Comment révoquer les autorisations des contrats intelligents ? (Sécurité du portefeuille)

Comprendre les risques liés aux autorisations contractuelles

1. Les contrats intelligents demandent souvent l'approbation pour dépenser des jetons depuis votre portefeuille, permettant aux applications décentralisées d'interagir avec vos actifs.

2. Ces approbations persistent indéfiniment à moins qu'elles ne soient révoquées manuellement, créant ainsi une exposition à long terme si le contrat est compromis ou abandonné.

3. Des contrats malveillants ou obsolètes peuvent exploiter les autorisations permanentes pour drainer des fonds sans autre interaction de l'utilisateur.

4. Les interfaces de portefeuille mettent rarement en évidence les autorisations actives, ce qui permet aux utilisateurs d'ignorer facilement les autorisations dormantes mais dangereuses.

5. Les normes de jetons comme ERC-20 définissent explicitement les mécanismes d'allocation, ce qui signifie que chaque dépensier approuvé a une adresse enregistrée et un montant en chaîne.

Identification des approbations actives

1. Les explorateurs de blockchain tels qu'Etherscan permettent aux utilisateurs d'inspecter l'historique d'approbation des jetons de leur portefeuille sous l'onglet « Approbations de jetons ».

2. Des outils tiers tels que Revoke.cash et EthTracker analysent toutes les allocations ERC-20 associées à une adresse donnée sur plusieurs réseaux.

3. Certains portefeuilles affichent les approbations en attente ou actives directement dans les paramètres, bien que cette fonctionnalité varie considérablement entre MetaMask, Trust Wallet et Phantom.

4. Les utilisateurs doivent vérifier à la fois l'adresse du dépensier et le montant approuvé. Des allocations de valeur nulle sont parfois utilisées comme espaces réservés pour des augmentations futures.

5. Les approbations sur les chaînes de couche 2 comme Arbitrum ou Base nécessitent des contrôles séparés, car elles fonctionnent sur des racines d'état distinctes et n'héritent pas des autorisations du réseau principal.

Exécution de la révocation d'autorisation

1. La révocation manuelle implique l'envoi d'une transaction qui appelle la fonction d'approbation avec une valeur nulle ciblant l'adresse spécifique du dépensier.

2. Des frais de gaz s'appliquent à chaque transaction de révocation, et la congestion du réseau peut retarder la confirmation, notamment pendant les périodes de forte activité.

3. Des outils de révocation par lots existent mais nécessitent de faire confiance à des interfaces externes ; les utilisateurs doivent vérifier le code source du contrat avant d’interagir.

4. Les extensions de portefeuille peuvent offrir des options de révocation en un clic, mais celles-ci lancent toujours des transactions en chaîne : aucune action côté client ne supprime complètement l'état de la blockchain.

5. La révocation n'affecte pas les transferts passés ou la logique contractuelle déjà exécutée ; cela empêche uniquement les dépenses futures à l’adresse spécifiée.

Mesures préventives pour une sécurité continue

1. Limitez les approbations au montant exact nécessaire au lieu d'accorder des allocations infinies, en particulier lors de l'utilisation d'agrégateurs de rendement ou de DEX.

2. Utilisez les fonctionnalités du portefeuille telles que le panneau « Sites connectés » de MetaMask pour examiner et déconnecter les dApp qui ne nécessitent plus d'accès.

3. Surveillez les déploiements de nouveaux contrats liés à des protocoles connus : les fraudeurs imitent fréquemment les interfaces légitimes pour récolter les approbations.

4. Évitez de signer des messages ou des transactions arbitraires provenant de sources non vérifiées, car certaines charges utiles de phishing intègrent des appels d'approbation cachés.

5. Auditez régulièrement l'activité du portefeuille via des explorateurs de blocs plutôt que de vous fier uniquement aux résumés de l'interface utilisateur du portefeuille, qui peuvent omettre les interactions contractuelles de bas niveau.

Foire aux questions

Q : Puis-je révoquer une approbation sans payer d'essence ? R : Non. La révocation d’une allocation ERC-20 nécessite une transaction signée sur la machine virtuelle Ethereum, qui consomme toujours du gaz.

Q : La révocation arrête-t-elle de miser les récompenses d'un protocole auquel je participe déjà ? R : Pas nécessairement. La révocation bloque uniquement les transferts de jetons initiés par le dépensier ; Les demandes de récompense ou les fonctions de démarchage peuvent s'appuyer sur différentes méthodes contractuelles.

Q : Que se passe-t-il si je révoque alors qu'une transaction est en attente ? R : La transaction en attente sera toujours exécutée si elle a été soumise avant la révocation. La révocation n'affecte que les appels futurs.

Q : Les approbations NFT sont-elles traitées de la même manière que l'ERC-20 ? R : Non. ERC-721 et ERC-1155 utilisent des fonctions différentes comme setApprovalForAll , nécessitant des modèles et des outils de révocation distincts.