今天(2024-10-17)又悲剧了,某大借贷项目被盗5000万美元的资产。
第一时候,x都在教大家怎么移除token授权,以避免黑客利用该合约漏洞去偷地址上的币。
其实,更简单直接更安全更彻底的办法就是将资产移到新地址。新地址就不会有任何授权问题了。没必要去解决老地址潜在的授权问题风险,地址上没资产了,让它有风险就有风险呗。
安全管理币一直是一个大问题,特别是参与defi挖矿成为了管理币的普遍需求后,各种defi合约漏洞真是让持币人操碎了心。
保持一些基本的操作习惯,足于让你的资产安全性提高到很高的程度。
1.管理资产的硬件设备(电脑、手机、U盘等),专用,只用于管理资产,不用于其他的工作。
2.不点击陌生的链接,不下载陌生的app,设备不外借。
3.密码设置成复杂密码。备份要做足。
4.一个地址,尽可能只和一个合约打交道,除非是几个极其安全的合约。
5.经常换地址。按时间和操作频繁度来更换地址。比如,超过半年,就要换地址,交易次数超过100次,就要换地址,都是好习惯。
6.分散资产到多个地址。
7.避免使用共同wifi,实在需要外出就用手机热点。
8.定期检查统计自己的资产,比如三个月做一次完整的资产负债表,就是非常好的习惯。
我就感觉,系统级别默认用户频繁去更换地址是一个合理的设计,就像btc那样,找零地址是默认换新地址。
这也是为什么我一直非常关注UTXO生态的defi发展的原因之一吧。
另外,现在以太坊等的智能合约托管资产,本质上是将erc20等资产从私钥控制,转移到了合约代码控制,代码总会遇到各种漏洞问题。
有没有可能资产在不会丢失私钥控制前提下实现defi呢?或者放宽一些,用于defi的被托管资产处置条件和代码一定要简单清晰。
我感觉BTC、BCH它们搞的Covenant就要比将资产托管给图灵完备的EVM代码里更安全。
我一直期待,UTXO派系能够诞生出defi,优化上述两点带来的安全性问题。
