องค์กรใหญ่ปลอดภัยจริงหรือ? การตีความความเสี่ยงในการอนุมัติสัญญาของกระเป๋าเงินหลักของ Binan

吴说

特邀专栏作者

2023-05-30 13:00

บทความนี้มีประมาณ 1922 คำ การอ่านทั้งหมดใช้เวลาประมาณ 3 นาที

จากมุมมองของผู้ใช้ทั่วไป ให้พิจารณาว่าที่อยู่เหล่านี้มีความเสี่ยงด้านความปลอดภัยหรือไ

สรุปโดย AI

ขยาย

แหล่งที่มาดั้งเดิม: เผยแพร่ร่วมกันโดย Dilation Effect และ Wu Shuo Blockchain

การแลกเปลี่ยนและสถาบันกระแสหลักได้ลงทุนเงินและกำลังคนจำนวนมากอย่างไม่ต้องสงสัยในการป้องกันความปลอดภัยของเครือข่าย Dilation Effect ไม่สามารถทราบระดับความปลอดภัยภายในและรายละเอียดการใช้งานของสถาบันเหล่านี้ได้ ทำการวิเคราะห์ที่อยู่อย่างง่าย ดูความรู้ขนาดเล็ก และพิจารณาว่า ที่อยู่เหล่านี้มีความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นจากมุมมองของผู้ใช้ทั่วไป และความเสี่ยงที่อาจเกิดขึ้นมีมากเพียงใด

ข้อมูลของการตรวจสอบแฟลชนี้มาจากบริการสาธารณะเช่น Etherscan และ Debank

1. การเลือกวัตถุการวิเคราะห์

ตรวจสอบบัญชี 1,000 อันดับแรกของ Etherscan และเลือกที่อยู่ของสถาบันที่ถูกแท็กที่นั่น

2. การเลือกมิติการวิเคราะห์

เนื่องจากฉันไม่ทราบรายละเอียดทางเทคนิคของการแลกเปลี่ยนและสถาบันเหล่านี้ในการสร้างและจัดการกระเป๋าเงิน ฉันจะวิเคราะห์ความปลอดภัยของที่อยู่ได้อย่างไร มิติข้อมูลที่เลือกโดย Dilation Effect ในครั้งนี้คือการวิเคราะห์การอนุญาตตามสัญญาของที่อยู่เหล่านี้

การโจมตีเพื่อขโมยเหรียญเป็นเรื่องปกติมาก เนื่องจากที่อยู่ถูกฉ้อฉลโดยสัญญาที่เป็นอันตรายหรือสัญญาที่ได้รับอนุญาตมีช่องโหว่ กลายเป็นแนวปฏิบัติด้านความปลอดภัยที่ดีที่สุดในการจำกัดจำนวนการอนุญาตและล้างการอนุญาตเป็นระยะๆ ดังนั้นที่อยู่ของการแลกเปลี่ยนขนาดใหญ่เหล่านี้เป็นอย่างไร เราสุ่มเลือกที่อยู่สองสามแห่งสำหรับการวิเคราะห์

คดีหมายเลขหนึ่ง

ที่อยู่:

Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)

นี่คือที่อยู่กระเป๋าเงินที่มียอดคงเหลือมากที่สุดใน Binance เชน ETH มียอดคงเหลือ 1 หมื่นล้านดอลลาร์สหรัฐ และเชนอื่นๆ รวมเป็น 16.1 พันล้านดอลลาร์สหรัฐ ภาพหน้าจอของเนื้อหาบางส่วนมีดังนี้:

ตรวจสอบการอนุญาตสัญญาของที่อยู่นี้ในห่วงโซ่ ETH และพบว่ามีความเสี่ยงถึง 3.2 พันล้านดอลลาร์ แน่นอนว่า นี่ไม่ได้หมายความว่าจะต้องมีความเสี่ยงด้านความปลอดภัยที่กำหนดขึ้นได้ นี่เป็นเพียงคำอธิบายที่เป็นไปได้ของความเสี่ยงที่อาจเกิดขึ้น

จากนั้นมาดูกันว่าที่อยู่นี้ได้รับอนุญาตอย่างไร เช่น สกุลเงินใดได้รับอนุญาตให้ทำสัญญาใด และจำนวนเงินที่อนุญาตคือเท่าใด ผลลัพธ์ของแบบสอบถามบางส่วนแสดงไว้ด้านล่าง

