Kupuj kryptowaluty BLIKiem ⚡
Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.
Aby odpiąć uprawnienia smart kontraktów od swojego portfela za pomocą narzędzia Revoke Cash, wejdź na jego oficjalną stronę, podłącz swój portfel i kliknij przycisk odwołania obok niechcianych autoryzacji tokenów. Proces ten wymaga potwierdzenia transakcji w interfejsie i uiszczenia drobnej opłaty sieciowej, która nadpisuje limit wydatków danego kontraktu do zera w rejestrze blockchain. Wiele osób całkowicie ignoruje ten mechanizm zarządzania ryzykiem. To błąd. Poważny błąd.
Kiedy wchodzisz w interakcję ze zdecentralizowanymi aplikacjami, takimi jak giełdy DEX czy platformy pożyczkowe, system wymusza na tobie podpisanie transakcji zatwierdzającej. Nazywamy to token allowance. Zgadzasz się wtedy, żeby obcy kod źródłowy miał prawo przesuwać twoje środki bez twojej bezpośredniej zgody w przyszłości. Prawda jest zresztą absolutnie taka, że większość interfejsów dApps domyślnie prosi o nielimitowany dostęp do twoich tokenów ERC-20. Robią to by oszczędzić ci kosztów gasu przy kolejnych swapach. Wygoda wygrywa z bezpieczeństwem. Zostawiasz otwarte drzwi do swojego sejfu.
- Dlaczego token approvals to największe zagrożenie dla portfela Web3?
- Revoke Cash – jak odpiąć uprawnienia smart kontraktów od swojego portfela krok po kroku?
- Czy cofanie uprawnień kosztuje i dlaczego musisz płacić za gas?
- Jakie są najczęstsze oszustwa i ataki phishingowe na nielimitowane autoryzacje?
- Alternatywy dla Revoke.cash. Czy skanery w Etherscan wystarczą?
Dlaczego token approvals to największe zagrożenie dla portfela Web3?
Zrozumienie technicznych podstaw standardu ERC-20 jest absolutnie niezbędne do przetrwania na tym rynku. Kiedy kupujesz tokeny na Uniswap, smart kontrakt giełdy nie bierze ich z twojego portfela w sposób magiczny. Najpierw wywołujesz funkcję approve. Mówisz sieci Ethereum, że ten konkretny adres ma prawo wydać określoną liczbę twoich monet. Zdecydowana większość użytkowników klika zatwierdź bez czytania wartości. Udzielają zgody na przesłanie miliardów jednostek danego aktywa.
Wyobraź sobie sytuację, w której deweloperzy popularnej platformy popełniają błąd w kodzie. Haker znajduje lukę. Przejmuje kontrolę nad głównym kontraktem. Ponieważ wcześniej dałeś temu kontraktowi nielimitowane uprawnienia, atakujący po prostu wywołuje funkcję transferFrom i czyści twoje subkonto do zera. Zwykłe kliknięcie disconnect na stronie aplikacji to kompletna BZDURA w kontekście bezpieczeństwa. Odłączenie portfela usuwa tylko sesję w przeglądarce. Uprawnienie na blockchainie zostaje nietknięte. Haker w ogóle nie potrzebuje twojej przeglądarki do kradzieży.
Różnica między odłączeniem portfela od strony a cofnięciem kontraktu
Musimy to jasno rozdzielić. Ludzie przenoszą nawyki z tradycyjnego internetu do Web3. Myślą, że wylogowanie się ze strony załatwia sprawę. To działało w starym systemie bankowym. Na blockchainie stan sieci jest permanentny. Dopóki nie wyślesz nowej transakcji, która zmieni wartość twojego allowance z nieskończoności na zero, kontrakt ma do niego dostęp. Zawsze. W dzień i w nocy.
| Rodzaj akcji | Odłączenie od dApp (Disconnect) | Odpięcie uprawnień (Revoke) |
| Gdzie działa | Lokalnie w przeglądarce i pamięci portfela | Globalnie w publicznym rejestrze blockchain |
| Koszt operacji | Całkowicie darmowe | Wymaga opłacenia transakcji (Gas fee) |
| Poziom bezpieczeństwa | Żaden. Chroni tylko przed śledzeniem IP i ciasteczkami | Wysoki. Fizycznie blokuje transfer tokenów przez osoby trzecie |
Pamiętam zresztą awarię na wdrożeniu u jednego z klientów w zeszłym roku. Dzwoni do mnie o trzeciej nad ranem. Przerażony. Twierdzi, że zniknęło mu z konta kilkadziesiąt tysięcy USDC. Wchodzę w logi Etherscanu. Patrzę. A tam wisi nielimitowana autoryzacja dla jakiegoś losowego kontraktu z dAppa do farmienia yieldów, o którym chłop dawno zapomniał. Zrobiliśmy szybki audyt. Odpięliśmy to ręcznie przez interfejs. Ale kasy już nie było. Złodziej zdążył wyprowadzić kapitał przez protokół Tornado Cash. To są właśnie te momenty, kiedy człowiek uświadamia sobie, że to całe zdecentralizowane finanse trzymają się na ślinę i dobre chęci anonimowych programistów.
