Comment révoquer les approbations de jetons dans Phantom ? (Audit de sécurité)

Comprendre les risques d'approbation des jetons

1. Chaque fois qu'une application décentralisée demande l'autorisation de dépenser les jetons d'un utilisateur, Phantom génère une transaction d'approbation qui accorde un accès indéfini à un contrat intelligent spécifique.

2. Les dApps malveillantes ou compromises peuvent drainer les jetons approuvés sans autre consentement une fois l'approbation active.

3. Les utilisateurs oublient souvent les anciennes approbations effectuées lors des premières expériences DeFi ou les interactions testnet abandonnées.

4. Phantom ne révoque pas automatiquement les approbations lorsqu'une dApp est supprimée de la liste ou que son contrat est obsolète.

5. Les jetons de grande valeur comme l'USDC ou l'ETH sont particulièrement vulnérables lorsqu'ils sont dotés de larges allocations sur des interfaces obsolètes.

Localisation des approbations actives dans Phantom

1. Ouvrez l'extension du navigateur Phantom et cliquez sur l'icône du portefeuille dans le coin supérieur droit.

2. Accédez à l'onglet Paramètres , puis sélectionnez Sites connectés dans le menu de gauche.

3. Faites défiler jusqu'à la section Approbations de jetons – cela affiche tous les contrats ERC-20 avec des autorisations de dépenses actives.

4. Chaque entrée affiche le symbole du jeton, l'adresse du dépensier, le montant de l'allocation et l'horodatage de l'approbation.

5. Par défaut, Phantom ne classe pas les approbations par chaîne ; les utilisateurs doivent vérifier manuellement si une approbation existe sur Ethereum, Solana ou Base en vérifiant le contexte du réseau.

Révocation manuelle via l'interface fantôme

1. Dans la liste Approbations de jetons , localisez le contrat que vous souhaitez révoquer et cliquez sur le menu à trois points à côté de celui-ci.

2. Sélectionnez Révoquer — Phantom préparera une transaction approve ERC-20 standard avec une valeur nulle.

3. Confirmez la transaction à l'aide du mot de passe de votre portefeuille ou de l'invite de votre portefeuille matériel.

4. Attendez la confirmation de la blockchain ; la révocation n'est complète qu'une fois la transaction extraite et indexée.

5. Phantom n'affiche pas les révocations en attente — les utilisateurs doivent vérifier Etherscan ou Solscan directement si l'interface ne se met pas à jour immédiatement.

Utilisation d'outils tiers pour la gestion en masse

1. Revoke.cash permet aux utilisateurs de coller l'adresse de leur portefeuille et d'afficher simultanément toutes les approbations sur Ethereum, Polygon et Arbitrum.

2. Chaque approbation répertoriée comprend un bouton « Révoquer » en un clic qui lance une transaction signée via Phantom.

3. TokenPocket et BlockSec proposent également des rapports d'audit mettant en évidence les tolérances à haut risque, telles que les approbations infinies pour les contrats non vérifiés.

4. Ces outils ne stockent pas de clés privées : toutes les signatures s'effectuent localement dans le contexte sécurisé de Phantom.

5. Certaines approbations peuvent ne pas être révoquées en raison de restrictions spécifiques au contrat, notamment des implémentations ERC-20 non standard ou des transferts de jetons suspendus.

Foire aux questions

Q : La révocation d'une approbation annule-t-elle les positions de jalonnement ou les jetons LP ? R : Non. La révocation supprime uniquement l’autorisation de dépenser pour les contrats externes. Les actifs jalonnés verrouillés dans les protocoles natifs ne sont pas affectés, sauf si le contrat de jalonnement lui-même était le dépensier approuvé.

Q : Puis-je révoquer les approbations lorsque je suis hors ligne ou sans accès à Internet ? R : Non. La révocation nécessite la diffusion d'une transaction signée sur la blockchain, ce qui nécessite une connexion active et le paiement du gaz.

Q : Pourquoi Phantom affiche-t-il « Contrat inconnu » pour certaines approbations ? R : Cela se produit lorsque l'adresse du dépensier n'est pas vérifiée dans la base de données des contrats d'Etherscan ou ne dispose pas de métadonnées ABI lisibles par l'homme. Les utilisateurs doivent vérifier l'adresse sur les explorateurs de blocs avant de la révoquer.

Q : Les approbations de jetons Solana se comportent-elles de la même manière que celles d'Ethereum ? R : Non. Solana utilise des comptes dérivés du programme et ne s'appuie pas sur des appels approve de type ERC-20. Phantom affiche les allocations Solana sous « Autorisations de programme », gérées séparément via des instructions revoke envoyées au programme de jetons associé.