Security
隐蔽后门:为什么你必须撤销权限
执行摘要:断开钱包与网站的连接并不能阻止它转移你的资金。大多数 DeFi 应用都会请求“无限权限”来花费你的代币。本指南解释了如何使用 Revoke.cash 来关闭这些危险的敞开大门。
Midjourney 提示词 (Prompts)
/imagine prompt: A futuristic bank vault door that is closed and locked, but there is a small, unnoticed ventilation shaft that is wide open, "The Hidden Backdoor" --ar 16:9/imagine prompt: A visual metaphor of "Unlimited Allowance", a stream of gold coins flowing from a user's pocket to a mysterious figure in the shadows, even though the user is walking away --ar 16:9/imagine prompt: A digital dashboard showing a list of connections, with a user clicking a red "REVOKE" button, turning the lights from red to green --ar 16:9
1. “代客泊车钥匙”类比
想象一下你去餐厅,把车钥匙给了代客泊车员。你期望他们帮你停车,然把车开回来。
但在加密领域 (DeFi),当你在 Uniswap 等网站上交易时,你不仅仅是把钥匙给了他们。你通常签署了一份合同,上面写着:
“此泊车员被允许随时取走我的车,把它卖掉,并保留所得款项,永久有效。”
这被称为 无限额度授权 (Unlimited Allowance)。
开发人员这样做是为了方便,这样你就不必每次交易都签署许可单。但如果该网站被黑(或变得恶意),即使你几年没访问过该网站,他们也可以利用该许可单清空你的钱包。
2. 误区:“断开连接”
许多用户认为,“我在 MetaMask 中点击了‘断开钱包’,所以我很安全。”
错。
断开连接只是阻止网站查看你的 余额。它并不会取消你签署的 许可单。在你取消之前,“无限授权”在区块链上永久有效。
3. 解决方案:Revoke.cash
你需要对自己钱包进行一次“安全审计”。
第 1 步:扫描你的钱包
前往 Revoke.cash。
(记住书签规则:仔细验证 URL!)。
连接你的钱包 (Ledger/MetaMask)。
第 2 步:寻找“无限” (Unlimited)
你会看到你使用过的每一个网站的列表。
查找 “Allowance” (授权额度) 这一列。
- 如果显示 “Unlimited USDT” 或像 1.15e+59 这样的巨大数字,那就是风险。
- 如果“支出者” (Spender) 是你不再使用的网站,那就是 高风险。
第 3 步:撤销它 (Revoke It)
点击 “Revoke” (撤销) 按钮。
你需要支付一小笔 Gas 费(通常为 $1-$5)。这笔交易告诉区块链:“撕毁许可单。这个网站再也不能触碰我的资金了。”
相关阅读: 这些授权是怎么来的?通常是通过 Ice Phishing (冰钓) 或受感染的 供应链 前端。
结论
良好的安全习惯是“撤销”任何你不再积极使用的应用程序的权限。锁好你的前门,但也要确保你也检查了后门。
