Re: [請益] 硬體錢包DeFi 授權問題
※ 引述《s148235 (羅傑森)》之銘言:
: 如題。
: 我本身是用Ledger硬體錢包生成一組助記詞,在諸多不同的鏈上有部署資產,包含了EVM: 徒子徒孫鏈(BSC/FTM/Polygon等)與Solana ,做各種DeFi yield farming。以下問題皆: 假設不討論 rug-pull 或助記詞外流。
如果是講ERC20 Token的授權,原則上一個授權的權限範圍只有單一鏈的單一Token,
或許有些同個開發者的Tokens會去做一次授權多種Tokens(我沒碰過),
不同團隊的幾乎不會互相影響權限。
換句話說授權A Token不會造成對方可以動你的B Token。
(授權也有額度限制,不過騙授權通常就會拉到最大值,所以就當作所有金額都是危險的)(由於正常用途也常常會把額度開到最高,所以很難用這點分辨詐騙與否。)
: 問題一:
: 若當我不慎在BSC上授權一釣魚網站,則有可能影響到我在Polygon上的其他資產嗎?
不同鏈的權限是分開的,所以不會影響。
有很小的機會對方可以在另一條鏈上重放你的授權Tx,但這個要符合的條件很多,實際
發生的可能性很低所以不用太擔心。 (BSC和Polygon大概有做重放保護,我不確定)
: 問題二:
: 假使不慎授權一釣魚網站,當下立即發現,以EVM來說,若即時在資產被轉走前,前往DeB: ank或是unrekt取消(revoke)授權,是否可以確保安全?
如果來得及取消就沒事。
注意攻擊者可能會使用比較高的gas price來搶跑交易。
: 又或,假使不慎授權後,部分資產已即刻被轉移。請問發現當下第一時間,首要步驟是,: 前往DeBank或是unrekt取消(revoke)授權,還是轉走剩餘資產至其他錢包?有孰輕孰重,: 先後順序之分嗎?
這邊先提一下
ERC20 Token的授權一般是一個Tx授權一個Token,都要到原Token的地址去授權。
我印象中好像即使用智能合約也沒辦法讓一般地址一個Tx就授權多個Token
(讓合約地址在一個Tx授權多個Token是可以的,但一般地址不行)。
至少OpenZeppelin的實作應該是這樣。
所以看你發了幾個授權Tx大概就可以知道授權了幾個Token出去,
不過另外有種鏈下授權是讓你用錢包簽一段訊息,這也有可能讓對方有權用你的Token
(像Uniswap的removeLiquidityETHWithPermit會用到這種技術)
總之你沒有授權出去的Token對方是無權動用的,短時間內可以先不用管它,那麼可以
嘗試先去取消對詐騙地址的授權。
長期來說,可能會擔心這個錢包除了授權外還有私鑰洩露問題,結果還是要轉走,
如果資產轉空了其實就不用擔心授權問題,因為沒錢的地址有權限也轉不出東西。
轉到別的錢包時小心別因為太緊張轉錯,會是另一個慘劇。
: 問題三:
: 請問若要繼續用硬體錢包操作DeFi,在授權前,若我的流程是「確認網址正確+確認智能: 合約地址正確」,是否有需要再額外確認 smart contract function 嗎?例如: _spend: er的地址。甚或,有沒有需要再額外確認其他的東西呢?
: 以上三點,有勞各位前輩指點迷津,在下先謝過。
--
推
推
謝
好奇硬體錢包的私鑰會怎麼外洩?
push
蠻好奇如果有approve某合約 usdc spend unlimed
日後該智能合約不需要錢包簽名就能動無限次動用usdc?
我玩DEFI半年多沒遇過會日後偷偷扣款的情況說@@
approve一個金額後,授權的地址可以在額度內使用你的Token,可以多次提,每次提會 扣額度 (unlimited = 2^256-1,很大用不完) 有權限不代表會動用,合約的話可以去看程式碼什麼情況下會動用Token。 像交易所合約你要拿USDC換ETH,常常就會一開始要你授權到MAX,之後你多次交易USDC, 交易所可以靠著一開始的授權順利扣款不用每次發授權Tx。 智能合約不會做程式碼以外的事,不過也有很多合約是寫成可以更換程式碼的型式。
多謝Ayukawayen大撥冗回一篇回答,也同問樓上推文的問題
們,再次感謝!
看來別亂授權不明合約就好 畢竟有approve的幣通常都在
做挖礦 平時沒餘額 合約被駭改代碼也不會第一波中獎XD
33
Re: [閒聊] pixel 5 扣款了以下分成兩種情況 使用(1)信用卡消費 (2)簽帳金融卡(Debit)消費 先講用信用卡消費的情形 在下訂單後,Google會先扣「信用額度」,也就是進行授權,假設當月信用額度為5萬 Pixel 5為18,990,當月額度就只會剩下$50,000-$18,990 = $31,0109
Re: [請益] 使用LGPL但打算公開原始碼之前講了一大串,覺得好像會有點混淆,最後給個簡單結論 假設你的程式使用了別人的 library,這裡暫稱為 libA,有幾種情況 1. libA 是私有授權 (例如微軟 .NET) 一般來說,你的程式可以 open source,用任何你想要的 license 但是你能否提供 libA 的 dll 給使用者,則要看 libA 的授權合約是否允許再散佈6
Re: [閒聊] 交易所翻車紀錄那要不要試試這個... 小弟剛寫的 ETH 溫錢包... 開放測試中 就只要你有一個可以離線作業的電腦,跟冷錢包有87%像, 但你也可以連上 RPC server,直接把交易簽出去。6
[閒聊] 冷錢包授權DeFi疑問新手想請教,如果用冷錢包授權DeFi交易所(Uniswap、1inch)作交易 然後之後打算直接把冷錢包丟進保險箱放個幾年不管 這樣是否有風險呢?例如去中心化交易所在技術上可以把錢轉走之類的? 還是說只要保管好私鑰,這些授權不至於給到這麼大的權限? 我知道可以透過DeBank取消權限,不過這樣要先用錢包連結DeBank5
Re: [新聞] 周杰倫NFT遭竊轉賣1500萬:我以為愚人節如果錢包的使用習慣不良是有可能被偷的 簡單說一下錢包是怎麼運作的 如果你要參與某個項目 第一次進入網站的時候要授權一些權限給網站 正常的網站是不會要奇怪的授權