当前位置:OKEX官网 > 区块链快讯 > 钱包该如何应对 DApp 过度授权?看看 imToken 的对策

钱包该如何应对 DApp 过度授权?看看 imToken 的对策

admin2021-08-06 10:50:38区块链快讯609

imToken 在四个环节防止 DApp 过度授权:访问 DApp、访问钱包地址、授权转账数量与授权管理 DApp。

原文标题:《imToken 如何应对 DApp 过度授权问题?》
撰文: imToken

近日,一个存在已久的开放问题 ——「DApp 过度授权」在以太坊社区中被重新提及,各大媒体、钱包以及 DApp 项目方都参与了这次讨论。imToken 作为主流的以太坊钱包,对该问题始终保持着高度关注,同时在深入地探讨与研究中寻找更加合理的解决方案。

什么是「DApp 过度授权」?

用户与 DApp 进行涉及数字资产的交互时,首先需要授权(approve),为什么要授权操作呢?我们举一个典型的案例 :

*Alice 希望在 Compound 上存款 100 Dai,获得不错的收益。
*那么 Alice 需要将 Dai 授权给 Compound 借贷合约,让借贷合约拥有转移 Alice Dai 资产的能力,以便后续可以完成 Dai 与 cDai (Compound 借贷凭证)的原子兑换。

DApp 开发者为了避免用户反复授权,一般会默认设置授权最大数量的代币给智能合约。但这样的处理也明显暴露风险,如果智能合约出现漏洞或合约管理员作恶,那么用户的代币将存在丢失的风险,这就是「DApp 过度授权」带来的问题。

「DApp 过度授权」是技术社区存在已久的公开问题,而当前 DeFi 的兴起改变了安全和易用间的平衡,对此我们需要重新考虑这个问题。而想要解决它,需要钱包、DApp 开发者与用户多方参与,共同改进。

imToken 目前是如何应对的?

访问 DApp

首先,我们会从源头掐断恶意转移用户资产行为发生的可能。

DApp 浏览器是一个开放的浏览器,用户可以直接访问上架应用,也可以输入 URL 访问任意 DApp。我们会针对存在潜在问题的应用给予风险提示,以免用户上当受骗。

访问钱包地址

其次,当 DApp 请求用户钱包地址时需要经过用户授权确认 ,以免用户地址隐私泄漏,让有问题的 DApp 有机可乘。

授权转账数量

最后,当 DApp 要求用户代币授权时,imToken 也会给予明确的授权信息,以便用户清晰了解授权上下文,甚至进一步编辑授权数量,降低授权风险。

注:授权功能将于近期上线

授权管理 DApp

此外,imToken 还在 DApp 浏览器中提供了代币授权管理的相关 DApp,打开 DApp 浏览器,在「工具」类目下找到「Approved Zone」,点击进入即可轻松管理已授权的第三方 DApp 权限,随时关闭不再使用的应用权限,保护自己的资产安全。

更长远考虑

近期 imToken 除了以上的处理方案,也会针对授权管理问题进行更深入地优化。将通过支持批量签名功能,来鼓励 DApp 通过按需授权的方法调用合约。

关于批量签名,我们即将上线的 ETH 加油站就可以帮助用户通过一次「交易确认」完成授权和代币兑换,避免过度授权的问题。

imToken 非常乐意与大家一起探讨,寻求更好的解决方案。如果你有任何想法,欢迎跟我们沟通。

参考链接

[1]https://www.coindesk.com/long-festering-defi-dapp-bug-still-not-fixed-by-industry

[2]https://zengo.com/badapprove-defi-security/

[3]https://medium.com/argenthq/argent-solving-dapps-dirty-secret-3ddb4f741a6

[4]https://medium.com/ethex-market/erc20-approve-allow-explained-88d6de921ce9

扫描二维码推送至手机访问。

版权声明:本文由okx官方网站发布,如需转载请注明出处。

本文链接:https://www.okexk.com/post/180.html

相关文章

区块链技术赋能“泉城链”助企惠民

区块链技术赋能“泉城链”助企惠民

       为推进普惠金融基础设施建设,提升地方征信系统服务功能,2020年9月,人民银行济南分行营业管理部联合济南市大数据局推动建设基于区块链技术的“泉城链”,并积极探索在商业银行的应用。截至20...

福布斯:同时入选金融科技与区块链 50 强的 Coinbase 发家史与价值理念

福布斯:同时入选金融科技与区块链 50 强的 Coinbase 发家史与价值理念

同时入选福布斯金融科技 50 强和区块链 50 强的加密货币交易所 Coinbase 是如何一步步走到今天的?福布斯杂志刊文介绍了它的发家史与价值理念。 原文标题:《福布斯 | BTC 的守护天使:Coinbase Brian...

DeFi 世界,EOS 是否有机会能弯道超车以太坊?

DeFi 世界,EOS 是否有机会能弯道超车以太坊?

作为继以太坊之后的第二大智能合约公链,EOS 有机会在 Defi 领域弯道超车吗? 原文标题:《以太坊外无 Defi?EOS:我有》 作者:芦荟 以太坊外无 Defi? Defi 即 Decentralized Financ...

深入 MakerDAO 系统,细说其中的六大风险

深入 MakerDAO 系统,细说其中的六大风险

在三部曲的第一部分中,我们对稳定币世界进行了简单介绍,定义了去中心化风险管理,并围绕风险功能来对治理结构进行了一些概括。那么在本篇文章,即三部曲的第二部分中,我们将对系统中的风险进行一个更深的了解 —— 描述 MakerDAO 系统中...

比特币团队研发的”蒲公英”匿名工具曙光初现

比特币团队研发的”蒲公英”匿名工具曙光初现

图片来源:全景网 数字行业的开发者希望为比特币区块链开发更高水平的匿名交易,因此建立一个名为“蒲公英”的匿名工具。 上周四,开发者将测试结果通过邮件发出。相比于初提案,该项目背后的团队在该项目中加入了更多的理论分析,以解决“蒲公英”...

Lykke推出区块链加速器和风险投资子公司

Lykke推出区块链加速器和风险投资子公司

加密交易所Lykke与IBM和UBS的两位前高管合作推出了一个区块链加速器和风险投资公司。 总部位于瑞士的区块链谷风险投资公司(BVV)Zug周四宣布,将为企业提供各种服务,包括资本投资、代币发行和营销支持以及代币开发援助。 该公司...