一个月前，Bancor因为滥用授权的defi项目而几乎亏损

在我们读完“以太坊是目前DeFi生态最大的安全隐患”一文之后，我们开始更加关注DeFi的滥用授权行为。

在这期间，很多关注资产安全的用户都来问我们一些相关的问题。人们最关心的问题之一是：

历史上是否发生过因滥用授权而导致的资产损失事件？

答案是，是的。

这不仅是理论上的，而且发生在你我身边。

让我们回顾一个真实的案例：

故事的主角是Bancor
，以太坊生态学中著名的DeFi项目

事情发生在2020年6月16日，

如果你看到这一点，你会怀疑“不久前”、“明星工程”和“巨大漏洞”这几个字是否结合在一起，一定是业界热议的话题。但你为什么没有任何印象呢？这么大的安全事故好像从来没有发生过？

把你的疑虑藏起来，让我们回到2020年6月16日。

在平常的一天，就像你我一样，Bancor团队也会在工作站上更新Bancor 0.6合同代码。一行一行的代码，这就是DeFi打算如何飞向天空的新基础设施。

但没人会想到，他们会为了几行代码而经历48小时的惊心动魄。

这是怎么回事？

原来Bancor团队的合同开发者犯了一个普通程序员通常不关心的“小错误”，

合同转移操作方法的访问权限被错误地写为public。这可能会带来灾难性的后果：任何人都有权调用此方法来执行具有合同权限的“转移”操作。

到目前为止，任何一个OKEX交易所普通用户对Bancor协议拥有无限的授权，都只能是被宰杀的羔羊。每一秒钟，他们都会面临这样的结果：他们在自己的地址上的资产被别人随意掠夺和挥霍。守则不会同情你为积累资产付出的血泪。

那么这些用户的资产就消失了？

幸运的是，这个漏洞并不是由黑客首先发现的。

班科尔的团队先于黑客，利用这个漏洞，紧急转移了用户地址中的资产，共计455349美元。

在接下来的几天里，Bancor发布了一个版本更新，并在两天后的2020年6月18日公布了事件的全部经过。与此同时，Bancor向用户道歉，承认自己犯了一个巨大的错误。

Bancor在公告中还表示，Bancor在匆忙转移用户地址上的资产的过程中造成市场波动，两个套利机器人利用该地址获利135229美元。Bancor团队要求其归还资产，但最终结果不得而知。

在这种情况下，用户在没有注意到的情况下丢失了钱，然后在没有注意到的情况下找回了钱。它既平静又危险。

至此，整个事件已告一段落。

但它应该这样结束吗？

了解了这件事后，普通用户可能会有一些反思

“对你自己的资产负责，并警惕DeFi要求你自己无限授权”

“最好将参与DeFi合同的资产单独存放”

“定期检查你的过度授权”

“到…”

但如果你仔细考虑一下，难道不应该是各个DeFi项目的业主们更应该反思一下吗？

但现实并不是你想的那样，这就像你的困惑。

为什么在DeFi项目中几乎没有讨论过这个问题？

生态圈中的“领队”为何捂着嘴？

为什么一场巨大的安全事故最终似乎从未发生过？

因为几乎所有的DFI项目方和一些钱包团队都在滥用授权，共同的利益让所有内部人士变得沉默。

他们没有纠正越权行为，也没有开始考虑风险；

相反，用户的查询被各种各样的理论所搪塞，而用户的安全则被寄托在各种各样的运气上，

但当不幸来临时，谁能站起来？

代码不会同情每个普通用户为积累资产付出了多少血泪，但人类的本能会同情。

作为开发者，作为项目方，作为应该保护安全的钱包方，我们不能对滥用授权漠不关心，也不能为了滥用授权而放弃用户安全。

永远记住，就在一个月前，大量用户幸运地丢失了钱包资产！

班科尔案

Bancor对当今智能合约漏洞
的回应https://blog.bancor.network/bancors-response-to-today-s-smart-contract-ulnerability-dc888c589fe4

三问合同代码：

https://ETHerscan.io/address/0x8dFEB86C7C962577deD19AB2050AC78654feA9F7代码

https://ETHerscan.io/address/0x5f58058c0ec971492166763c8c212632b583f6677f代码

https://ETHerscan.io/address/0x923cAb01E6a4639664aa64B76396Eec0ea7d3a5f代码

有问题的合同方法：

函数safeTransferFrom（IERC20Token_2;token，address uFrom，address Uto，uint256 Ualue）public