主流交易所和機構在網絡安全防護上無疑都投入了大量資金和人力,Dilation Effect 無法得知這些機構內部的安全水平和實施細節,但出於好奇,我們想嘗試通過公开信息來對這些機構錢包地址做簡單分析,見微知著,從普通用戶角度來考量這些地址是否存在潛在安全風險,以及潛在風險敞口有多大。
本次快閃點評的數據全部來源於 Etherscan 、Debank 等公开服務。
1、分析對象選擇:查看 Etherscan 的 Top 1000 Accounts,挑出其中打了標籤的機構地址。
2、分析維度選取:由於不了解這些交易所和機構生成和管理錢包的技術細節,該如何對地址的安全性做分析?Dilation Effect 這次選取的維度是分析這些地址的合約授權情況。
因爲地址被惡意合約騙取授權或者授權過的合約存在漏洞而導致被盜幣是很常見的攻擊。限制授權額度、定期清理授權已經成爲最佳安全實踐。那么這些大型交易所的地址做的如何呢,我們隨機挑選幾個地址來做分析。
案例一
地址:Binance 8 (0xF977814e90dA44bFA03b6295A0616a897441aceC)
這是 Binance 余額最大的錢包地址,ETH 鏈爲100億美金,其他鏈加起來一共161億美金。部分資產截圖如下:
查看此地址在 ETH 鏈的合約授權情況,發現提示 32 億美金存在風險。當然這裏並不是說一定存在確定性安全風險,這只是一種潛在風險敞口的可能性描述。
那么我們具體來看看此地址是如何做授權的,比如什么幣種授權給了什么合約,授權額度如何。以下摘錄部分查詢結果。
這時我們會發現一個奇怪的現象,就是這個地址上有的幣種限制了授權額度,有的幣種卻直接無限制,授權額度規則看起來並不統一。我們特別關注到 BUSD、Matic、SHIB、SAND 這幾個余額較大的幣種,地址余額分別爲19億美金、4.6億美金、2.6億美金、1.4億美金,相關授權記錄如下:
這裏存在幾個明顯的問題:
一是對合約的授權沒有定期清理。比如針對 BUSD 的合約授權,兩年多過去了都沒做過清理,要么沒關注到要么覺得沒必要。這說明 Binance 在內部安全管理上缺少對這塊的系統覆蓋。也許有人會說,已經分析過相關授權合約發現這些合約能做的操作有限,相對安全。但我們想說的是,這裏首先並不是單純的技術問題,而更多是安全管理的問題。即 Binance 在這裏該如何全面系統的去管理第三方合約帶來的風險,我們認爲可以做的更嚴格深入。其實如果仔細看,你會發現 Aave: Lending Pool V2 是個可升級的代理合約,假如(我是說假如)Aave 合約被攻擊,這裏就是19億美金的損失。
二是大量的幣種授權額度無限制。一旦發生相應合約被攻擊的極端情況,如果限制了授權額度會相應的降低風險。這同樣暴露出 Binance 在內部安全管理上缺少對這塊的系統覆蓋。當然你會說這都是極端情況,但是對 Crypto 行業來說很多小概率事情歷史上就發生了。我們需要提高風險敏感度,對風險要保持極度的厭惡是非常必要的。
三是幣種授權規則不統一,有些幣種限制了額度,有些完全沒限制額度,動作不統一。這說明 Binance 內部安全管理操作不明確,或者內部團隊沒有做好分工配合。
另外我們也很好奇,資產余額規模如此巨大的地址,爲何要頻繁參與 DeFi 合約的操作呢?Binance 是否可以做出更細粒度的地址規劃和隔離設計呢?
案例二
地址:Kucoin 6 (0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)
這是 Kucoin 交易所的地址,其 ETH 鏈上有17億美金,其他鏈加起來19億美金。此地址資產截圖如下:
查看此地址在 ETH 鏈的合約授權情況,發現提示11億美金存在風險。同樣的,這並不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。
那么具體來看看 Kucoin 這個地址的授權情況。
哇!我們又發現了一些有意思的東西。
1、此地址的 APE 幣種在2022-04-02授權給了 Multichain 的跨鏈 Router 合約,大家應該知道前幾天 Multichain 出現了不可抗力因素的事件,但 Kucoin 並沒有在第一時間取消對 Multichain 合約的授權。這體現出 Kucoin 在風險應急響應上還存在改進空間。
2、此地址的大金額幣種 USDT(5億美金)、USDC(2.9億美金)、KCS(4.8億美金) 等全部都授權給了名爲 Bridge 的合約,且授權額度完全無限制。簡單分析後發現 Bridge 是 KuCoin 社區鏈 KCC 的跨鏈橋合約,但在 KCC 的官網上查看搜索,並沒有發現相關的安全審計報告,這不禁又讓人心一慌。大家還記得 BNB Chain 的200萬枚 BNB 攻擊事件嗎?
案例三
地址:Jump Trading (0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)
這是機構 Jump Trading 的地址,其 ETH 鏈上有1.4億美金,其他鏈加起來1.5億美金。此地址資產截圖如下:
查看此地址在 ETH 鏈的合約授權情況,發現提示2500萬美金存在風險。同樣的,這並不是指一定存在安全風險,而只是一種潛在風險敞口的可能性描述。
那么具體來看看 Jump Trading 這個地址的授權情況
可以發現此地址上幣種的授權不多,而且絕大部分的授權都做了額度限制,總體上管理得還不錯。
但是 USDC 幣種在2021-02-04授權給了 Curve 合約,未設置限額,且一直未取消。這一點需要做出提醒,如果不需要對應的合約操作,建議立即取消對此合約的授權。
總結
這次的快閃點評到這裏就結束了。Dilation Effect 隨機抽取了幾個交易所和機構地址做分析,從結果來看,這些機構在合約授權方面做得並不是很完美,希望我們的分析能給相關機構提供參考。沒有抽取到地址的交易所和機構,也可以參考上文中的分析過程來檢查是否存在類似問題。
關於 Dilation Effect
Dilation Effect(膨脹效應)是一個近期成立的 Web3 安全社區,由來自全球的網絡安全技術愛好者組成,專注於分享客觀中立的 Web3 安全觀點。
Dilation Effect 是業界第一個提出 iPhone 手機使用共享 Apple ID 下載錢包應用存在資產被盜風險的團隊。也獨家披露 Jump 投資的 Defi 跨鏈借貸協議 Prime Protocol 存在的潛在風險,Prime Protocol 團隊已做出快速修復。
Dilation Effect 接下來會繼續發布各種 Web3 安全觀點,點評業界 Web3 產品和協議的安全性,給普通用戶發布及時有效的安全提醒,並會逐步給 Web3 用戶提供免費的網絡安全援助。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:研究:幣安等主要錢包的合約授權風險 大機構真的安全嗎?
地址:https://www.100economy.com/article/34203.html