Скасувати право токена: Як захистити свої активи у Web3

Ринок Web3 стрімко розвивається, але разом із цим зростають і небезпеки. Від атак на смарт-контракти до шахрайських додатків — будь-який необережний клік може призвести до втрати всього вашого майна. Щоб захистити себе, вам потрібно добре розуміти інструмент безпеки під назвою revoke — один із найважливіших заходів профілактики, який повинен знати кожен користувач криптовалют.

Чому важливо надавати та відкликати права на токени у DeFi?

Коли ви використовуєте децентралізовані фінансові додатки (dApp), такі як кредитування, фермерство або обмін токенів, ви повинні надати смарт-контракту дозвіл на виконання транзакцій від вашого імені. Однак багато хто не усвідомлює, що це право може бути надано безстроково — дозволяючи dApp доступ і використання ваших токенів у будь-який час.

За даними звіту з безпеки SlowMist за першу половину 2022 року, на крипторинку сталося 187 інцидентів безпеки, що спричинили збитки понад 1,976 мільярдів доларів США. Більшість з цих випадків можна було запобігти регулярною перевіркою та відкликанням непотрібних дозволів.

Наприклад, у січні 2022 року Qubit Finance зазнав атаки хакерів із збитками до 80 мільйонів доларів США. Якщо б користувачі відкликали дозволи після завершення транзакції, ці збитки можна було б значно зменшити або уникнути повністю.

Що таке Approval Token і які потенційні ризики?

Approval Token — це право, яке ви надаєте блокчейн-додаткам для взаємодії з вашими токенами у гаманці. Коли ви погоджуєтеся з запитом “Allow” у Metamask або іншому гаманці, ви фактично дозволяєте смарт-контракту доступ до ваших активів без додаткового запиту.

Найбільша проблема полягає в тому, що багато dApp запитують необмежений доступ (unlimited allowance) до всіх токенів у гаманці. Така настройка дуже небезпечна, якщо:

• додаток ще не підтверджено або ви вперше про нього чуєте
• смарт-контракт має вразливості або був зламаний
• сайт є складною шахрайською схемою

Наприклад, у лютому 2022 року сталася фішинг-атака на OpenSea, що спричинила збитки близько 3 мільйонів доларів США. Постраждалі не усвідомлювали, що підписали дозвіл на необмежений доступ для підробленого додатку.

Як працює revoke?

Revoke — це дія скасування або відкликання раніше наданих дозволів смарт-контракту. Насправді, revoke — не нове поняття. Пол Берк, експерт з безпеки блокчейну, описав спосіб його реалізації на Devcon 5. Пізніше платформи, такі як Uniswap, Curve.fi і Zapper.fi, намагалися інтегрувати цю функцію, але стикнулися з проблемами високих комісій gas і обмеженої підтримки блокчейнів.

Зрештою, для ефективного управління цим були створені спеціальні інструменти, такі як Revoke.cash, Unrekt і Cointool. Основні цілі revoke:

1. Моніторинг: перегляд усіх дозволів, які ви надали додаткам і смарт-контрактам
2. Відкликання: повне скасування доступу dApp до активів у гаманці
3. Обмеження: оновлення ліміту використання коштів dApp замість повного скасування

Популярні інструменти для revoke

Існує багато платформ і інструментів для виконання revoke у різних блокчейнах:

• Revoke.cash: підтримує Ethereum та більшість EVM-блокчейнів, вимагає плату за gas
• Unrekt: сумісний з BNB Chain, Arbitrum, Polygon та іншими
• Approved.zone: спеціалізується для Ethereum mainnet
• BSCscan: підтримує смарт-контракти на BSC
• Beefy: інструмент управління для BSC
• Debank: підтримує багато блокчейнів, включаючи Ethereum, BSC, xDai, Fantom, Polygon
• Hyperjump UnRekt: для BSC і Fantom
• Polygonscan: інструмент для Polygon

Кожен інструмент має свій інтерфейс, але базовий процес однаковий: підключити гаманець, переглянути дозволи і обрати ті, що потрібно revoke.

Детальна інструкція з revoke через Metamask

Крок 1 — Відкрийте сайт: запустіть браузер і перейдіть на Revoke.cash

Крок 2 — Підключіть гаманець: натисніть кнопку “Connect” у правому верхньому куті, оберіть Metamask із списку підтримуваних гаманців

Крок 3 — Перегляньте дозволи: сайт покаже список усіх наданих дозволів, включно з назвою dApp, типом токена і лімітом

Крок 4 — Оберіть і revoke: виберіть дозволи для скасування і натисніть “Revoke”. Якщо потрібно лише обмежити суму, натисніть “Update”

Крок 5 — Підпишіть підтвердження: Metamask запросить підписати транзакцію. Перевірте вартість gas і натисніть підтвердити

Крок 6 — Очікуйте завершення: транзакція буде оброблена у блокчейні. Після завершення дозволи будуть скасовані

Як revoke робиться безпосередньо у Ethereum: покрокова інструкція

Також можна revoke безпосередньо у блокчейні без використання сторонніх інструментів:

Крок 1: Відкрийте блокчейн-експлорер, наприклад Etherscan (для Ethereum)

Крок 2: Знайдіть смарт-контракт токена або dApp, для якого потрібно revoke

Крок 3: Перейдіть у розділ “Write Contract”, підключіть гаманець Metamask

Крок 4: Знайдіть функцію “approve” або “revoke” у списку функцій

Крок 5: Введіть адресу смарт-контракту, для якого потрібно revoke, і встановіть значення 0

Крок 6: Підпишіть транзакцію у гаманці

Цей спосіб може бути складнішим для новачків, але дає повний контроль і не вимагає довіри до сторонніх сервісів.

Часті питання про revoke токенів

Чи впливає revoke на мою діяльність у DeFi?

Ні, revoke — це лише скасування дозволів доступу і не впливає на ваші інвестиційні стратегії або фермерство. Це допомагає зменшити ризики від сторонніх додатків.

Якщо я відключу гаманець від dApp, потрібно revoke?

Так, потрібно. Відключення лише припиняє поточне з’єднання, але дозволи залишаються. Тому revoke — єдиний спосіб повністю скасувати доступ.

Чи автоматично закінчуються дозволи на токени?

Ніколи. Дозволи залишаються активними до моменту їх відкликання. Тому важливо регулярно перевіряти і очищати непотрібні дозволи.

Чи коштує revoke грошей?

Так, за кожну транзакцію потрібно платити gas. Вартість залежить від навантаження мережі на момент виконання.

Підсумки

Revoke токенів — один із базових навичок безпеки для будь-якого користувача криптовалют. З розвитком Web3 і DeFi зростають і ризики безпеки. Виконання revoke не займає багато часу, але може врятувати вас від значних втрат.

Регулярно перевіряйте дозволи, відкликайте старі або непотрібні, і надавайте доступ лише перевіреним додаткам. Це додасть ще один рівень захисту ваших цифрових активів у таких блокчейнах, як Ethereum, Polygon, BSC і не тільки.