※ 引述《s148235 (羅傑森)》之銘言:
: 如題。
: 我本身是用Ledger硬體錢包生成一組助記詞,在諸多不同的鏈上有部署資產,包含了EVM
: 徒子徒孫鏈(BSC/FTM/Polygon等)與Solana ,做各種DeFi yield farming。以下問題皆
: 假設不討論 rug-pull 或助記詞外流。
如果是講ERC20 Token的授權,原則上一個授權的權限範圍只有單一鏈的單一Token,
或許有些同個開發者的Tokens會去做一次授權多種Tokens(我沒碰過),
不同團隊的幾乎不會互相影響權限。
換句話說授權A Token不會造成對方可以動你的B Token。
(授權也有額度限制,不過騙授權通常就會拉到最大值,所以就當作所有金額都是危險的)
(由於正常用途也常常會把額度開到最高,所以很難用這點分辨詐騙與否。)
: 問題一:
: 若當我不慎在BSC上授權一釣魚網站,則有可能影響到我在Polygon上的其他資產嗎?
不同鏈的權限是分開的,所以不會影響。
有很小的機會對方可以在另一條鏈上重放你的授權Tx,但這個要符合的條件很多,實際
發生的可能性很低所以不用太擔心。 (BSC和Polygon大概有做重放保護,我不確定)
: 問題二:
: 假使不慎授權一釣魚網站,當下立即發現,以EVM來說,若即時在資產被轉走前,前往DeB
: ank或是unrekt取消(revoke)授權,是否可以確保安全?
如果來得及取消就沒事。
注意攻擊者可能會使用比較高的gas price來搶跑交易。
: 又或,假使不慎授權後,部分資產已即刻被轉移。請問發現當下第一時間,首要步驟是,
: 前往DeBank或是unrekt取消(revoke)授權,還是轉走剩餘資產至其他錢包?有孰輕孰重,
: 先後順序之分嗎?
這邊先提一下
ERC20 Token的授權一般是一個Tx授權一個Token,都要到原Token的地址去授權。
我印象中好像即使用智能合約也沒辦法讓一般地址一個Tx就授權多個Token
(讓合約地址在一個Tx授權多個Token是可以的,但一般地址不行)。
至少OpenZeppelin的實作應該是這樣。
所以看你發了幾個授權Tx大概就可以知道授權了幾個Token出去,
不過另外有種鏈下授權是讓你用錢包簽一段訊息,這也有可能讓對方有權用你的Token
(像Uniswap的removeLiquidityETHWithPermit會用到這種技術)
總之你沒有授權出去的Token對方是無權動用的,短時間內可以先不用管它,那麼可以
嘗試先去取消對詐騙地址的授權。
長期來說,可能會擔心這個錢包除了授權外還有私鑰洩露問題,結果還是要轉走,
如果資產轉空了其實就不用擔心授權問題,因為沒錢的地址有權限也轉不出東西。
轉到別的錢包時小心別因為太緊張轉錯,會是另一個慘劇。
: 問題三:
: 請問若要繼續用硬體錢包操作DeFi,在授權前,若我的流程是「確認網址正確+確認智能
: 合約地址正確」,是否有需要再額外確認 smart contract function 嗎?例如: _spend
: er的地址。甚或,有沒有需要再額外確認其他的東西呢?
: 以上三點,有勞各位前輩指點迷津,在下先謝過。
--
: 如題。
: 我本身是用Ledger硬體錢包生成一組助記詞,在諸多不同的鏈上有部署資產,包含了EVM
: 徒子徒孫鏈(BSC/FTM/Polygon等)與Solana ,做各種DeFi yield farming。以下問題皆
: 假設不討論 rug-pull 或助記詞外流。
如果是講ERC20 Token的授權,原則上一個授權的權限範圍只有單一鏈的單一Token,
或許有些同個開發者的Tokens會去做一次授權多種Tokens(我沒碰過),
不同團隊的幾乎不會互相影響權限。
換句話說授權A Token不會造成對方可以動你的B Token。
(授權也有額度限制,不過騙授權通常就會拉到最大值,所以就當作所有金額都是危險的)
(由於正常用途也常常會把額度開到最高,所以很難用這點分辨詐騙與否。)
: 問題一:
: 若當我不慎在BSC上授權一釣魚網站,則有可能影響到我在Polygon上的其他資產嗎?
不同鏈的權限是分開的,所以不會影響。
有很小的機會對方可以在另一條鏈上重放你的授權Tx,但這個要符合的條件很多,實際
發生的可能性很低所以不用太擔心。 (BSC和Polygon大概有做重放保護,我不確定)
: 問題二:
: 假使不慎授權一釣魚網站,當下立即發現,以EVM來說,若即時在資產被轉走前,前往DeB
: ank或是unrekt取消(revoke)授權,是否可以確保安全?
如果來得及取消就沒事。
注意攻擊者可能會使用比較高的gas price來搶跑交易。
: 又或,假使不慎授權後,部分資產已即刻被轉移。請問發現當下第一時間,首要步驟是,
: 前往DeBank或是unrekt取消(revoke)授權,還是轉走剩餘資產至其他錢包?有孰輕孰重,
: 先後順序之分嗎?
這邊先提一下
ERC20 Token的授權一般是一個Tx授權一個Token,都要到原Token的地址去授權。
我印象中好像即使用智能合約也沒辦法讓一般地址一個Tx就授權多個Token
(讓合約地址在一個Tx授權多個Token是可以的,但一般地址不行)。
至少OpenZeppelin的實作應該是這樣。
所以看你發了幾個授權Tx大概就可以知道授權了幾個Token出去,
不過另外有種鏈下授權是讓你用錢包簽一段訊息,這也有可能讓對方有權用你的Token
(像Uniswap的removeLiquidityETHWithPermit會用到這種技術)
總之你沒有授權出去的Token對方是無權動用的,短時間內可以先不用管它,那麼可以
嘗試先去取消對詐騙地址的授權。
長期來說,可能會擔心這個錢包除了授權外還有私鑰洩露問題,結果還是要轉走,
如果資產轉空了其實就不用擔心授權問題,因為沒錢的地址有權限也轉不出東西。
轉到別的錢包時小心別因為太緊張轉錯,會是另一個慘劇。
: 問題三:
: 請問若要繼續用硬體錢包操作DeFi,在授權前,若我的流程是「確認網址正確+確認智能
: 合約地址正確」,是否有需要再額外確認 smart contract function 嗎?例如: _spend
: er的地址。甚或,有沒有需要再額外確認其他的東西呢?
: 以上三點,有勞各位前輩指點迷津,在下先謝過。
--
All Comments