Comment révoquer les autorisations de jeton ? (Sécurité du portefeuille)

Comprendre les risques liés aux autorisations de jetons

1. Les contrats intelligents sur Ethereum et les chaînes compatibles EVM permettent aux jetons d'être dépensés par des adresses ou des contrats externes une fois approuvés via la fonction approuver() .

2. Les utilisateurs accordent souvent des allocations illimitées aux applications décentralisées, notamment les agrégateurs de rendement, les marchés NFT et les interfaces d'échange.

3. Les dApps compromises ou les frontends malveillants peuvent lancer des transferts non autorisés si une allocation reste active.

4. Les anciennes approbations d'il y a des années peuvent toujours être valides, exposant les fonds à des exploits même si l'utilisateur n'interagit plus avec ce protocole.

5. Les portefeuilles comme MetaMask n'avertissent pas automatiquement les utilisateurs des autorisations existantes, ce qui rend les audits manuels essentiels.

Outils de détection des approbations actives

1. Le vérificateur d'approbations de jetons d'Etherscan permet aux utilisateurs de coller l'adresse de leur portefeuille pour afficher toutes les approbations ERC-20 sur le réseau principal et sélectionner des réseaux de test.

2. Revoke.cash fournit une interface claire pour analyser, filtrer et révoquer les allocations en un seul clic, prenant en charge plus de 20 chaînes, dont Arbitrum, Polygon et Base.

3. Le scanner d'approbation de jetons de BlockSec intègre une notation des risques en temps réel, signalant les approbations à haut risque en fonction de l'état de vérification du contrat et des données d'exploitation historiques.

4. DeBank et Zerion affichent les allocations de jetons dans les tableaux de bord du portefeuille, bien que la révocation nécessite une redirection vers des outils externes.

5. Les portefeuilles compatibles WalletConnect tels que Trust Wallet intègrent l'historique des approbations directement dans la section du journal des transactions lorsqu'ils sont connectés aux dApps.

Processus de révocation étape par étape

1. Accédez à revoke.cash et connectez votre portefeuille en utilisant le même fournisseur que celui utilisé pour l'approbation initiale (par exemple, MetaMask).

2. Sélectionnez le réseau cible : les approbations sont spécifiques à la chaîne et ne peuvent pas être révoquées entre les chaînes.

3. Consultez la liste : chaque entrée affiche l'adresse du dépensier, le symbole du jeton, le montant de l'allocation et l'horodatage de la dernière interaction.

4. Cliquez sur « Révoquer » à côté des entrées suspectes ou obsolètes ; confirmez la transaction dans l'interface de votre portefeuille.

5. Attendez la confirmation du blocage : la plupart des révocations coûtent moins de 30 000 gaz et sont réglées en deux minutes sur Ethereum L1.

Prévenir les futurs risques liés aux autorisations

1. Utilisez des allocations spécifiques aux jetons au lieu d'allocations infinies : de nombreuses dApps modernes prennent en charge les approbations d'un montant exact ou limitées dans le temps.

2. Activez les restrictions au niveau du portefeuille : Rabby Wallet offre une gestion intégrée des approbations avec révocation automatique après inactivité.

3. Évitez de connecter des portefeuilles à des domaines dApp non vérifiés : même si l'interface utilisateur semble familière, les sites de phishing répliquent des interfaces légitimes pour récolter les approbations.

4. Auditez les autorisations tous les trimestres, en particulier après des mises à niveau majeures de l'écosystème ou le lancement de nouveaux jetons avec lesquels vous avez interagi.

5. Ne réutilisez jamais les phrases de départ dans des environnements de garde et d'auto-garde : des comptes d'échange compromis ont été utilisés pour déduire les adresses de portefeuille et cibler les approbations associées.

Foire aux questions

Q : Puis-je révoquer les approbations sans payer de frais d'essence ? Oui, sur des chaînes comme Polygon, Arbitrum et Optimism, les transactions de révocation coûtent souvent moins de 0,01 $. Certains outils regroupent plusieurs révocations en une seule opération à faible consommation de gaz.

Q : La révocation d'une allocation affecte-t-elle les jetons mis en jeu ou verrouillés ? Non. La révocation supprime uniquement le pouvoir de dépenser. Les positions de jalonnement, les actions du pool de liquidité et les jetons acquis restent intacts et entièrement fonctionnels.

Q : Que se passe-t-il si je révoque une allocation alors que j'utilise activement un protocole ? La dApp ne parviendra pas à exécuter les opérations de jeton suivantes jusqu'à ce que vous l'approuviez à nouveau. Cela inclut le retrait de récompenses, l’échange ou la réclamation de parachutages.

Q : Les approbations NFT sont-elles traitées de la même manière que les jetons ERC-20 ? Non. Les approbations NFT utilisent setApprovalForAll() ou per-token approuve() , nécessitant des outils distincts comme approved.site ou opensea.io/wallet/permissions pour la détection et la suppression.