Wie überprüfe ich Wallet-Berechtigungen und -Genehmigungen? (Sicherheitsaudit)

Grundlegendes zu Wallet-Berechtigungen und -Genehmigungen

1. Wallet-Berechtigungen stellen die Zugriffsebene dar, die dezentrale Anwendungen (dApps) haben, um mit Vermögenswerten zu interagieren, die in der Krypto-Wallet eines Benutzers gespeichert sind.

2. Genehmigungen sind On-Chain-Transaktionen, die Smart Contracts die Erlaubnis erteilen, bestimmte Token im Namen des Wallet-Inhabers auszugeben.

3. Diese Genehmigungen bleiben sitzungsübergreifend bestehen und bleiben aktiv, bis sie ausdrücklich widerrufen werden, auch wenn die dApp nicht mehr verwendet wird.

4. Jede Genehmigung wird als Transaktion auf der Blockchain aufgezeichnet und kann mit Block-Explorern wie Etherscan oder BscScan überprüft werden.

5. Ungeprüfte oder vergessene Genehmigungen stellen ein direktes Risiko dar – böswillige oder kompromittierte Verträge können genehmigte Token-Guthaben ohne weitere Zustimmung aufzehren.

Tools für die Berechtigungsprüfung

1. Mit dem Token Approvals Checker von Etherscan können Benutzer ihre Wallet-Adresse einfügen und alle ERC-20- und ERC-721-Genehmigungen im gesamten Ethereum-Mainnet und ausgewählten Layer-2-Netzwerken anzeigen.

2. Revoke.cash bietet eine saubere Schnittstelle zum Scannen, Filtern und Widerrufen von Token-Berechtigungen mit minimalen Gasgebühren und unterstützt Ethereum, Polygon, Arbitrum und Optimism.

3. Das Token-Genehmigungs-Dashboard von BlockSec fügt Sicherheitsbewertungen hinzu, indem es risikoreiche Verträge basierend auf historischen Exploits, Honeypot-Erkennung und Prüfstatus kennzeichnet.

4. Wallet-native Funktionen wie das „Connected Sites“-Panel von MetaMask zeigen aktive dApp-Verbindungen an, zeigen jedoch keine tokenspezifischen Berechtigungen an – hierfür sind externe Tools erforderlich.

5. Browser-Erweiterungen wie DeBank Guard bieten Echtzeitwarnungen, wenn eine dApp während der Transaktionssignierung übermäßige oder ungewöhnliche Genehmigungsbereiche anfordert.

On-Chain-Analysetechniken

1. Bei jeder Token-Genehmigung handelt es sich um einen Approve-Aufruf (Adresse des Spenders, uint256-Betrag), der im Transaktionsverlauf des Wallets gemäß dem entsprechenden Token-Vertrag protokolliert wird.

2. Mit Etherscan können Benutzer zur Registerkarte „Token-Transfers“ ihrer Wallet navigieren und dann in der Spalte „Methode“ nach „Genehmigen“ filtern, um Genehmigungsereignisse zu isolieren.

3. Das Feld „An“ zeigt die Adresse des Spenders an – den Vertrag, der berechtigt ist, Token zu verschieben – und sollte mit bekannten Projektadressen abgeglichen werden.

4. Unendliche Genehmigungen (Betrag = 2^256 − 1) weisen auf eine maximale Delegation hin und erfordern sofortige Aufmerksamkeit; Genehmigungen begrenzter Beträge können immer noch gefährlich sein, wenn der Geldgeber nicht vertrauenswürdig ist.

5. Historische Transaktionszeitstempel helfen dabei, veraltete Berechtigungen zu identifizieren – Genehmigungen, die älter als sechs Monate sind und für die keine anschließende Interaktion erforderlich ist.

Risikoindikatoren in Genehmigungsunterlagen

1. Eine Spenderadresse mit null verifiziertem Quellcode auf Etherscan signalisiert Verschleierung und erhöht die Wahrscheinlichkeit einer böswilligen Absicht.

2. Bei Verträgen, die über Proxy-Muster ohne transparente Aktualisierbarkeits-Governance bereitgestellt werden, fehlt häufig die Verantwortung für den Missbrauch von Berechtigungen.

3. Mehrere Genehmigungen für verschiedene Verträge mit derselben Eigentümeradresse deuten auf eine koordinierte Kontrolle und potenzielle Zentralisierungsrisiken hin.

4. Hochfrequente Kleinbetragstransfers, die durch einen genehmigten Vertrag initiiert werden, können auf ein automatisiertes Entleerungsverhalten hinweisen, das als legitime Aktivität getarnt wird.

5. Genehmigungen, die an Token mit geringer Liquidität oder ohne Handelshistorie an wichtigen DEXs gebunden sind, korrelieren oft mit der Rug-Pull-Infrastruktur.

Häufig gestellte Fragen

F: Kann ich eine Genehmigung widerrufen, ohne Gasgebühren zu zahlen? A: Nein. Der Widerruf einer Genehmigung erfordert eine Blockchain-Transaktion, für die immer Gasgebühren anfallen. Einige Tools stapeln Sperren, um die Gesamtkosten zu reduzieren, aber jede Stornierung ist ein separater Schreibvorgang.

F: Entfernt das Trennen einer dApp von MetaMask die Token-Genehmigungen? A: Nein. Durch das Trennen der Verbindung wird nur die Sitzungsverbindung getrennt. Token-Berechtigungen bleiben unverändert und voll funktionsfähig, sofern sie nicht manuell in der Kette widerrufen werden.

F: Sind NFT-Genehmigungen genauso sichtbar wie ERC-20-Genehmigungen? A: ERC-721-Genehmigungen erscheinen separat in Transaktionsprotokollen und verwenden Funktionen wie setApprovalForAll . Sie müssen mit NFT-spezifischen Scannern wie „Kontoeinstellungen > Wallet-Berechtigungen“ von OpenSea oder der NFT-Registerkarte von Etherscan überprüft werden.

F: Warum fordern einige dApps vor jedem Austausch eine Genehmigung an? A: Dieses Verhalten weist oft auf ein schlechtes Frontend-Design oder die bewusste Vermeidung unendlicher Berechtigungen hin. Dies bedeutet keine höhere Sicherheit – es verlagert lediglich die Belastung durch wiederholtes Signieren, ohne sich mit der zugrunde liegenden Berechtigungshygiene zu befassen.