警惕：以太坊 DeFi 生态的智能合约向自己索要无限授权，这可能让你的资产归零

自从Compound创造出流动性挖矿这个壮举之后， DeFi 生态变的非常火热，大批的新老韭菜们都冲进了DeFi 这个大市场中，试图借肋这大好的时机来大赚一把，但结果仍是“几家欢喜几家愁”。机构和项目方也正利用这个机会，纷纷开启发币模式，这种所谓的共识以将DeFi 推上了一个又一个顶峰。大部分比较乐观的从业者认为，DeFi 推动了牛市的到来，DeFi 的大厦已经建立，甚至在未来很可能出圈代替传统金融。

【DeFi 表面上完美的数据】

根据defimarketcap网站提供的数据，7月21日DeFi生态上代币总市值突破100亿美元，虽然这个数据现在已经开始回调，但仍有70亿美元。

（数据来源：defimarketcap）

不仅是代币市值的上长，在DeFi生态上锁仓额，也在不断的创新。根据debank数据显示，7月25日总锁仓量一度达到45.5亿美元，创出历史新高。现在保持在43.6亿美元。令人不解的是，2019年业界称之为DeFi元年的历史上，大约的锁仓量有10亿美元，甚至在312黑天额事件时，锁仓量下降为5亿美元，但这丝毫没有减少大家对DeFi，经过6月到7个月不到两个月的是时间，DeFi又创造了惊人的锁仓量。从下面图示可以看出，DeFi锁仓量最近几乎呈直线上升趋势。

（数据来源：debank）

而在这43.6亿的锁仓量中，其中12.3亿美元来自于 Maker的贡献，几个头部分DeFi项目占据了大部分的份额。

（数据来源：debank）

从代币价格来看，念头羊ETH经过了这几天的上涨之后，现价格这342美元，比起sBTC的11300美元和YFI的3764美元还是又太多差距，这个价格只是它们的零头。这些治理代币大部分在上线之后都不同程度的出现了暴涨。其中YFI这个聚合器协议最疯狂上涨了140倍，最高达到4664美元，说它是百倍币一点也不夸张。

【DeFi 真正的安全隐患在哪里】

从以上这些数据来看，DeFi 生态是完美的，它的发展似乎无懈可击。然而它的真正危机会在哪里？

昨天无意中看到比特派的一篇文章，《以太坊 DeFi 生态当前最大的安全隐患》，也许能找到我们想要的答案。

这个最大的风险就是以太坊生态最基础的授权模型。

Lendf.me的盗币事件，相必大家都有所了解。2020年4月19日Lendf.Me遭到黑客攻击，价值2500万美金的资产被盗，就连币乎的创始人咕噜也中招，并在媒体上发表了一篇《币乎咕噜踩雷记》来警示大家。

但是很幸运，这个黑客有点笨，笨到没有隐藏自己的IP，被追踪之后在4月22日全额退还了资金。总结事件，后来大部分认为，这次攻击并不是黑客所为，而是一名普通的程序员利用合约漏洞轻而易举的实现了攻击。用正常的思维来看，如果一个盗币的黑客连最起码的隐藏身份都做不好，也不能称之为黑客。

退一步来说，如果这次事件为真正的黑客所为，并且经过了缜密的计划和筹备，而不是一个菜鸟级的程序员，估计追回这2500美元，定会费尽周折，或者永远追不回来。

在这次盗币风波之后，大家对DeFi 生态的安全讨论了一阵子，聊了聊智能合约的风险。因为大家的钱都回来了，基本上都是“好了伤疤忘了疼”，再加上现在大家都DeFi 赚到了钱，至于安全不安全，风险不风险的，基本上都已抛之脑后。

这个授权模型是个什么鬼，比特派在文章中也举例说明了：

总结文章的精华：如果你有100万的USDT放在你的钱包里，如果参与去中心化的 DeFi 智能合约，即使你投次了1万的USDT，因为有授权模型的存在，你可能会损失的不仅仅是1万USDT，，而是包括你钱包的99万USDT。甚至于你把剩余的99万USDT放在冷钱包也没有用，你的资产可能在智能合约的管理中在很短的时间内全部灰飞烟灭，让你的钱包余额变成零。

