Các tổ chức lớn có thực sự an toàn? Giải thích rủi ro ủy quyền hợp đồng của các ví chính của Binance, KuCoin và Jump

Nguồn gốc: Đồng phát hành bởi Dilation Effect và Wu Shuo Blockchain

Các sàn giao dịch và tổ chức chính thống chắc chắn đã đầu tư rất nhiều tiền và nhân lực vào việc bảo vệ an ninh mạng.Hiệu ứng giãn nở không thể biết mức độ bảo mật nội bộ và chi tiết triển khai của các tổ chức này.Thực hiện một phân tích đơn giản về địa chỉ, xem kiến ​​​​thức vi mô và xem xét liệu những địa chỉ này có rủi ro bảo mật tiềm ẩn từ quan điểm của người dùng thông thường và mức độ rủi ro tiềm ẩn lớn như thế nào.

Dữ liệu của bài đánh giá nhanh này đến từ các dịch vụ công cộng như Etherscan và Debank.

1. Lựa chọn đối tượng phân tích

Kiểm tra 1000 tài khoản hàng đầu của Etherscan và chọn địa chỉ của các tổ chức được gắn thẻ ở đó.

2. Lựa chọn kích thước phân tích

Vì tôi không biết chi tiết kỹ thuật của các sàn giao dịch và tổ chức này để tạo và quản lý ví, nên làm cách nào để phân tích tính bảo mật của địa chỉ? Thứ nguyên được chọn bởi Hiệu ứng giãn nở lần này là để phân tích ủy quyền hợp đồng của các địa chỉ này.

Đây là một cuộc tấn công rất phổ biến để đánh cắp tiền vì địa chỉ bị lừa bởi một hợp đồng độc hại hoặc hợp đồng được ủy quyền có sơ hở. Nó đã trở thành phương pháp bảo mật tốt nhất để giới hạn số lượng ủy quyền và xóa ủy quyền định kỳ. Vậy địa chỉ của những sàn giao dịch lớn này hoạt động như thế nào?Chúng tôi chọn ngẫu nhiên một vài địa chỉ để phân tích.

Trường hợp số một

Địa chỉ:

Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)

Đây là địa chỉ ví có số dư lớn nhất trên Binance. Chuỗi ETH có số dư là 10 tỷ đô la Mỹ và các chuỗi khác cộng lại tổng cộng là 16,1 tỷ đô la Mỹ. Ảnh chụp màn hình của một số nội dung như sau:

Kiểm tra ủy quyền hợp đồng của địa chỉ này trong chuỗi ETH và thấy rằng có rủi ro trị giá 3,2 tỷ đô la. Tất nhiên, điều này không có nghĩa là phải có những rủi ro bảo mật xác định, đây chỉ là một mô tả khả dĩ về mức độ rủi ro tiềm ẩn.

Sau đó, hãy xem cách địa chỉ này được ủy quyền, chẳng hạn như loại tiền tệ nào được ủy quyền cho hợp đồng nào và số tiền được ủy quyền là bao nhiêu. Một số kết quả truy vấn được trích dẫn dưới đây.

Tại thời điểm này, chúng ta sẽ thấy một hiện tượng lạ, đó là một số loại tiền tệ trên địa chỉ này giới hạn số tiền ủy quyền, trong khi một số loại tiền tệ không có hạn chế trực tiếp và các quy tắc về số tiền ủy quyền dường như không đồng nhất. Chúng tôi đặc biệt chú ý đến BUSD, Matic, SHIB và SAND, những đồng có số dư lớn. Số dư địa chỉ là 1,9 tỷ đô la Mỹ, 460 triệu đô la Mỹ, 260 triệu đô la Mỹ và 140 triệu đô la Mỹ. Hồ sơ ủy quyền có liên quan như sau:

Có một số vấn đề rõ ràng ở đây:

Một là việc ủy ​​quyền hợp đồng không được dọn dẹp thường xuyên. Ví dụ: ủy quyền hợp đồng cho BUSD đã không được làm sạch trong hơn hai năm, hoặc nó không được chú ý hoặc được coi là không cần thiết. Điều này cho thấy Binance thiếu phạm vi bảo hiểm có hệ thống đối với lĩnh vực này về mặt quản lý an ninh nội bộ. Một số người có thể nói rằng sau khi phân tích các hợp đồng ủy quyền có liên quan, người ta thấy rằng các hoạt động mà các hợp đồng này có thể thực hiện là hạn chế và tương đối an toàn. Nhưng điều chúng tôi muốn nói là đây không phải là vấn đề kỹ thuật đơn thuần mà là vấn đề quản lý bảo mật. Đó là, làm thế nào để Binance quản lý một cách toàn diện và có hệ thống các rủi ro do hợp đồng bên thứ ba mang lại ở đây, chúng tôi cho rằng có thể thực hiện chặt chẽ và chuyên sâu hơn. Trên thực tế, nếu xem xét kỹ, bạn sẽ thấy rằng Aave: Lending Pool V2 là một hợp đồng ủy quyền có thể nâng cấp, nếu (ý tôi là nếu) hợp đồng Aave bị tấn công, đây là khoản lỗ 1,9 tỷ đô la Mỹ.