Revoke Cash – jak odpiąć uprawnienia smart kontraktów od swojego portfela krok po kroku?
Narzędzie to skanuje wszystkie sieci kompatybilne z maszyną wirtualną Ethereum (EVM). Analizuje historię twoich transakcji i wyciąga na wierzch każdą aktywną autoryzację. Widzisz czarno na białym, kto ma dostęp do twoich pieniędzy. Obsługa jest prosta, ale wymaga skupienia.
Zmieniliśmy te procedury u nas w biurze po fali ataków phishingowych. Kiedyś audytowaliśmy portfele ręcznie przez eksploratory bloków. Dzisiaj używamy agregatorów. Zobacz jak to zrobić poprawnie.
- Krok 1: Weryfikacja adresu URL. Wpisz adres ręcznie. Phisherzy masowo wykupują reklamy w wyszukiwarkach i podstawiają fałszywe interfejsy. Zawsze sprawdzaj certyfikat domeny. Zawsze.
- Krok 2: Podpięcie portfela. Wybierz odpowiednią sieć.
- Krok 3: Analiza tabeli wyników. Posortuj listę według wielkości zagrożenia. System pokazuje ci nazwę tokena, adres kontraktu autoryzowanego i przyznany limit. Szukaj wartości oznaczonych jako “Unlimited”. Zwróć szczególną uwagę na kontrakty bez zweryfikowanej nazwy. Zwykłe ciągi znaków to czerwona flaga.
- Krok 4: Uruchomienie rewokacji. Klikasz przycisk obok wybranego tokena. Twój portfel wyskoczy z prośbą o podpis. Potwierdzasz transakcję. Czekasz na potwierdzenie sieci.
Wielu użytkowników pyta nas o częstotliwość takich czyszczeń. My robimy to rutynowo raz w tygodniu na portfelach operacyjnych. Na kontach typu cold storage nie trzymamy żadnych aktywnych uprawnień. Zero. Jeśli używasz sprzętowego Ledgera lub Trezora, autoryzuj transakcje tylko na czas wykonania swapa. Potem od razu wchodzisz i resetujesz limit. To uciążliwe. Kosztuje dodatkowe dolary. Ale chroni kapitał przed utratą z powodu błędów w architekturze DeFi.
Z jakimi portfelami kryptowalutowymi współpracuje to narzędzie?
Aplikacja obsługuje w zasadzie każdy portfel wspierający standard WalletConnect oraz rozszerzenia przeglądarkowe. Działa z MetaMask, Trust Wallet, Rabby, Coinbase Wallet. Nie ma znaczenia, z jakiego softu korzystasz. Znaczenie ma to, czy portfel poprawnie symuluje transakcje przed jej podpisaniem. Rabby na przykład pokazuje ci dokładnie zmianę stanu przed wysłaniem paczki w sieć. MetaMask też zaczął to robić po ostatnich aktualizacjach. Podgląd symulacji to twoja ostatnia linia obrony przed podpisaniem złośliwego kontraktu drainera.
Czy cofanie uprawnień kosztuje i dlaczego musisz płacić za gas?
Tak. Płacisz. Każda zmiana stanu w blockchainie wymaga uiszczenia opłaty dla walidatorów. Odwołanie allowance to technicznie wywołanie funkcji approve z wartością ustawioną na 0. Wysyłasz dane do sieci. Sieć musi te dane przetworzyć i zapisać w nowym bloku. Nie da się tego ominąć.
Wielu początkujących inwestorów buntuje się przeciwko tym kosztom. Zostawiają otwarte autoryzacje, bo szkoda im zapłacić 3 dolarów za gas na głównej sieci Ethereum. Chociaż prawdę mówiąc brakuje nam twardych danych za wczorajsze obciążenie sieci głównej, więc wydaje się to tylko jedną z możliwych hipotez na najbliższy kwartał, że opłaty drastycznie spadną. Na razie musisz płacić. Traktuj to jako polisę ubezpieczeniową. Zostawienie nielimitowanego dostępu do tokenów wycenianych na kilkadziesiąt tysięcy złotych, żeby zaoszczędzić równowartość kawy, to skrajna nieodpowiedzialność. Na sieciach warstwy drugiej, takich jak Arbitrum, Optimism czy Polygon, koszty te wynoszą ułamki centów. Tam nie masz absolutnie żadnej wymówki.
Jak oszczędzać na opłatach sieciowych podczas czyszczenia portfela?
