具：

https://approved.zone/

它是一個查看授權，并還可以修改每個幣的最大轉賬額度的工具，不過這里僅做個了解吧，我就不細說了，因為修改額度對我們來說沒啥卵用，不能完全阻止作惡又還可能需要多次授權消耗手續費。

2.分號使用，交易完及時轉出資產

比起上面的取消授權，我會更推薦還是多號分工操作，畢竟市場是多變的，很難說不會去追高曾經看不起的幣種，另外除了以太，其他鏈上是沒有上面這種工具的。

主號只存放資產，不適用任何應用，小號去swap，交易結束及時轉回資產，當然對于以太上這會多一點gas成本，其他鏈就好多了，不過對于其他鏈，這是必做的功課。

結語

swap千萬條，安全第一條，操作不規范，錢送陌生人。

最后在這里代表風火輪社區祝大家中秋國慶快樂！闔家歡樂！

Tags：DEFDEFIEFIINKXdef FinancePlutusDeFiDOGEFIlink幣發行量

火幣APP