Dilation Effect 研究：币安、等主要钱包的合约授权风险大机构真的安全吗？

本文由DilationEffect和武硕区块链联合发布。

毫无疑问，主流交易所和机构在网络安全防护上投入了大量的资金和人力。膨胀效应无法得知这些机构的内部安全级别和实施细节，但出于好奇，我们想尝试通过* * *信息对这些机构的钱包地址做一个简单的分析，从而从普通用户的角度考虑这些地址是否存在安全隐患，潜在风险暴露有多大。

本次闪评所有数据均来自Etherscan、Debank等公共服务。

1、分析对象的选择

看看Etherscan的前1000个账户，挑出被标记机构的地址。

2.分析维度选择

因为我们不知道这些交易所和机构产生和管理钱包的技术细节，如何分析地址的安全性？这次膨胀效应选择的维度是分析这些地址的合同授权。

地址被恶意合同欺诈性授权或授权合同有漏洞是常见的攻击。限制授权数量并定期清理授权已成为最佳安全实践。那么这些大型交易所的地址呢？我们随机选择几个地址进行分析。

案例1

地址:

二进制8(0x f 977814 e 90 da 44 BFA 03 b 6295 a 0616 a 897441 AEC)

这是币安余额最大的钱包地址。ETH链100亿美元，其他链加起来161亿美元。一些资产截图如下:

查看ETH链中该地址的合同授权，发现存在32亿美元的风险。当然，这并不是说一定存在确定性的安全风险，而只是对潜在风险暴露可能性的描述。

那么我们具体看看这个地址是怎么授权的，比如授权给什么合约什么币种，授权多少。以下摘录是查询结果的一部分。

这时候我们会发现一个奇怪的现象，就是这个地址有的币种限制授权额度，有的则直接无限制，授权额度的规则似乎并不统一。我们特别关注BUSD、马蒂奇、SHIB和桑德，他们有大量的余额。地址余额分别为19亿美元、4 . 6亿美元、2 . 6亿美元和1 . 4亿美元。相关授权记录如下:

这里有几个明显的问题:

第一，没有定期清理合同的授权。例如，对BUSD的合同授权已经超过两年没有清理，或者没有被注意到或觉得没有必要。这说明币安在内部安全管理这一块缺乏系统的覆盖。有人可能会说，他们分析了相关的许可合同，发现这些合同可以做有限的操作，相对安全。但我们想说的是，首先，这不是一个纯粹的技术问题，更多的是一个安全管理问题。也就是说，币安应该如何全面系统地管理第三方合同带来的风险？我们认为可以做得更严格、更深入。事实上，如果你仔细观察，你会发现Aave: Lending Pool V2是一个可伸缩的合同。如果(我的意思是如果)Aave合约受到攻击，那将是19亿美元的损失。

第二，大量货币的授权额度没有限制。在相应合约被攻击的极端情况下，如果授权额度有限，风险也会相应降低。这也暴露出币安在内部安全管理这一块缺乏系统的覆盖。当然你会说这是极端情况，但是对于密码行业来说，历史上发生过很多小概率的事情。我们需要提高风险敏感度，保持对风险的极度厌恶是非常必要的。

第三，货币授权规则不统一。有些货币限制金额，有些则完全不限制金额，动作也不统一。这说明币安内部安全管理运作不清晰，或者说内部团队没有做好分工。

另外，我们也很好奇，一个资产余额如此庞大的地址，为什么要频繁参与Defi合同的运作？币安能做更细粒度的地址规划和隔离设计吗？

手表行业旅游

地址:

kucoin 6(0xd 6216 fc 19 db 775 df 9774 a6e 33526131 da 7d 19 a2c)

这是库币交易所的地址，它的ETH链有17亿美金，其他链加起来19亿美金。该地址资产的屏幕截图如下:

查看ETH链中该地址的合同授权，发现存在11亿美元的风险。同样，这并不意味着一定存在安全风险，而只是对潜在风险暴露可能性的描述。

那我们再来看看Kucoin的授权。

哇！我们又发现了一些有趣的东西。

1.该地址的APE币于2022年4月2日授权给多链的跨链路由器合同。你要知道前几天Polychain发生了不可抗力，但是Kucoin并没有第一时间取消Polychain合同的授权。这说明Kucoin在风险应急响应空方面还是有提升的。

2.该地址的所有大额货币，如USDT(5亿美元)、USDC(2.9亿美元)和KCS(4.8亿美元)，都被授权给名为Bridge的合约，授权金额完全不受限制。简单分析后发现，Bridge是库币社区链KCC的跨链桥契约。然而在KCC官网上搜索，并没有相关的安全审计报告，不禁让人再次恐慌。你还记得BNB连锁店对BNB的200万次攻击吗？

案例3

地址:

跳转交易(0 xf 584 f 8728 b 874 a6 a5 C7 A8 d4d 387 C9 aae 9172d 621)

这是机构Jump Trading的地址，它的ETH链有1.4亿美元，其他链加起来1.5亿美元。该地址资产的屏幕截图如下:

看ETH链上这个地址的合同授权，发现有提示2500万美金的风险。同样，这并不意味着一定存在安全风险，而只是对潜在风险暴露可能性的描述。

我们具体看一下地址跳转交易的授权。

可以发现，该地址对该币种的授权并不多，大部分授权都是有额度限制的，一般都管理得很好。

但USDC币在2021年2月4日被授权给曲线合约，没有设置限制，至今没有取消。这一点需要提醒。如果不需要相应的合同操作，建议立即取消该合同的授权。

摘要

这个快速评论在这里。膨胀效应随机选择了几个交易所和机构的地址进行分析。从结果来看，这些机构在合同授权方面做得并不完美。希望我们的分析能为相关机构提供参考。未提取地址的交易所和机构也可以参考上面的分析流程，查看是否存在类似问题。

本网站声明:网站内容来源于网络。如有侵权，请联系我们，我们会及时处理。

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信(j7hr0a@163.com)，我们会及时处理和回复。