本文由?Dilation?Effect?與吳說(shuō)區(qū)塊鏈共同發(fā)布。

主流交易所和機(jī)構(gòu)在網(wǎng)絡(luò)安全防護(hù)上無(wú)疑都投入了大量資金和人力，Dilation Effect 無(wú)法得知這些機(jī)構(gòu)內(nèi)部的安全水平和實(shí)施細(xì)節(jié)，但出于好奇，我們想嘗試通過(guò)公開(kāi)信息來(lái)對(duì)這些機(jī)構(gòu)錢(qián)包地址做簡(jiǎn)單分析，見(jiàn)微知著，從普通用戶(hù)角度來(lái)考量這些地址是否存在潛在安全風(fēng)險(xiǎn)，以及潛在風(fēng)險(xiǎn)敞口有多大。

本次快閃點(diǎn)評(píng)的數(shù)據(jù)全部來(lái)源于 Etherscan 、Debank 等公開(kāi)服務(wù)。

1、分析對(duì)象選擇

查看 Etherscan 的 Top 1000 Accounts，挑出其中打了標(biāo)簽的機(jī)構(gòu)地址。

2、分析維度選取

由于不了解這些交易所和機(jī)構(gòu)生成和管理錢(qián)包的技術(shù)細(xì)節(jié)，該如何對(duì)地址的安全性做分析？Dilation Effect 這次選取的維度是分析這些地址的合約授權(quán)情況。

因?yàn)榈刂繁粣阂夂霞s騙取授權(quán)或者授權(quán)過(guò)的合約存在漏洞而導(dǎo)致被盜幣是很常見(jiàn)的攻擊。限制授權(quán)額度、定期清理授權(quán)已經(jīng)成為最佳安全實(shí)踐。那么這些大型交易所的地址做的如何呢，我們隨機(jī)挑選幾個(gè)地址來(lái)做分析。

案例一

地址：

Binance?8?(0xF977814e90dA44bFA03b6295A0616a897441aceC)?

這是 Binance 余額最大的錢(qián)包地址，ETH鏈為100億美金，其他鏈加起來(lái)一共161億美金。部分資產(chǎn)截圖如下：

查看此地址在 ETH 鏈的合約授權(quán)情況，發(fā)現(xiàn)提示 32 億美金存在風(fēng)險(xiǎn)。當(dāng)然這里并不是說(shuō)一定存在確定性安全風(fēng)險(xiǎn)，這只是一種潛在風(fēng)險(xiǎn)敞口的可能性描述。

那么我們具體來(lái)看看此地址是如何做授權(quán)的，比如什么幣種授權(quán)給了什么合約，授權(quán)額度如何。以下摘錄部分查詢(xún)結(jié)果。

這時(shí)我們會(huì)發(fā)現(xiàn)一個(gè)奇怪的現(xiàn)象，就是這個(gè)地址上有的幣種限制了授權(quán)額度，有的幣種卻直接無(wú)限制，授權(quán)額度規(guī)則看起來(lái)并不統(tǒng)一。我們特別關(guān)注到 BUSD、Matic、SHIB、SAND 這幾個(gè)余額較大的幣種，地址余額分別為 19 億美金、4.6 億美金、2.6 億美金、1.4 億美金，相關(guān)授權(quán)記錄如下：

這里存在幾個(gè)明顯的問(wèn)題：

一是對(duì)合約的授權(quán)沒(méi)有定期清理。比如針對(duì) BUSD 的合約授權(quán)，兩年多過(guò)去了都沒(méi)做過(guò)清理，要么沒(méi)關(guān)注到要么覺(jué)得沒(méi)必要。這說(shuō)明 Binance 在內(nèi)部安全管理上缺少對(duì)這塊的系統(tǒng)覆蓋。也許有人會(huì)說(shuō)，已經(jīng)分析過(guò)相關(guān)授權(quán)合約發(fā)現(xiàn)這些合約能做的操作有限，相對(duì)安全。但我們想說(shuō)的是，這里首先并不是單純的技術(shù)問(wèn)題，而更多是安全管理的問(wèn)題。即 Binance 在這里該如何全面系統(tǒng)的去管理第三方合約帶來(lái)的風(fēng)險(xiǎn)，我們認(rèn)為可以做的更嚴(yán)格深入。其實(shí)如果仔細(xì)看，你會(huì)發(fā)現(xiàn) Aave: Lending Pool V2 是個(gè)可升級(jí)的代理合約，假如（我是說(shuō)假如）Aave 合約被攻擊，這里就是 19 億美金的損失。