ในขณะนี้ เราจะพบปรากฏการณ์ที่แปลกประหลาด กล่าวคือ บางสกุลเงินในที่อยู่นี้จำกัดจำนวนการอนุมัติ ในขณะที่บางสกุลเงินไม่มีข้อจำกัดโดยตรง และกฎของจำนวนการอนุญาตดูเหมือนจะไม่เหมือนกัน เราให้ความสนใจเป็นพิเศษกับ BUSD, Matic, SHIB และ SAND ซึ่งมียอดคงเหลือจำนวนมาก ยอดคงเหลืออยู่ที่ 1.9 พันล้านดอลลาร์สหรัฐ 460 ล้านดอลลาร์สหรัฐ 260 ล้านดอลลาร์สหรัฐ และ 140 ล้านดอลลาร์สหรัฐ บันทึกการอนุญาตที่เกี่ยวข้องมีดังนี้ ดังนี้

มีปัญหาที่ชัดเจนหลายประการที่นี่:

ประการหนึ่งคือการไม่ทำความสะอาดการอนุญาตของสัญญาอย่างสม่ำเสมอ ตัวอย่างเช่น การอนุมัติสัญญาสำหรับ BUSD ไม่ได้รับการสะสางมานานกว่าสองปี ทั้งที่ไม่ได้รับการเอาใจใส่หรือถือว่าไม่จำเป็น นี่แสดงให้เห็นว่า Binance ขาดความครอบคลุมอย่างเป็นระบบในด้านนี้ในแง่ของการจัดการความปลอดภัยภายใน บางคนอาจกล่าวว่าหลังจากวิเคราะห์สัญญาอนุญาตที่เกี่ยวข้องแล้วพบว่าการดำเนินการที่สัญญาเหล่านี้ทำได้มีข้อจำกัดและค่อนข้างปลอดภัย แต่สิ่งที่เราอยากจะบอกก็คือ นี่ไม่ใช่ปัญหาด้านเทคนิคเพียงอย่างเดียว แต่เป็นปัญหาด้านการจัดการความปลอดภัยมากกว่า นั่นคือ Binance จัดการความเสี่ยงที่เกิดจากสัญญาของบุคคลที่สามอย่างครอบคลุมและเป็นระบบได้อย่างไร เราคิดว่ามันสามารถทำได้อย่างเคร่งครัดและเชิงลึกมากขึ้น ในความเป็นจริง หากคุณดูดีๆ คุณจะพบว่า Aave: Lending Pool V2 เป็นสัญญาพร็อกซีที่สามารถอัปเกรดได้ หาก (ฉันหมายความว่าถ้า) สัญญา Aave ถูกโจมตี นี่คือการสูญเสีย 1.9 พันล้านดอลลาร์สหรัฐ

ประการที่สอง ไม่มีการจำกัดจำนวนเงินที่อนุญาตสำหรับสกุลเงินจำนวนมาก ในกรณีที่เกิดสถานการณ์รุนแรงที่สัญญาที่เกี่ยวข้องถูกโจมตี หากจำนวนที่อนุญาตมีจำกัด ความเสี่ยงก็จะลดลงตามนั้น นอกจากนี้ยังเผยให้เห็นว่า Binance ขาดความครอบคลุมของระบบในแง่ของการจัดการความปลอดภัยภายใน แน่นอนว่าคุณจะบอกว่าสิ่งเหล่านี้เป็นสถานการณ์ที่รุนแรง แต่สำหรับอุตสาหกรรม Crypto เหตุการณ์ความน่าจะเป็นขนาดเล็กจำนวนมากได้เกิดขึ้นในประวัติศาสตร์ เราจำเป็นต้องเพิ่มความไวต่อความเสี่ยง และจำเป็นอย่างยิ่งที่จะต้องคงไว้ซึ่งความเกลียดชังต่อความเสี่ยงขั้นสูงสุด

ประการที่สามคือกฎการอนุมัติสกุลเงินนั้นไม่เหมือนกัน บางสกุลเงินมีโควต้าจำกัด ในขณะที่บางสกุลเงินไม่มีการจำกัดโควต้าเลย และการดำเนินการจะไม่เหมือนกัน สิ่งนี้แสดงให้เห็นว่าการดำเนินการจัดการความปลอดภัยภายในของ Binance ไม่ชัดเจน หรือทีมงานภายในไม่ได้ทำงานที่ดีในการแบ่งงาน

นอกจากนี้ เรายังสงสัยเป็นอย่างมากว่าเหตุใดที่อยู่ที่มียอดสินทรัพย์จำนวนมากจึงเข้าร่วมในการดำเนินการของสัญญา Defi บ่อยครั้ง Binance สามารถทำการวางแผนที่อยู่แบบละเอียดและการออกแบบแยกได้หรือไม่?

