大機構真的安全嗎？解讀幣安、KuCoin、Jump主要錢包的合約授權風險

吴说

特邀专栏作者

2023-05-30 13:00

本文約1922字，閱讀全文需要約3分鐘

從普通用戶角度來考量這些地址是否存在潛在安全風險，以及潛在風險敞口有多大。

AI總結

展開

從普通用戶角度來考量這些地址是否存在潛在安全風險，以及潛在風險敞口有多大。

原文來源：Dilation Effect 與吳說區塊鏈共同發布

主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力，Dilation Effect 無法得知這些機構內部的安全水平和實施細節，但出於好奇，我們想嘗試通過公開信息來對這些機構錢包地址做簡單分析，見微知著，從普通用戶角度來考量這些地址是否存在潛在安全風險，以及潛在風險敞口有多大。

本次快閃點評的數據全部來源於Etherscan、Debank 等公開服務。

1、分析對象選擇

查看Etherscan 的Top 1000 Accounts，挑出其中打了標籤的機構地址。

2、分析維度選取

由於不了解這些交易所和機構生成和管理錢包的技術細節，該如何對地址的安全性做分析？ Dilation Effect 這次選取的維度是分析這些地址的合約授權情況。

地址：

案例一

地址：

Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)

這是Binance 餘額最大的錢包地址，ETH 鍊為100 億美金，其他鏈加起來一共161 億美金。部分資產截圖如下：

查看此地址在ETH 鏈的合約授權情況，發現提示32 億美金存在風險。當然這裡並不是說一定存在確定性安全風險，這只是一種潛在風險敞口的可能性描述。

那麼我們具體來看看此地址是如何做授權的，比如什麼幣種授權給了什麼合約，授權額度如何。以下摘錄部分查詢結果。

這時我們會發現一個奇怪的現象，就是這個地址上有的幣種限制了授權額度，有的幣種卻直接無限制，授權額度規則看起來並不統一。我們特別關注到BUSD、Matic、SHIB、SAND 這幾個餘額較大的幣種，地址餘額分別為19 億美金、 4.6 億美金、 2.6 億美金、 1.4 億美金，相關授權記錄如下：

這裡存在幾個明顯的問題：

一是對合約的授權沒有定期清理。比如針對BUSD 的合約授權，兩年多過去了都沒做過清理，要么沒關注到要么覺得沒必要。這說明Binance 在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說，已經分析過相關授權合約發現這些合約能做的操作有限，相對安全。但我們想說的是，這里首先並不是單純的技術問題，而更多是安全管理的問題。即Binance 在這裡該如何全面系統的去管理第三方合約帶來的風險，我們認為可以做的更嚴格深入。其實如果仔細看，你會發現Aave: Lending Pool V2 是個可升級的代理合約，假如（我是說假如）Aave 合約被攻擊，這裡就是19 億美金的損失。

二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況，如果限制了授權額度會相應的降低風險。這同樣暴露出Binance 在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況，但是對Crypto 行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度，對風險要保持極度的厭惡是非常必要的。

三是幣種授權規則不統一，有些幣種限制了額度，有些完全沒限制額度，動作不統一。這說明Binance 內部安全管理操作不明確，或者內部團隊沒有做好分工配合。

地址：