在不经意间，你会把你的钱包地址授权给智能合约，从而无限动用自己全部 USDT 的权力。

这是在etherscan随便挑选的一笔交易，所以说这种授权有普遍性，大部分的DeFi 并不了解自己的授权程度，都一致认为自己的资产在去中心化的智能合约之上，是绝对安全的，不存在被第三方取走的可能性。

但事实并不是如此，你在完成这一授权之后，智能合约可能不用你的许可，支配你的所有资产。这跟我们的授权委托人一样，实际上他从某种意义上来说，这个被委托人就是你自己。智能合约也一样，既然你完成了授权，它就可能代表你来进行帐户操作，甚至可能把你的币全部清空。

当然，一个智能合约如果有执行时，不小心写出一个可能被第三方动用授权者资产的漏洞。这个漏洞一般用户是无法发现的，如果被某些有所企图的人利，团体并没有及时发现一漏洞，你的币被转移的可能性很大。

事实上，智能合约的设计非常复杂，并不是一两个代码就能形成了。正是因为这种设计复杂性，往往伴随着很多的漏洞，不可能做到100% 安全，这一点我们从 Lendf.me的盗币事件也会深有体会。

【滥用授权的项目案例】

建议对照自己参与的项目，根据文中提示，做一次安全检查。

以上这些项目可能存在开启你资的无限授权模式，给你的资产带来极大的风险。

【如保正确的避开智能合约的坑】

现在大部人对智能合约无限授权都不了解，那我们应该怎么做，才能避免自己资产受到损失呢？

1、分开储存，专款专用

将参与DeFi项目的资产与正常交易的资产分开来放。如果你有100万USDT，你打算用10万USDT来参与智能合约项目。你把10万的USDT存放在其中一个钱包之内，让合约只调用专用地址来保护你的资产。因为一个漏洞可能会让你的资产归零，最可怕的是因为无即授权的存在，你该地址上的所有的资产会一起消失，包括你没有参与DeFi合约的资产。

2、认清无限授权，智能合约并不安全

不要过分的迷信去中心化的智能合约，它并不是百分百安全的。

3、据原文作者称，比特派钱包有授权扫描功能，可能看到你参与的智能合约获取了哪些权限。我觉得，有兴趣的朋友们，可能试试。（原文作者为比特派有王婆卖瓜的嫌疑）

4、检查自己参与的 DeFi 合约，取消相关授权，认清你参与的有哪些可以不经你的许可直接转走你钱包里的资产，从而谨慎参与其中。

V神在最近的播客节目中也提示不要低估 DeFi 智能合约风险。

“DeFi还不错，但不是一个应该倡导很多普通人把毕生积蓄投入其中的地方。我认为一个重要的问题是，很多人低估了智能合约的风险。它的利率比传统银行账户的利率要高很多，这意味着DeFi产品的风险也要大得多，‘崩溃’的几率也要高得多。”

这个提醒并没有引起大家太多的关注，因为大家都忙着 DeFi 上挖矿赚钱，你却说有风险。V神提到这个风险明显不符合大家的味口，没有理也是正常的。

在《币乎咕噜踩雷记》中，咕噜在文章最开始就阐述了，智能合约代码安全性引入风险是 DeFi 合约最主要的风险。“这是目前，我个人认为占了总风险的大多数。“这跟比特派、V神的观点是一致，都在提醒大家智能合约的危险性。

整个DeFi生态发展不足2年时间，DeFi 生态存在着很多未知的风险，关键是我们如何正确的认知和规避这些风险，在管控好风险的前提下，适度参与其中。因为任何新事物的发展不是一帆风顺的，DeFi也一样。它仍被大多数人看好，因为去中心化金融代表着区块链的未来。

参与资料：https://mp.weixin.qq.com/s/WJWq1XPkK7su4sK6otdtug（更多内容请参阅原文）

—-

编译者/作者：区块高度

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。