악의적인 스마트 계약 권한을 발견하고 취소하는 방법은 무엇입니까? (지갑 보안)

계약 허가 위험 이해

1. 이더리움 및 EVM 호환 체인의 스마트 계약은 종종 승인() 또는 setApprovalForAll() 기능을 통해 사용자 지갑에 보관된 토큰을 사용하기 위한 승인을 요청합니다.

2. 악의적인 행위자는 합법적인 DeFi 프로토콜을 모방한 위조 계약을 배포하여 사용자를 속여 알 수 없는 주소에 무제한 허용을 허용하도록 합니다.

3. 일단 승인되면 이 계약은 추가 사용자 상호 작용 없이 언제든지 토큰을 배출할 수 있습니다. 각 인출에는 거래 서명이 필요하지 않습니다.

4. 손상된 단일 승인은 수동으로 취소하지 않는 한 수년 동안 지속될 수 있으며 초기 상호 작용을 잊어버린 후에도 자산이 노출될 수 있습니다.

5. 지갑 인터페이스는 활성 허용량을 거의 강조하지 않으므로 기술적인 지식이 없는 사용자에게는 권한 위생이 보이지 않습니다.

활성 승인 감지 도구

1. Etherscan의 토큰 승인 탭을 통해 사용자는 지갑 주소를 붙여넣고 토큰, 지출자 및 허용 금액별로 정렬된 모든 ERC-20 및 ERC-721 승인을 볼 수 있습니다.

2. Revoke.cash는 다양한 토큰에 대한 일괄 취소 지원을 포함하여 하나의 거래에서 여러 허용치를 스캔하고 취소할 수 있는 깔끔한 인터페이스를 제공합니다.

3. BlockSec의 토큰 승인 검사기는 브라우저 확장으로 MetaMask와 통합되어 dApp이 과도하거나 의심스러운 허용량을 요청할 때 실시간 경고를 표시합니다.

4. Tenderly의 대시보드는 지갑 활동과 연결된 과거 승인 이벤트를 표시하여 언제 어디서 권한이 부여되었는지에 대한 포렌식 분석을 가능하게 합니다.

5. Arbiscan 및 Basescan과 같은 블록체인 탐색기는 해당 L2 생태계에 대해 Etherscan의 승인 도구를 복제하여 체인 간 가시성을 보장합니다.

해지 메커니즘 및 가스 고려 사항

1. 수당을 취소하려면 승인(spender, 0) 을 호출하는 새 거래를 제출해야 하며 수당을 0으로 재설정해야 합니다.

2. 일부 오래된 토큰은 세션 중간에 허용량 감소를 지원하지 않습니다. 전체 취소는 현재 허용량이 요청된 값과 동일한 경우에만 성공할 수 있습니다.

3. 취소에 대한 가스 수수료는 상당히 다양합니다. 이더리움 메인넷에서는 가스 45,000~65,000달러인 반면 Arbitrum과 Base는 일반적으로 가스 10,000 미만입니다.

4. 중복된 기호(예: "USDC")가 완전히 다른 구현을 가리킬 수 있으므로 래핑되거나 브랜드 변경된 토큰과 상호 작용하는 사용자는 기본 계약 주소를 확인해야 합니다.

5. Rabby 및 Phantom과 같은 특정 지갑은 기본 철회 흐름을 UI에 직접 포함하여 타사 사이트에 대한 의존도를 줄이고 피싱 위험을 최소화합니다.

승인 프롬프트 중 행동 위험 신호

1. 해당 플랫폼에서 한 번도 사용한 적이 없는 토큰에 대해 무제한 허용을 요청하는 dApp은 즉각적인 회의론을 불러일으킬 것입니다. 심지어 평판이 좋은 프로토콜에서도 이를 거의 요구하지 않습니다.

2. 결제자 주소를 공개하지 않고 "계속 승인"이라는 팝업이 뜨거나 검증된 계약 소스 코드에 대한 링크가 표시되지 않는 경우 투명성이 떨어집니다.

3. Etherscan에서 검증된 소스 코드가 없는 계약, 낮은 거래량 또는 최근 배포된 주소(<30일)는 위험이 높습니다.

4. 지갑 연결 직후(의미 있는 상호 작용 이전)에 나타나는 프롬프트는 기능적 필요성보다는 공격적인 권한 수집을 암시합니다.

5. 애니메이션 요소 뒤의 "승인" 버튼을 가리는 인터페이스 또는 사용자가 중요한 경고를 지나 자동 스크롤하는 인터페이스는 주의 경제 취약점을 악용합니다.

자주 묻는 질문

Q: 거래를 보내지 않고 승인을 취소할 수 있나요? A: 아니요. 철회는 서명된 트랜잭션이 필요한 온체인 상태 변경입니다. 오프체인 도구는 블록체인 저장소를 변경할 수 없습니다.

Q: dApp에서 지갑 연결을 해제하면 토큰 승인이 자동으로 취소되나요? A: 아니요. 지갑 연결 해제는 세션 메타데이터만 서버합니다. 토큰 허용량은 계약 호출을 통해 명시적으로 재설정될 때까지 활성 상태로 유지됩니다.

Q: 스테이킹 포지션이 활성화된 동안 할당량을 취소하면 어떻게 되나요? A: 취소는 기존 스테이킹 잔액이나 누적 보상에 영향을 미치지 않습니다. 그러나 프로토콜이 해당 특정 허용에 의존하는 경우 향후 입금 또는 출금이 방지될 수 있습니다.

Q: NFT 승인은 ERC-20 승인과 동일한 방식으로 되돌릴 수 있습니까? 답: 그렇습니다. 컬렉션에 대한 setApprovalForAll() 승인은 동일한 메커니즘 및 가스 영향으로 setApprovalForAll(spender, false) 를 사용하여 취소할 수 있습니다.