Comment vérifier les autorisations et approbations du portefeuille ? (Audit de sécurité)

Comprendre les autorisations et approbations du portefeuille

1. Les autorisations du portefeuille représentent le niveau d'accès dont disposent les applications décentralisées (dApps) pour interagir avec les actifs stockés dans le portefeuille crypto d'un utilisateur.

2. Les approbations sont des transactions en chaîne qui autorisent les contrats intelligents à dépenser des jetons spécifiques au nom du propriétaire du portefeuille.

3. Ces approbations persistent au fil des sessions et restent actives jusqu'à ce qu'elles soient explicitement révoquées, même si la dApp n'est plus utilisée.

4. Chaque approbation est enregistrée comme une transaction sur la blockchain et peut être vérifiée à l'aide d'explorateurs de blocs comme Etherscan ou BscScan.

5. Les approbations non contrôlées ou oubliées présentent un risque direct : des contrats malveillants ou compromis peuvent drainer les soldes symboliques approuvés sans autre consentement.

Outils d’audit des autorisations

1. Le vérificateur d'approbations de jetons d'Etherscan permet aux utilisateurs de coller l'adresse de leur portefeuille et d'afficher toutes les approbations ERC-20 et ERC-721 sur le réseau principal Ethereum et de sélectionner les réseaux de couche 2.

2. Revoke.cash fournit une interface claire pour analyser, filtrer et révoquer les allocations de jetons avec des frais de gaz minimes, prenant en charge Ethereum, Polygon, Arbitrum et Optimism.

3. Le tableau de bord d'approbation des jetons de BlockSec ajoute un score de sécurité en signalant les contrats à haut risque en fonction des exploits historiques, de la détection des pots de miel et de l'état d'audit.

4. Les fonctionnalités natives du portefeuille telles que le panneau « Sites connectés » de MetaMask affichent les connexions dApp actives mais n'affichent pas les allocations spécifiques aux jetons ; cela nécessite des outils externes.

5. Les extensions de navigateur telles que DeBank Guard offrent des alertes en temps réel lorsqu'une dApp demande des portées d'approbation excessives ou inhabituelles lors de la signature d'une transaction.

Techniques d'analyse en chaîne

1. Chaque approbation de jeton est un appel d'approbation (adresse du dépensier, montant uint256) enregistré dans l'historique des transactions du portefeuille dans le cadre du contrat de jeton concerné.

2. À l'aide d'Etherscan, les utilisateurs peuvent accéder à l'onglet « Transferts de jetons » de leur portefeuille, puis filtrer par « Approuver » dans la colonne « Méthode » pour isoler les événements d'allocation.

3. Le champ « À » révèle l'adresse du dépensier (le contrat autorisé à déplacer les jetons) et doit être recoupé avec les adresses de projet connues.

4. Les approbations infinies (montant = 2 ^ 256 − 1) indiquent une délégation maximale et nécessitent une attention immédiate ; les approbations d’un montant limité peuvent toujours être dangereuses si le dépensier n’est pas digne de confiance.

5. Les horodatages historiques des transactions aident à identifier les autorisations obsolètes : les approbations datant de plus de six mois sans interaction ultérieure méritent un examen minutieux.

Indicateurs de risque dans les dossiers d'approbation

1. Une adresse de dépensier sans code source vérifié sur Etherscan signale une obscurcissement et augmente la probabilité d'intention malveillante.

2. Les contrats déployés via des modèles de proxy sans gouvernance transparente de l'évolutivité manquent souvent de responsabilité en cas d'utilisation abusive des autorisations.

3. Les approbations multiples accordées à différents contrats partageant la même adresse de propriétaire suggèrent un contrôle coordonné et des risques potentiels de centralisation.

4. Les transferts de faible valeur à haute fréquence initiés par un contrat approuvé peuvent indiquer un comportement de drainage automatisé masqué comme une activité légitime.

5. Les approbations liées à des jetons à faible liquidité ou sans historique de négociation sur les principaux DEX sont souvent en corrélation avec une infrastructure de type rug-pull.

Foire aux questions

Q : Puis-je révoquer une approbation sans payer de frais d'essence ? R : Non. La révocation d’une approbation nécessite une transaction blockchain, qui entraîne toujours des frais de gaz. Certains outils effectuent des révocations par lots pour réduire les coûts cumulés, mais chaque annulation est une opération d'écriture distincte.

Q : La déconnexion d'une dApp de MetaMask supprime-t-elle les approbations de jetons ? R : Non. La déconnexion rompt uniquement le lien de session. Les allocations de jetons restent inchangées et entièrement fonctionnelles à moins qu'elles ne soient révoquées manuellement en chaîne.

Q : Les approbations NFT sont-elles visibles de la même manière que les approbations ERC-20 ? R : Les approbations ERC-721 apparaissent séparément dans les journaux de transactions et utilisent des fonctions telles que setApprovalForAll . Ils doivent être audités à l'aide de scanners spécifiques à NFT comme « Paramètres du compte > Autorisations du portefeuille » d'OpenSea ou l'onglet NFT d'Etherscan.

Q : Pourquoi certaines dApps demandent-elles une approbation avant chaque échange ? R : Ce comportement indique souvent une mauvaise conception du frontend ou un évitement délibéré des allocations infinies. Cela n’implique pas une sécurité plus élevée : cela déplace simplement le fardeau des signatures répétées sans aborder l’hygiène sous-jacente des autorisations.