ccryptoo 1 1645524843
新聞

NFT 與 Defi 玩家必學!輕鬆「撤銷」智能合約授權、防止惡意與漏洞偷竊

NFT 和 Defi 的世界裡,經常傳出駭客盜取用戶資產的不法案件。本文將介紹三項小工具,讓讀者輕鬆檢視並撤銷與你錢包互動的智能合約,幫助你在暢遊加密世界的同時,保護好自己的數位資產。
(前情提要: OpenSea新遷移合約驚現bug?用戶NFT損失達2億美元!官方:是釣魚不是被駭
(背景補充: 慢霧回顧|2021 年度區塊鏈安全事件 : DeFi NFT 交易所…全球損失超 98億美元

 

日,NFT 市場龍頭 Opensea 驚傳遭釣魚攻擊,部分用戶疑似因點擊惡意連結,眾多高價值 NFT 項目如 BAYC、MAYC、Azuki、Cool Cats、Doodles 遭到盜用轉移,損失估計超過 2 億美元

NFT 和 Defi 的世界裡,類似事件層出不窮,用戶除了要小心審核網路上的智能合約授權,如果有發生問題或是不確定用途的授權,也要記得執行撤銷(revoke)以防萬一。

本文,動區將為您介紹三項實用的小工具,幫助你檢視自己的去中心化錢包目前所授權的智能合約,以及教你如何取消或更改這些授權,保障自己珍貴的加密資產。

。Debank
。Etherscan Token Approval
。Revoke

Dapp 授權的風險

當用戶在區塊鏈的世界中使用去中心化應用程式(Decentralized Application, Dapp)時,無論是進行 NFT 交易、DeFi 應用,亦或是鏈遊,常常要授權 Dapp 同意花費該代幣。而為了用戶的使用體驗,避免過度頻繁的授權請求,這些 Dapp 通常會在一開始便向用戶要求「無限授權」,一開始就簽署(sign)同意讓 Dapp 管理錢包資產的合約。

然而,無限授權有其缺點,當授權平台背後的智能合約有漏洞、或是駭客使用釣魚網站時,不法份子便有可能對用戶資產造成威脅。因此,在使用平台功能過後,適時地撤銷這些授權,將有助於保護用戶安全。

註:釣魚網站是指用於欺騙用戶的虛假網站。它的頁面與真實網站基本相同,詐騙者以此來竊取用戶的私鑰或助記詞。

三個撤銷授權的工具

為了撤銷智能合約的授權,通常需要第三方平台的協助,以下將介紹三個常用的工具,並以 Metamask 錢包作為示範,幫助你瞭解各工具進行合約撤銷的步驟。

註:除了 Debank 有支援多鏈之外,另外兩個工具僅支援以太坊ETH)區塊鏈。

1. Debank【傳送門

Step 1:

在進入 Debank 網頁之後,請點擊右上角的「Login via web3 wallet」按鈕,並連結你的去中心化錢包

ccryptoo 1 1645524844

Step 2:

點選下方選項欄中的「Approval」,便可以看到你在各區塊鏈上的合約授權。通常一般合約在 Approved amount 欄位中會顯示:Infinite ( 無限授權之意 )。

註:下圖選擇 Ethereum,Debank 提供 19 條鏈的查詢,如果你有使用其他鏈,需要手動點擊查詢

Step 3:

接下來,選擇你想要取消授權的合約,並點擊右方的「Decline」按鈕。

ccryptoo 1 1645524845

Step 4:

接下來,在跳出的確認頁面中,檢查你原先授予合約的無限授權被更改為 0(下圖示範是 0 FTM,代表該合約無法再挪用使用者先前授權的代幣。)

確認為數值為 0 後,點擊右下角的確認,即可完成「授權撤銷」。

註:取消授權必須支付一定金額的手續費,執行前請先確認你的錢包中有做為手續費的代幣。下圖使用以太坊網路和 Fantom 網路作為示範。

ccryptoo 1 1645524846

Step 5:

完成後回到步驟 2. 的頁面中,你就可以看到原先的合約授權遭到撤除了。

註:鏈上處理通常需要一些時間,請稍等一下再重新整理網頁


2. Etherscan Token Approval【傳送門

Step 1:

在進入 Etherscan 的 Token Approval 功能頁之後,請點擊左下角的「Connect to Web3」按鈕,並在跳出頁面中,連結你的去中心化錢包(此處以 Metamask 作示範)。

ccryptoo 1 1645524847

Step 2:

成功連結錢包後,下方就會出現你有授權的合約。你還可以在上方欄位中,選擇你想瀏覽的常見通用標準(ERC-721 或 ERC-1155 是 NFT 常用的標準)。

接著選擇你想取消授權的合約。按下 Revoke 按鈕之後,在跳出頁面中再按一次 Revoke。

ccryptoo 1 1645524848

Step 3:

接下來,在跳出的確認頁面中,檢查你原先授予合約的無限授權被更改為 0(下圖示範是 0 FTM,代表該合約無法再動用使用者先前授權的代幣。)

確認為數值為 0 後,點擊右下角的確認,即可完成「授權撤銷」。

註:取消授權必須支付一定金額的手續費,執行前請先確認你的錢包中有做為手續費的代幣。

ccryptoo 1 1645524849

Step 4:

完成後回到步驟 2. 的頁面中,你就可以看到原先的合約授權遭到撤除了。

註:鏈上處理通常需要一些時間,請稍等一下再重新整理網頁


3. Revoke【傳送門

Step 1:

在進入Revoke 官網之後,請點擊右上角的「Connect wallet」按鈕,並在跳出頁面中,連結你的去中心化錢包(此處以 Metamask 作示範)。

ccryptoo 1 1645524849 1

Step 2:

成功連結錢包後,下方就會出現你有授權的合約。你還可以在上方選項中,選擇查看與你錢包互動的代幣或是 NFTs 合約。

接著選擇你想取消授權的合約,輸入數字 0,並按下右方的 Revoke 按鈕。

ccryptoo 1 1645524850

Step 3:

接下來,在跳出的確認頁面中,檢查你原先授予合約的授權被更改為 0(下圖示範是 0 FTM,代表該合約無法再動用使用者先前授權的代幣。)

確認為數值為 0 後,點擊右下角的確認,即可完成「授權撤銷」。

註:取消授權必須支付一定金額的手續費,執行前請先確認你的錢包中有做為手續費的代幣。

ccryptoo 1 1645524851

Step 4:

完成後回到步驟 2. 的頁面中,你就可以看到原先的合約授權遭到撤除了。

註:鏈上處理通常需要一些時間,請稍等一下再重新整理網頁


使用錢包的小叮嚀

最後,動區特別整理出以下幾項你在使用加密錢包時的安全建議,建議您可以確實遵守確,以保護好個人的珍貴資產:

  1. 永遠不要在陌生或不信任的電腦、行動裝置上登入錢包
  2. 保存好個人私鑰,切記不將私鑰展示或告訴任何人
  3. 不向包括客戶服務在內的其他人(可能是詐騙份子假扮)透露任何安全信息
  4. 不要隨便 Approve/ Confirm 錢包交易,尤其是不知名的項目
  5. 不要輕易掃描二維碼、點擊來源不明的鏈接
  6. 不要瀏覽來路不明的網站,特別不能輕易授權錢包權限
  7. 授權合約時,記得確認你正在瀏覽的網站是否是正確的(釣魚網站可能會使用很接近的名稱)

📍