二是大量的幣種授權(quán)額度無(wú)限制。一旦發(fā)生相應(yīng)合約被攻擊的極端情況，如果限制了授權(quán)額度會(huì)相應(yīng)的降低風(fēng)險(xiǎn)。這同樣暴露出 Binance 在內(nèi)部安全管理上缺少對(duì)這塊的系統(tǒng)覆蓋。當(dāng)然你會(huì)說(shuō)這都是極端情況，但是對(duì) Crypto 行業(yè)來(lái)說(shuō)很多小概率事情歷史上就發(fā)生了。我們需要提高風(fēng)險(xiǎn)敏感度，對(duì)風(fēng)險(xiǎn)要保持極度的厭惡是非常必要的。

三是幣種授權(quán)規(guī)則不統(tǒng)一，有些幣種限制了額度，有些完全沒(méi)限制額度，動(dòng)作不統(tǒng)一。這說(shuō)明 Binance 內(nèi)部安全管理操作不明確，或者內(nèi)部團(tuán)隊(duì)沒(méi)有做好分工配合。

另外我們也很好奇，資產(chǎn)余額規(guī)模如此巨大的地址，為何要頻繁參與 Defi合約的操作呢？Binance 是否可以做出更細(xì)粒度的地址規(guī)劃和隔離設(shè)計(jì)呢？

案例二

地址：

Kucoin?6?(0xD6216fC19DB775Df9774a6E33526131dA7D19a2c)

這是 Kucoin 交易所的地址，其 ETH 鏈上有17億美金，其他鏈加起來(lái)19億美金。此地址資產(chǎn)截圖如下：

查看此地址在 ETH 鏈的合約授權(quán)情況，發(fā)現(xiàn)提示 11 億美金存在風(fēng)險(xiǎn)。同樣的，這并不是指一定存在安全風(fēng)險(xiǎn)，而只是一種潛在風(fēng)險(xiǎn)敞口的可能性描述。

那么具體來(lái)看看 Kucoin 這個(gè)地址的授權(quán)情況。

哇！我們又發(fā)現(xiàn)了一些有意思的東西。

1、此地址的 APE 幣種在 2022-04-02 授權(quán)給了 Multichain 的跨鏈 Router 合約，大家應(yīng)該知道前幾天 Multichain 出現(xiàn)了不可抗力因素的事件，但 Kucoin 并沒(méi)有在第一時(shí)間取消對(duì) Multichain 合約的授權(quán)。這體現(xiàn)出 Kucoin 在風(fēng)險(xiǎn)應(yīng)急響應(yīng)上還存在改進(jìn)空間。

2、此地址的大金額幣種 USDT（5億美金）、USDC（2.9億美金）、KCS（4.8億美金）?等全部都授權(quán)給了名為 Bridge 的合約，且授權(quán)額度完全無(wú)限制。簡(jiǎn)單分析后發(fā)現(xiàn) Bridge 是 KuCoin 社區(qū)鏈 KCC 的跨鏈橋合約，但在 KCC 的官網(wǎng)上查看搜索，并沒(méi)有發(fā)現(xiàn)相關(guān)的安全審計(jì)報(bào)告，這不禁又讓人心一慌。大家還記得 BNB Chain 的 200萬(wàn)枚BNB 攻擊事件嗎？

案例三

地址：

Jump?Trading?(0xf584F8728B874a6a5c7A8d4d387C9aae9172D621)

這是機(jī)構(gòu) Jump Trading 的地址，其 ETH 鏈上有 1.4 億美金，其他鏈加起來(lái) 1.5 億美金。此地址資產(chǎn)截圖如下：

查看此地址在 ETH 鏈的合約授權(quán)情況，發(fā)現(xiàn)提示 2500 萬(wàn)美金存在風(fēng)險(xiǎn)。同樣的，這并不是指一定存在安全風(fēng)險(xiǎn)，而只是一種潛在風(fēng)險(xiǎn)敞口的可能性描述。

那么具體來(lái)看看?Jump?Trading?這個(gè)地址的授權(quán)情況。

可以發(fā)現(xiàn)此地址上幣種的授權(quán)不多，而且絕大部分的授權(quán)都做了額度限制，總體上管理得還不錯(cuò)。

但是 USDC 幣種在 2021-02-04 授權(quán)給了 Curve 合約，未設(shè)置限額，且一直未取消。這一點(diǎn)需要做出提醒，如果不需要對(duì)應(yīng)的合約操作，建議立即取消對(duì)此合約的授權(quán)。

總結(jié)

這次的快閃點(diǎn)評(píng)到這里就結(jié)束了。Dilation Effect 隨機(jī)抽取了幾個(gè)交易所和機(jī)構(gòu)地址做分析，從結(jié)果來(lái)看，這些機(jī)構(gòu)在合約授權(quán)方面做得并不是很完美，希望我們的分析能給相關(guān)機(jī)構(gòu)提供參考。沒(méi)有抽取到地址的交易所和機(jī)構(gòu)，也可以參考上文中的分析過(guò)程來(lái)檢查是否存在類(lèi)似問(wèn)題。

熱點(diǎn)：幣安 錢(qián)包