Thứ hai, không có giới hạn đối với số lượng được phép của một số lượng lớn tiền tệ. Trong trường hợp xảy ra tình huống cực đoan khi hợp đồng tương ứng bị tấn công, nếu số tiền được ủy quyền bị hạn chế, rủi ro sẽ giảm tương ứng. Điều này cũng tiết lộ rằng Binance thiếu phạm vi bảo hiểm của hệ thống về mặt quản lý bảo mật nội bộ. Tất nhiên bạn sẽ nói rằng đây là những tình huống cực đoan, nhưng đối với ngành Crypto, nhiều sự kiện xác suất nhỏ đã xảy ra trong lịch sử. Chúng ta cần tăng cường độ nhạy cảm với rủi ro và duy trì tâm lý e ngại rủi ro cực độ là rất cần thiết.

Thứ ba là các quy tắc ủy quyền tiền tệ không thống nhất, một số loại tiền tệ có hạn ngạch hạn chế, trong khi những loại tiền tệ khác không có hạn ngạch nào cả, và các hành động không thống nhất. Điều này cho thấy hoạt động quản lý bảo mật nội bộ của Binance chưa rõ ràng, hoặc các đội ngũ nội bộ chưa thực hiện tốt việc phân công lao động.

Ngoài ra, chúng tôi cũng rất thắc mắc, tại sao các địa chỉ có số dư tài sản khổng lồ như vậy lại thường xuyên tham gia vận hành hợp đồng Defi? Binance có thể lập kế hoạch địa chỉ chi tiết hơn và thiết kế cách ly không?

trường hợp hai

Địa chỉ:

Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

Đây là địa chỉ của sàn giao dịch Kucoin, có 1,7 tỷ đô la trên chuỗi ETH và 1,9 tỷ đô la trên các chuỗi khác cộng lại. Ảnh chụp màn hình của nội dung địa chỉ này như sau:

Kiểm tra trạng thái ủy quyền hợp đồng của địa chỉ này trong chuỗi ETH và thấy rằng có rủi ro trị giá 1,1 tỷ đô la Mỹ. Một lần nữa, điều này không có nghĩa là có một rủi ro bảo mật nhất định, mà chỉ là một mô tả về khả năng xảy ra rủi ro tiềm ẩn.

Sau đó, hãy xem ủy quyền của địa chỉ Kucoin.

Ồ! Chúng tôi tìm thấy một số điều thú vị một lần nữa.

1. Đồng tiền APE của địa chỉ này đã được ủy quyền cho hợp đồng Bộ định tuyến chuỗi chéo của Multichain vào ngày 2022-04-02. Bạn nên biết rằng một sự kiện bất khả kháng đã xảy ra trong Multichain vài ngày trước, nhưng Kucoin đã không hủy ủy quyền hợp đồng Multichain ngay lập tức . Điều này cho thấy Kucoin vẫn còn chỗ để cải thiện trong việc ứng phó với rủi ro khẩn cấp.

2. USDT (500 triệu USD), USDC (290 triệu USD) và KCS (480 triệu USD) tại địa chỉ này đều được ủy quyền cho hợp đồng có tên Bridge và số tiền được ủy quyền là hoàn toàn không giới hạn. Sau khi phân tích đơn giản, người ta thấy rằng Bridge là hợp đồng cầu nối xuyên chuỗi của chuỗi cộng đồng KuCoin KCC, nhưng sau khi kiểm tra và tìm kiếm trên trang web chính thức của KCC, không tìm thấy báo cáo kiểm toán bảo mật liên quan nào, điều này khiến mọi người lại hoang mang. Bạn có còn nhớ vụ tấn công 2 triệu BNB vào Chuỗi BNB không?

trường hợp ba

Địa chỉ:

Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

Đây là địa chỉ của đại lý Jump Trading, có 140 triệu đô la trên chuỗi ETH và 150 triệu đô la trên các chuỗi khác cộng lại. Ảnh chụp màn hình của nội dung địa chỉ này như sau:

Kiểm tra ủy quyền hợp đồng của địa chỉ này trong chuỗi ETH và thấy rằng có rủi ro trị giá 25 triệu đô la. Một lần nữa, điều này không có nghĩa là có một rủi ro bảo mật nhất định, mà chỉ là một mô tả về khả năng xảy ra rủi ro tiềm ẩn.

Sau đó, chúng ta hãy xem ủy quyền của địa chỉ Jump Trading

Có thể thấy rằng không có nhiều ủy quyền cho loại tiền tệ trên địa chỉ này và hầu hết các ủy quyền đều có giới hạn hạn ngạch và việc quản lý tổng thể không tệ.

tóm tắt

tóm tắt

Đánh giá flash này kết thúc ở đây. Hiệu ứng giãn nở được chọn ngẫu nhiên địa chỉ của một số sàn giao dịch và tổ chức để phân tích. Đánh giá từ kết quả, các tổ chức này không hoàn hảo về mặt ủy quyền hợp đồng. Chúng tôi hy vọng rằng phân tích của chúng tôi có thể cung cấp tài liệu tham khảo cho các tổ chức có liên quan. Các sàn giao dịch và tổ chức chưa trích xuất địa chỉ cũng có thể tham khảo quy trình phân tích ở trên để kiểm tra xem có vấn đề tương tự hay không.