Monitoruj ceny gasu. Używaj trackerów. Wykonuj operacje czyszczenia w weekendy wcześnie rano czasu europejskiego. Wtedy sieć w USA śpi, a Azja powoli kończy dzień. Opłaty spadają o połowę. Zgrupuj swoje działania. Jeśli masz do odpięcia pięć różnych kontraktów, zrób to w jednym oknie czasowym, kiedy gwei jest nisko. Niektóre zaawansowane portfele smart contract pozwalają na batche transakcji, ale w przypadku standardowych kont EOA (Externally Owned Account) musisz klikać i płacić za każdą pozycję z osobna.
Jakie są najczęstsze oszustwa i ataki phishingowe na nielimitowane autoryzacje?
Złodzieje żerują na ludzkiej chciwości i pośpiechu. Najczęstszy scenariusz wygląda tak. Dostajesz wiadomość na Discordzie lub widzisz post na X informujący o nagłym, darmowym airdropie. Wchodzisz na stronę. Wygląda identycznie jak oryginalny portal znanego projektu. Klikasz przycisk “Claim Tokens”. Portfel prosi cię o podpis.
I tu pojawia się pułapka. Myślisz, że podpisujesz odbiór darmowych monet. W rzeczywistości atakujący podstawił ci do podpisania funkcję approve lub permit, dającą jego smart kontraktowi pełen dostęp do twoich najcenniejszych tokenów. Kiedy zorientujesz się w błędzie, jest już za późno. Skrypty działają w ułamkach sekund. Opróżniają twój portfel zanim zdążysz odświeżyć stronę. Zastanawiacie się zresztą, dlaczego to na produkcji tak wyje na testach po drodze? Sam się nad tym borykałem dzisiaj u siebie we wtorek. Hakerzy automatyzują wszystko. Mają boty nasłuchujące w mempoolu na twoją autoryzację. Gdy tylko ją zobaczą, od razu wypychają transakcję kradnącą środki z wyższym priorytetem opłaty za gas.
Inny wariant to zatruwanie historii transakcji (Address Poisoning). Złodziej wysyła ci transakcję na kwotę 0 z adresu, który wizualnie przypomina twój własny. Liczy na to, że przy kolejnym przelewie skopiujesz jego adres z historii portfela. To nie ma bezpośredniego związku z allowance, ale pokazuje metodykę działania przestępców. Grają na twoim braku uwagi.
Alternatywy dla Revoke.cash. Czy skanery w Etherscan wystarczą?
Nie jesteś skazany na jedną aplikację. Sam Etherscan posiada wbudowane narzędzie Token Approval Checker. Znajdziesz je w zakładce “More” na stronie głównej eksploratora. Działa dokładnie na tej samej zasadzie. Podłączasz portfel Web3 i czyścisz listę. Z technicznego punktu widzenia oba narzędzia wywołują tę samą funkcję w kontrakcie tokena.
Dlaczego więc ludzie preferują zewnętrzne agregatory? Interfejs użytkownika. Etherscan jest surowy. Wyświetla dane w formie technicznej tabeli, która dla nowicjuszy bywa mało czytelna. Dedykowane aplikacje grupują tokeny, podciągają aktualne ceny z wyroczni cenowych i jasno oznaczają znane oszustwa. Pokazują też uprawnienia do tokenów NFT (ERC-721 i ERC-1155), co jest równie groźnym wektorem ataku. Setki ludzi straciło cenne kolekcje Bored Apes, bo zostawili otwarte uprawnienia na starych i zapomnianych rynkach NFT, które potem zostały zhakowane.
Istnieje też Rabby Wallet. Wbudowali oni mechanizm rewokacji bezpośrednio w interfejs portfela. Nie musisz wchodzić na żadne zewnętrzne strony. Klikasz zakładkę w rozszerzeniu, widzisz listę i czyścisz. To najbezpieczniejsza opcja, bo eliminuje ryzyko wejścia na fałszywą stronę czyszczącą. Tak, dobrze słyszysz. Oszuści tworzą fałszywe strony do cofania uprawnień, które zamiast usuwać dostępy, kradną resztę środków. Rynek to dżungla.
Jeżeli chcesz zachować środki na tym rynku na dłużej niż jeden cykl hossy, wyrób sobie nawyk. Zrób audyt swojego portfela już dzisiaj. Wejdź na oficjalną stronę, sprawdź co wisi w rejestrze i wyczyść wszystko, czego nie używałeś przez ostatnie 30 dni. Nie ufaj nikomu. Kod to prawo, a prawo na blockchainie jest bezlitosne dla tych, którzy nie czytają tego, co podpisują.
Bibliografia:
1. Etherscan – https://etherscan.io
2. Revoke Cash – https://revoke.cash
3. Ethereum Foundation – https://ethereum.org
4. MetaMask – https://metamask.io
Kupuj kryptowaluty BLIKiem ⚡
Błyskawiczne wpłaty bez opłat i prowizji na giełdzie OKX.
