Comment révoquer les approbations illimitées de jetons sur un contrat ?

Comprendre les approbations de jetons illimitées

1. Les approbations illimitées de jetons se produisent lorsqu'un utilisateur accorde à un contrat intelligent l'autorisation de dépenser un montant arbitraire de ses jetons ERC-20.

2. Ce mécanisme s'appuie sur la fonction d'approbation de la norme ERC-20, où la définition du paramètre de montant sur la valeur uint256 maximale (2 ^ 256 - 1) crée effectivement une allocation sans restriction.

3. De nombreuses applications décentralisées, notamment les échanges décentralisés et les protocoles d'agriculture de rendement, demandaient historiquement de telles approbations pour éviter des demandes de signature répétées lors de transactions successives.

4. Une fois accordées, ces approbations persistent jusqu'à ce qu'elles soient explicitement révoquées, même si la dApp associée n'est plus utilisée ou a été compromise.

5. Les attaquants exploitent souvent les approbations illimitées oubliées en drainant les soldes de jetons des utilisateurs via des contrats malveillants ou piratés.

Identification des approbations actives

1. Les utilisateurs peuvent inspecter leurs allocations de jetons à l'aide d'explorateurs de blockchain comme Etherscan en accédant à l'adresse de leur portefeuille et en sélectionnant l'onglet Approbations de jetons .

2. Chaque entrée d'approbation affiche l'adresse du contrat du dépensier, le symbole du jeton et le montant approuvé - des montants égaux à 115792089237316195423570985008687907853269984665640564039457584007913129639935 indiquent un accès illimité.

3. Les interfaces de portefeuille telles que MetaMask ne font pas apparaître nativement les allocations actives, nécessitant des outils externes ou des extensions de navigateur comme Revoke.cash ou EthTracker pour la visibilité.

4. La vérification du code source du contrat sur Etherscan permet de confirmer si un dépensier est légitime ou contient des fonctions suspectes telles que des modèles d'abus transferFrom .

5. Les journaux de transactions historiques révèlent quand et où les approbations ont été définies, facilitant ainsi l'analyse médico-légale après une activité suspecte.

Exécution de transactions de révocation

1. Pour révoquer une approbation illimitée, les utilisateurs doivent appeler à nouveau la fonction d'approbation sur le contrat de jeton, en spécifiant l'adresse du dépensier et un montant de 0 .

2. Cette approbation zéro écrase l'allocation précédente et désactive les transferts ultérieurs de ce dépensier, quel que soit le solde antérieur.

3. Des frais de gaz s'appliquent et la transaction doit être signée avec la même clé privée contrôlant l'adresse de détention du jeton.

4. Certains jetons implémentent la fonction d'autorisation ou utilisent EIP-2612, mais la révocation nécessite toujours d'appeler l'approbation directement sur le contrat du jeton, et non sur le dépensier.

5. Les outils de révocation par lots permettent aux utilisateurs de soumettre plusieurs transactions sans approbation en séquence, bien que chacune reste une opération distincte en chaîne.

Risques de révocation retardée

1. Le fait de détenir des approbations actives et illimitées sur des contrats compromis ou abandonnés expose les utilisateurs à une extraction silencieuse de fonds sans consentement supplémentaire.

2. Les projets Rug Pull peuvent conserver les droits d'approbation longtemps après la suppression des liquidités, permettant un drainage rétroactif si les jetons restent dans le portefeuille.

3. Les robots de pointe surveillent les approbations en attente et exécutent des transactions de drainage quelques millisecondes après qu'un portefeuille vulnérable interagit avec un contrat.

4. Les sites de phishing imitent les interfaces dApp légitimes pour inciter les utilisateurs à approuver à nouveau des allocations illimitées sous de faux prétextes.

5. Les ponts entre chaînes héritent ou dénaturent parfois les états d'approbation, ce qui entraîne des allocations involontaires sur des chaînes secondaires comme Polygon ou Arbitrum.

Foire aux questions

Q : Puis-je révoquer les approbations sans payer d'essence ? R : Non. La révocation d'une approbation nécessite d'écrire sur la blockchain via une transaction, qui consomme toujours du gaz sur les réseaux compatibles Ethereum et EVM.

Q : La révocation d'une approbation affecte-t-elle les jetons mis en jeu ou verrouillés ? R : Non. La révocation n’affecte que les autorisations de transfert. Les contrats de jalonnement gèrent les actifs via une logique interne, et non via des allocations externes, à moins qu'ils ne s'appuient explicitement sur ERC-20 transferFrom .

Q : Que se passe-t-il si je révoque une approbation alors qu'une transaction est en attente ? R : La transaction en attente échouera si elle dépend de l'allocation désormais nulle, car les chèques transferFrom seront annulés en cas d'allocation insuffisante.

Q : Les approbations NFT sont-elles traitées de la même manière ? R : Non. Les NFT suivent les normes ERC-721 ou ERC-1155, en utilisant setApprovalForAll , ce qui nécessite d'appeler cette fonction spécifique avec false pour révoquer — et non approuver .