比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 聚幣 > Info

「不授權」到底安全嗎:Move背后的設計思想_MOV

Author:

Time:1900/1/1 0:00:00

最近關于用戶和 Move 智能合約交互,不需要授權 (Approve) 是更安全還是更不安全的爭論很多,這里嘗試用通俗的方式來解釋一下二者背后的區別以及 Move 這樣設計背后的思想。  

我們先理解一下用戶和智能合約交互的方式。當我們簽了一個交易,去調用一個鏈上的智能合約,就好比從物理世界進入了一個智能合約的數字世界,我們在這個數字世界有一個分身,而這個分身做什么,是智能合約定義的。  

在 EVM 中,每個合約都相當于一個獨立的小世界,分身進入這個世界后,只能操作用戶在當前合約世界中的狀態(資產)。  

比如進入 swap 世界,想用自己的 usdt 交換其他資產,而 usdt 存在定義 usdt 的那個合約世界,沒辦法直接在 swap 中以自己的身份從 usdt 合約里提取資產。于是用戶只能先去 usdt 的合約世界執行 approve,告訴 usdt 的合約,swap 可以代自己提取自己的資產,然后再進入 swap 世界進行操作。  

Celsius無擔保債權人官方委員會對Glenn法官在客戶索賠中支持優先股持有人的決定提出上訴:4月1日消息,Celsius 無擔保債權人官方委員會(UCC)表示對 Glenn 法官在客戶索賠中支持優先股持有人的決定提出上訴,該委員會認為這是錯誤的決定,應該予以糾正。

此前,Glenn 法官不同意無擔保債權人委員會和 Celsius 的觀點,贊同『優先股權』持有人的觀點,認為客戶并不對每個債務人實體都有索賠權。Celsius 無擔保債權人官方委員會不同意這一裁決,正在考慮其選擇,以確保客戶從 Celsius 獲得最大價值。[2023/4/1 13:39:19]

操作完成之后,再去 usdt 那邊取消授權(revoke)。但這里的 approve 和 revoke 操作都需要獨立的交易,用戶往往為了節省 gas 費用,不進行 revoke,結果如果 swap 合約出安全問題,用戶的資產就可能在不知情的情況下被盜取。  

Meta將組建頂級AI團隊,擬開發自家ChatGPT:金色財經報道,Meta公司首席執行官馬克·扎克伯格宣布,Meta將會組建一個頂級產品開發集團,專門關注內容生成式AI技術。扎克伯格表示,Meta公司內部原來有很多研究生成式AI技術的團隊,現在管理層開始把這些技術團隊整合在一起,組建一個新的產品集團,目的是圍繞這項技術開發出精彩的產品體驗。

扎克伯格表示,Meta的長遠目標是開發AI機器人,可以通過各種方式給消費者提供幫助,但是在目前的階段,Meta正在開發有關文字(即有關旗下兩大移動聊天工具WhatsApp和Messenger)、圖片(比如Instagram中創意性特效和廣告產品)、視頻以及混合多模式的產品體驗。(彭博社)[2023/2/28 12:33:44]

而在 Move 中,所有的合約都在一個大的數字世界運行。用戶的數字分身可以自由的在合約間移動,執行任何操作,同時用戶的狀態(資產)存在用戶自己的存儲空間。  

Coinbase首席執行官:預計加密貨幣寒冬將持續12至18個月:8月24日消息,CoinbaseGlobal首席執行官Brian Armstrong表示,他預計加密貨幣寒冬將持續約12至18個月,但也在為可能會持續更久做準備。在比特幣價格今年來累計下跌近55%之際,Coinbase第二財季凈虧損10.9億美元,而上年同期的凈利潤為16.1億美元。道瓊斯市場數據顯示,今年迄今為止,這家加密貨幣交易所平臺的股價下跌逾70%。Armstrong周二接受CNBC采訪時表示,市場低迷對該公司來說“并不罕見”。他說,作為一家公司,我們已經經歷了四個這樣的周期,而我們只有10年的歷史。這一次只是恰好趕上了更廣泛的宏觀經濟環境下行。

Armstrong稱,Coinbase正在尋求降低與營銷、外部供應商和AmazonWebServices相關的成本。[2022/8/24 12:46:03]

用戶從 swap 入口進入,從自己的余額提取 usdt,交換,存儲可以在同一個交易里原子化完成。這種模式給合約帶來更自由的組合模式,可以玩出很多 EVM 上很難實現的組合玩法,這也是 EVM 上的賬戶抽象方案想實現的模式。當然,這也帶來了新的安全挑戰。  

