CeFi

幣安遭點名有「代幣授權額度」風控問題!幣安:正優化質押流程以降低風險

Perry
分享
幣安遭點名有「代幣授權額度」風控問題!幣安:正優化質押流程以降低風險

鏈上數據研究組織 Dilation Effect 與吳說區塊鏈於昨日 (30) 聯合發佈了對多間交易所及機構的錢包地址點評,經檢查後發現,幣安及 Kucoin 的錢包地址有代幣授權額度不一致的情形,反應了一定的安全管理問題。

交易所及機構錢包安全性點評

此篇研究文章共點評了三個錢包地址,分別來自幣安、Kucoin 及 Jump Trading,以下將逐一點出各錢包地址所潛藏的安全問題。

1.案例一:幣安

此案例中的幣安地址為幣安資產餘額最多的地址,光在以太坊上就有 100 億美元,其他鏈加起來則有 161 億美元。

廣告 - 內文未完請往下捲動

在 Dilation Effect 使用了 Etherscan 的代幣授權工具進行初步檢查後,可發現約有 32 億美元的資產存在安全風險。

而在查看各幣種的授權額度後發現,有些幣種有限制額度,有些則無限制,授權額度的規則並不統一。

Dilation Effect 也發現 BUSD、Matic、SHIB 及 SAND 這四個餘額較大的幣種也無授權額度限制,地址餘額分別為 19 億美元、4.6 億美元、2.6 億美元及 1.4 億美元。

對於此現象 Dilation Effect 提出了三個明顯的問題:

  1. 合約的授權沒有定期清理:BUSD 的合約授權在過去兩年多沒有做清理,說明幣安在內部安全管理上缺少對這部分的注意。即便分析過相關授權合約,也該去管理與第三方協議整合帶來的風險。
  2. 大量的代幣授權額度無限制:一旦相應合約發生被攻擊的極端情況,限制授權額度將有像降低攻擊帶來的損失。
  3. 代幣授權規則不統一:有些幣種有限制額度,有些則無,說明內部安全管理不明確或沒做好分工。

案例二:Kucoin

此案例的 Kucoin 錢包地址以太坊上有 17 億美元,其他鏈加起來則有 19 億美元。

同樣使用 Etherscan 的代幣授權工具進行初步檢查後,發現約有 11 億美元的資產存在安全風險。另外也有跟幣安一樣代幣授權規則不統一的問題。

在 Dilation Effect 進行進一步檢查後,還發現兩點危險的跡象:

  1. 此地址的 APE 於去年 4 月授權給了 Multichain 的跨鏈 Router 合約,然而在 Multichain 於上周傳出團隊被捕的風波後,Kucoin 至今仍未撤銷授權,體現了 Kucoin 的風險應急處理問題。
  2. 此地址的大額幣種全部皆授權給了名為 Bridge 的合約,且代幣授權額度無限制。經 Dilation Effect 分析後,此合約為 KuCoin 社群鏈 KCC 的跨鏈橋合約,不過此合約並沒有相關的安全審計報告,同樣存在著風險。

案例三:Jump Trading

金融機構 Jump Trading 的地址在以太坊上有 1.4 億美元,其他鏈加起來則有 1.5 億美元。

在使用 Etherscan 的代幣授權工具進行初步檢查後,發現約有 2,500 萬美元的資產存在安全風險。不過其不像前述兩個案例,Jump Trading 幣種授權不多,且皆有額度限制,在安全管理上做得更好。

僅有一點需要擔心的是,其曾在 2021 年將 USDC 無限制授權給 Curve 且一直未取消。Dilation Effect 建議若不會使用到相應的合約操作,可以將授權撤回。

幣安對風險問題做出回應

其實 Dilation Effect  所做的檢查並不非常困難,若有耐心也可以參考他們的方式對錢包地址進行檢查。

而對於此份文章所提出的問題,幣安也於今日做出回應。

幣安表示團隊正在優化質押流程以降低任何潛在的智能合約風險,同時也已針對不同幣種設置了授權限額,並會於合約完成後撤銷質押許可。