Ukryta Tylna Furtka: Dlaczego musisz Odwoływać
Streszczenie: Odłączenie (Disconnect) portfela od strony internetowej NIE powstrzymuje tej strony przed zabraniem twoich pieniędzy. Większość dApps prosi o 'Nielimitowane Zezwolenie' na używanie twoich tokenów. Ten przewodnik wyjaśnia, jak używać Revoke.cash, by zamknąć te szeroko otwarte drzwi.
1. Analogia z Valet Parking
Wyobraź sobie, że jedziesz do restauracji i dajesz kluczyki parkingowemu (Valet). Oczekujesz, że zaparkuje auto i je przyprowadzi.
Ale w DeFi, handlując na stronie takiej jak Uniswap, nie tylko przekazujesz kluczyki. Często podpisujesz umowę, która mówi:
"Pozwalam temu kierowcy zabrać mój samochód w dowolnym momencie, sprzedać go i zatrzymać pieniądze. Na zawsze."
To się nazywa Nielimitowany Limit (Unlimited Allowance).
Deweloperzy robią to dla wygody, abyś nie musiał podpisywać przed każdą transakcją. Ale jeśli ta strona zostanie zhakowana (lub stanie się złośliwa), mogą użyć tego zezwolenia, by opróżnić twój portfel, nawet jeśli nie logowałeś się tam od lat.
2. Mit: "Odłączanie Portfela"
Wielu użytkowników myśli: "Kliknąłem 'Disconnect' w MetaMask, więc jestem bezpieczny."
Błąd.
Odłączenie tylko powstrzymuje stronę przed widzeniem twojego salda. Nie anuluje zezwolenia, które podpisałeś. "Unlimited Approval" pozostaje aktywne na blockchainie na zawsze, dopóki go nie odwołasz (Revoke).
3. Rozwiązanie: Revoke.cash
Musisz przeprowadzić "Audyt Bezpieczeństwa" swojego portfela.
Krok 1: Zeskanuj swój portfel
Wejdź na Revoke.cash.
(Pamiętaj o Zasadzie Zakładki: Sprawdź URL!)
Podłącz swój portfel (Ledger/MetaMask).
Krok 2: Szukaj "Unlimited"
Zobaczysz listę wszystkich stron, z których kiedykolwiek korzystałeś.
Spójrz na kolumnę Allowance (Zezwolenie).
- Jeśli jest tam "Unlimited USDT" lub ogromna liczba jak 1.15e+59, to jest ryzyko.
- Jeśli "Spender" (Wydający) to strona, której już nie używasz, jest to Wysokie Ryzyko.
Krok 3: Odwołaj (Revoke)
Kliknij przycisk "Revoke".
Będziesz musiał zapłacić małą opłatę sieciową (zazwyczaj 1-5 USD). Ta transakcja mówi blockchainowi: “Podrzyj ten kontrakt. Ta strona nie może już dotykać moich pieniędzy.”
Więcej: Skąd biorą się te zatwierdzenia? Często przez Ice Phishing lub skompromitowany Frontend w Łańcuchu Dostaw.
Wnioski
Dobra higiena bezpieczeństwa oznacza "Odwoływanie" uprawnień każdej aplikacji, której aktywnie nie używasz. Zamknij frontowe drzwi i upewnij się, że tylna furtka też jest zamknięta.
Powiązane Artykuły
Zatrucie Łańcucha Dostaw (Supply Chain Poison): Kiedy zaufane aktualizacje stają się malwarem
Nie pobrałeś nic dziwnego. Tylko zaktualizowałeś aplikację Ledger... I to był moment, w którym zniknęły pieniądze. Horror ataku na łańcuch dostaw.
Papierowa Tarcza (The Paper Shield): Jak poprawnie zabezpieczyć Seed Phrase
Zrzuty ekranu to katastrofa. Chmura to komputer kogoś innego. Jedyny bezpieczny sposób na przechowywanie kluczy prywatnych to 'Stal' i 'Papier'.
Długa Gra (The Long Con): Psychologia 'Rzezi Świń'
Nie napisała pod zły numer. I nie jest w tobie zakochana. Poznaj 'Sha Zhu Pan', najbardziej brutalne oszustwo w krypto, i dowiedz się, jak rozpoznać scenariusz.