WatcherGuru:比特幣的市值超越美國銀行市值:金色財經消息,WatcherGuru發推特表示,比特幣的市值超越美國銀行(Bank of America)市值。[2022/8/12 12:20:38]

那 EVM 中能否直接增加一個特性,讓合約間的調用可以把用戶身份直接帶過去?這個技術上是可以實現的,但 EVM 中支持動態調用,可以調用任意地址的合約,讓這種操作的風險變的很難度量,同時 EVM 的狀態變更對用戶和錢包都不友好,錢包很難通過狀態變化對用戶進行提示。  

而 Move 中解決這個安全挑戰有兩個方法: 

1. 在預執行合約的時候把合約執行后的狀態變更提示給用戶,讓用戶可以知道這個交易操作了自己的哪些重要資產,以及執行后的結果。這個方法 StarMask 中已經實現,參看鏈接以及附圖 https://starcoin.medium.com/starmask-v4-6-

2. 可能有部分合約可以通過設置條件,讓一部分用戶預執行的時候無法發現狀態變更。@0xmetazen 的分析 https://twitter.com/0xmetazen/status/1582581013972414465 ,但 Move 中沒有動態調用,合約在部署時,它的執行邏輯就是確定的。可以通過靜態分析字節碼,得到合約所有可能路徑上操作的狀態,在區塊瀏覽器或錢包里提示給用戶。  

EVM 和 Move 的兩種方案,帶來的安全風險是不一樣的。Approve 方案的安全風險是把一個即時的授權變為長期授權,它的風險不是立刻發生的,比如合約漏洞未被發現或者惡意合約放長線釣大魚。而一旦發生,用戶往往很被動,很多用戶可能都忘記授權過哪些合約了。 

而 Move 的方案給了合約更大的自由權,遇到惡意合約會有較大風險,但這種風險是即刻發生的,是可以通過技術手段來檢測的。最壞的情況,至少前面沖的快到人趟坑了,可以給后面的人警示,惡意合約會快速暴露出來。

最后,世上沒有銀彈,不可能靠用了某種技術就解決了所有安全問題,需要鏈,工具,用戶一起努力。 

對 Move 用戶的安全建議: 

1. 選用狀態變更提示更完備的錢包,并嘗試理解錢包的提示。 

2. 不要隨意和來源未知或未開源的 DApp 交互。 

3. 如果做不到上面兩點,可以等別人先趟一下坑。

Move 在安全方面的挑戰以及改進方案不僅僅是這些,我會在《為什么是 Move》系列的安全篇里詳述,想了解的朋友可以關注一下。  

區塊律動BlockBeats

媒體專欄

閱讀更多

金色早8點

金色財經

1435Crypto

吳說區塊鏈

blockin

比推 Bitpush News

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags:BSPNBSMOVMOVEBSP價格nbs幣官網Movie MagicMoveX

聚幣
巨大變革?Web3 手機是否會是下一個 iPhone?_WEB3

作者:s1 這幾天見了個虛擬頭戴設備廠商,上一次我們坐下來聊天大概四五年前,那時候國內對VR/AR概念還是很早期的階段,那時候我認為國內的市場并不是很樂觀,最近再次見面我很是感慨.

1900/1/1 0:00:00
為什么說機構正在進入加密領域?看這些數據、公告和新聞_SWAP

文:@TheChicagoVC多年來,加密社區一直在說“機構來了”……很長一段時間,我們都錯了。現在,在熊市的深處,越來越明顯的是,機構確實來了.

1900/1/1 0:00:00
房地產+NFT有什么新玩法和注意事項?_AND

來源:老雅痞 昨天收到中介發來消息,北京的房價在市場上又低了一些,不知道各位朋友所在城市的當地房價情況如何?現實世界房地產行業略有些不景氣,虛擬世界的房地產情況又發展到什么情況了呢.

1900/1/1 0:00:00
簡析以太坊最新路線圖:六大關鍵路線_VES

原文作者:GaryMa 近日,,在此前的五大關鍵路線的基礎上,新增了以解決交易審查和 MEV 風險為中心的關鍵路線 The Scourge.

1900/1/1 0:00:00
Deribit被盜約千萬 HyperBC托管服務商CEO 為商家提供100%保險金_RBC

近期,加密資產托管服務商平臺HyperBC關注到市場中頻繁發生資產被盜事件,據Etherscan數據顯示.

1900/1/1 0:00:00
3億人用4年 演繹了一場Web3.0的破滅和重建_區塊鏈

2022年第四季度如約而至,Web3.0市場持續低迷。這一狀況出現于全球經濟衰退不斷拋售的背景下——納斯達克指數自2021年末的15700點,下跌至2022年10月的10600點,跌幅達到32%.

1900/1/1 0:00:00
ads