กรณีที่สอง

ที่อยู่:

Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

นี่คือที่อยู่ของการแลกเปลี่ยน Kucoin ซึ่งมีมูลค่า 1.7 พันล้านดอลลาร์ในเชน ETH และ 1.9 พันล้านดอลลาร์ในเชนอื่นรวมกัน ภาพหน้าจอของเนื้อหาที่อยู่นี้มีดังต่อไปนี้:

ตรวจสอบสถานะการอนุมัติสัญญาของที่อยู่นี้ในเชน ETH และพบว่ามีความเสี่ยง 1.1 พันล้านดอลลาร์สหรัฐ อีกครั้ง นี่ไม่ได้หมายความว่ามีความเสี่ยงด้านความปลอดภัยบางอย่าง แต่เป็นเพียงคำอธิบายถึงความเป็นไปได้ของความเสี่ยงที่อาจเกิดขึ้น

จากนั้นมาดูการอนุญาตที่อยู่ Kucoin

ว้าว! เราพบสิ่งที่น่าสนใจอีกครั้ง

1. สกุลเงิน APE ของที่อยู่นี้ได้รับอนุญาตจากสัญญาเราเตอร์ข้ามเครือข่ายของ Multichain เมื่อวันที่ 2022-04-02 คุณควรทราบว่าเกิดเหตุสุดวิสัยใน Multichain เมื่อไม่กี่วันก่อน แต่ Kucoin ไม่ได้ยกเลิกการอนุญาตสัญญา Multichain ทันที . นี่แสดงให้เห็นว่า Kucoin ยังมีช่องว่างสำหรับการปรับปรุงในการตอบสนองต่อเหตุฉุกเฉินด้านความเสี่ยง

2. USDT (500 ล้านเหรียญสหรัฐ), USDC (290 ล้านเหรียญสหรัฐ) และ KCS (480 ล้านเหรียญสหรัฐ) ที่ที่อยู่นี้ได้รับอนุญาตทั้งหมดสำหรับสัญญาที่ชื่อว่า Bridge และจำนวนเงินที่ได้รับอนุญาตนั้นไม่จำกัดโดยสิ้นเชิง หลังจากวิเคราะห์อย่างง่ายแล้วพบว่า Bridge เป็นสัญญาข้ามสะพานของ KCC ซึ่งเป็นเครือข่ายชุมชนของ KuCoin อย่างไรก็ตาม หลังจากตรวจสอบและค้นหาบนเว็บไซต์อย่างเป็นทางการของ KCC ก็ไม่พบรายงานการตรวจสอบความปลอดภัยที่เกี่ยวข้องซึ่งทำให้ผู้คนตื่นตระหนกอีกครั้ง คุณยังจำการโจมตี BNB จำนวน 2 ล้านครั้งบนเครือข่าย BNB ได้หรือไม่?

กรณีที่สาม

ที่อยู่:

Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

นี่คือที่อยู่ของหน่วยงาน Jump Trading ซึ่งมี 140 ล้านดอลลาร์ในเชน ETH และ 150 ล้านดอลลาร์ในเชนอื่น ๆ รวมกัน ภาพหน้าจอของเนื้อหาที่อยู่นี้มีดังต่อไปนี้:

ตรวจสอบการอนุญาตสัญญาของที่อยู่นี้ในเชน ETH และพบว่ามีความเสี่ยง 25 ล้านดอลลาร์ อีกครั้ง นี่ไม่ได้หมายความว่ามีความเสี่ยงด้านความปลอดภัยบางอย่าง แต่เป็นเพียงคำอธิบายถึงความเป็นไปได้ของความเสี่ยงที่อาจเกิดขึ้น

จากนั้น มาดูการอนุญาตที่อยู่ของ Jump Trading

พบว่ามีการอนุญาตไม่มากนักสำหรับสกุลเงินในที่อยู่นี้ และการอนุญาตส่วนใหญ่มีการจำกัดโควต้า และการจัดการโดยรวมก็ไม่เลว

สรุป

รีวิวแฟลชนี้จบลงที่นี่ Dilation Effect สุ่มเลือกที่อยู่ของการแลกเปลี่ยนและสถาบันหลายแห่งสำหรับการวิเคราะห์ การตัดสินจากผลลัพธ์ สถาบันเหล่านี้ไม่สมบูรณ์แบบในแง่ของการอนุญาตสัญญา เราหวังว่าการวิเคราะห์ของเราสามารถให้ข้อมูลอ้างอิงสำหรับสถาบันที่เกี่ยวข้อง การแลกเปลี่ยนและสถาบันที่ไม่ได้แยกที่อยู่สามารถอ้างถึงกระบวนการวิเคราะห์ด้านบนเพื่อตรวจสอบว่ามีปัญหาที่คล้ายกันหรือไม่

กระเป๋าสตางค์

แลกเปลี่ยน

ความปลอดภัย

ETH

บินานซ์

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily