大家好,我是佩佩,因最近看到空投這部分的騙局比較多,所以這期特別要來提一下,首先先說下目前我們文末的項目日誌,已調整為可查看不可編輯,如上面再看到不明鏈接我也會刪除。
之前是希望提供這麼個小的空間供大家分享信息人多力量大,但現在我發現已經違背了初衷,一是雜七雜八的邀請鏈接不管什麼樣的都放在上面,二是我也沒有足夠的精力去一個個審核,且最近市場上各種利用授權漏洞的騙局越來越顯現:
為了規避這方面風險,項目日誌模式做下調整,希望大家能理解,如果你有發現什麼好項目想要分享,直接私信我或下方留言,我認為合適的也會放上去。
類似這種只要用戶申領了就可以提走錢包裡資產的基本還是“過度授權”的問題,即對方在你不知情的情況下獲取了轉移賬戶餘額的權限,從而不需要該地址私鑰也能將其中的幣轉走。
關於授權,我們最常見的一種形式就是在使用各類DEX時,當開始一個交易對的第一筆交易時會出現一個授權的按鈕,英文是approve:
要先點擊授權才能開始交易兌換,或是進行一些提供流動性之類的操作,它這裡授權就是給進行該交易背後的智能合約以轉移你賬戶裡token的權限。
那為什麼要有這樣一個授權步驟呢,這其實源於以太坊智能合約的一個特性:對非原生代幣,如erc20標準代幣,直接從地址像目標合約地址轉賬,合約是接收不到的!
這裡的智能合約可理解為執行特定功能的一段代碼,這些代碼背後也會生成一個類似錢包裡的地址即合約地址,個人地址和合約地址不相通,但現在各種defi/dex也好它們系統底層周轉都用的是自動執行的智能合約,去中心化嘛,背後是沒有一個主體來託管你的資產的。
那怎麼來實現個體用戶與合約間的交互呢?
解決辦法就是-授權,相當於去中心化交易所再跟用戶簽署一份合同,授予該合約轉移地址上資產的權限,這樣就解決了不相通的問題,之前我們舉過一個例子,這就好比現實中賣一輛車,你可能需要找到中介,並授權該經銷商來代理出售你的車。
授權目前存在的市場是比較廣泛的,不僅在以太上,類似的波場,還有所有的兼容鏈BSC/HECO等等都有這種機制,也就個別獨立生態的公鏈不是這種設計,可以觀察鏈上dex裡不需要授權再交易的就沒有。
當然了大部分情況下問題不是很大,畢竟正常的項目,都是要做長期的生意,信譽和資產安全很重要,不過對授權需要注意的地方在於一個是通常為了方便交易,授權功能是長期開通的,很多會設置成無限額,如果平台未來有漏洞或者內部人士作惡,用戶就有可能因此遭遇資產損失。
另外就是有些土狗項目,它背地裡的合約可能是能升級的,這些用戶也不易察覺,你事先授權沒問題不代表永遠沒問題。
當然上述這些也都算老生常談,現在應該基本上都知道一個是如何去查看解鎖授權:
電腦端,現在的瀏覽器里基本都可以直接去查看取消授權:
ETH:etherscan.io/tokenapprovalchecker
BSC:bscscan.com/tokenapprovalchecker
Heco : cointool.catxs.com/heco/hecoApprove
錢包裡應用發現上方搜索cointool也有基本主流所有鏈的授權取消查詢工具。
另一個就是注意賬戶的分散,擼空投的參與挖礦的和長期持有的賬戶分開來,不要都放在一起,甚至挖礦的地址用一次換一個,這可能也是目前最有效的一個防範措施。
當然今天特別再來說這個事情,是要注意的不僅是上面這種普通授權操作,還要注意一些“變種”形式,比如擼空投你可能認為就去那個網站填個地址也沒什麼關係,不過有些它網站上會有個按鈕讓你填完地址去申領claim,你點擊它,可能背後的代碼執行就是一個授權過程,下圖是旁白君最近分享的一個案例:
頁面表面上點擊的是“下一步”,但實際是完成對U的授權,而很多網站簽名的地方是英文,具體執行的啥用戶很容易忽略,這就在無意識中把權限給了他人。
還有一種二維碼騙局,私下交易對方說先轉個小額測試,然後丟個二維碼地址,一般人可能都是想也不想就轉過去了,但它這個二維碼裡面也可能是帶有一個授權操作的,只轉了個不值錢的金額,但錢包內其他的資產卻很快被人提光。
所以對於授權風險,不能只看那些defi項目,也要注意這種比較隱蔽的騙局,授權英文approve,錢包簽名的時候也多瞄兩眼。
也因為有這些風險存在,項目日誌之後會以中心化的方式呈現,還望理解,不知名的網站也請謹慎去參與。
還有空投,每天都會冒出各種各樣的白嫖盲薅項目,而精力是有限的,那怎麼去選擇,其實和投資思路也有相似的地方,就是多站到終局去思考問題,我們想通過這些項目來獲取收益,那收益來自何處?團隊許諾給的那些token它們是為何有一定價值呢?能靠機器大量刷邀請的它又是靠什麼給人們超額收益?
結語
我到是一直有個疑問就是原生和非原生幣這種區別的意義在哪裡,授權是不是從底層是可以改變的,技術上知道的不多,不知道是否有朋友能釋疑。
如今驅動加密世界的主要需求還是投機和盈利,在高APY的刺激下這些都不會被當做問題來看,但一個是對用戶來說還是有點麻煩,特別是交易品種有點多的情況下,另一個某種角度上來說DEX項目方就真的因為去中心就不能控制用戶資產了嗎? Decentralize好像只是表面看上去Decentralize。