Wie widerrufe ich Token-Genehmigungen in Phantom? (Sicherheitsaudit)

Risiken bei der Token-Genehmigung verstehen

1. Jedes Mal, wenn eine dezentrale Anwendung die Erlaubnis anfordert, die Token eines Benutzers auszugeben, generiert Phantom eine Genehmigungstransaktion, die unbefristeten Zugriff auf einen bestimmten Smart Contract gewährt.

2. Schädliche oder kompromittierte dApps können genehmigte Token ohne weitere Zustimmung entleeren, sobald die Genehmigung aktiv ist.

3. Benutzer vergessen oft alte Genehmigungen, die während früher DeFi-Experimente oder abgebrochener Testnet-Interaktionen vorgenommen wurden.

4. Phantom widerruft Genehmigungen nicht automatisch, wenn eine dApp dekotiert wird oder ihr Vertrag veraltet ist.

5. Wertvolle Token wie USDC oder ETH sind besonders anfällig, wenn sie über umfangreiche Berechtigungen für veraltete Schnittstellen verfügen.

Aktive Genehmigungen in Phantom finden

1. Öffnen Sie die Phantom-Browsererweiterung und klicken Sie auf das Wallet-Symbol in der oberen rechten Ecke.

2. Navigieren Sie zur Registerkarte „Einstellungen“ und wählen Sie dann im linken Menü „Verbundene Sites“ aus.

3. Scrollen Sie nach unten zum Abschnitt „Token-Genehmigungen“ – hier werden alle ERC-20-Verträge mit aktiven Ausgabenberechtigungen angezeigt.

4. Jeder Eintrag zeigt das Token-Symbol, die Spenderadresse, den Zuschussbetrag und den Zeitstempel der Genehmigung.

5. Phantom kategorisiert Genehmigungen standardmäßig nicht nach Kette. Benutzer müssen manuell überprüfen, ob eine Genehmigung für Ethereum, Solana oder Base vorliegt, indem sie den Netzwerkkontext überprüfen.

Manueller Widerruf über Phantom-Schnittstelle

1. Suchen Sie in der Liste der Token-Genehmigungen den Vertrag, den Sie widerrufen möchten, und klicken Sie auf das Dreipunktmenü daneben.

2. Wählen Sie „Widerrufen“ – Phantom bereitet eine standardmäßige ERC-20- approve mit einem Wert von Null vor.

3. Bestätigen Sie die Transaktion mit Ihrem Wallet-Passwort oder der Hardware-Wallet-Eingabeaufforderung.

4. Warten Sie auf die Blockchain-Bestätigung. Der Widerruf ist erst abgeschlossen, nachdem die Transaktion abgebaut und indiziert wurde.

5. Phantom zeigt keine ausstehenden Sperren an – Benutzer müssen Etherscan oder Solscan direkt überprüfen, wenn die Schnittstelle nicht sofort aktualisiert wird.

Verwendung von Tools von Drittanbietern für die Massenverwaltung

1. Mit Revoke.cash können Benutzer ihre Wallet-Adresse einfügen und alle Genehmigungen für Ethereum, Polygon und Arbitrum gleichzeitig anzeigen.

2. Jede aufgelistete Genehmigung enthält eine Ein-Klick-Schaltfläche „Widerrufen“, die eine signierte Transaktion über Phantom initiiert.

3. TokenPocket und BlockSec bieten auch Prüfberichte an, die risikoreiche Zulagen hervorheben, wie z. B. unbegrenzte Genehmigungen für nicht verifizierte Verträge.

4. Diese Tools speichern keine privaten Schlüssel – die gesamte Signierung erfolgt lokal im sicheren Kontext von Phantom.

5. Einige Genehmigungen können aufgrund vertragsspezifischer Einschränkungen, einschließlich nicht standardmäßiger ERC-20-Implementierungen oder unterbrochener Token-Übertragungen, möglicherweise nicht widerrufen werden.

Häufig gestellte Fragen

F: Wird durch den Widerruf einer Genehmigung das Abstecken von Positionen oder LP-Tokens annulliert? A: Nein. Durch den Widerruf wird nur die Ausgabeerlaubnis für externe Verträge entfernt. Abgesteckte Vermögenswerte, die in nativen Protokollen gesperrt sind, bleiben davon unberührt, es sei denn, der Absteckvertrag selbst war der genehmigte Spender.

F: Kann ich Genehmigungen widerrufen, während ich offline oder ohne Internetzugang bin? A: Nein. Der Widerruf erfordert die Übertragung einer signierten Transaktion an die Blockchain, was eine aktive Verbindung und eine Gaszahlung erfordert.

F: Warum zeigt Phantom bei einigen Genehmigungen „Unbekannter Vertrag“ an? A: Dies tritt auf, wenn die Spenderadresse nicht in der Vertragsdatenbank von Etherscan verifiziert ist oder für Menschen lesbare ABI-Metadaten fehlen. Benutzer sollten vor dem Widerruf die Adresse in Block-Explorern überprüfen.

F: Verhalten sich Solana-Token-Genehmigungen genauso wie Ethereum-Token-Genehmigungen? A: Nein. Solana verwendet vom Programm abgeleitete Konten und verlässt sich nicht auf approve im ERC-20-Stil. Phantom zeigt Solana-Berechtigungen unter „Programmautorisierungen“ an, die separat über revoke verwaltet werden, die an das zugehörige Token-Programm gesendet werden.