探索 Trust Wallet 如何透過更安全的用戶體驗和工具為超過 2 億用戶解決代幣授權風險。作者:Eve Lam,Trust Wallet 資訊安全長。
潛伏在你錢包中的隱形風險
代幣授權是 Web3 中最容易被忽視的威脅之一。每次你連接錢包並授權去中心化應用程式(dApp)存取你的代幣時,你通常都在授予無限期的存取權限。隨著時間推移,這些授權在背景中悄悄累積。大多數用戶甚至不知道它們的存在,事實上,根據 Revoke 的報告,自 2020 年以來,已有超過 4.75 億美元因授權漏洞和攻擊而被盜。在我們看來,這不僅僅是技術上的缺口,更是用戶體驗的失敗和安全盲點,對於即將進入 Web3 的下一波用戶來說,這是他們不應該承擔的風險。
安全領先是任何錢包提供商的核心責任——擁有超過 1,500 萬月活躍用戶和超過 2 億次下載,這是 Trust Wallet 完全擁抱的責任。解決代幣授權問題是這一承諾的一部分,確保為所有依賴我們的人提供更強大的保護,並幫助建立更安全的 Web3 生態系統。
為什麼無限授權成為常態
當你使用去中心化應用程式(dApp)時,除非你通過代幣授權交易給予許可,否則它無法移動你的代幣。授權允許智能合約代表你花費你的代幣。大多數 dApp 要求無限授權,這樣你就不必每次都進行授權。一旦授予,這些授權會在鏈上保持活躍狀態,直到你撤銷它們。
這種便利是有代價的:代幣授權默認是無聲的、永久的且有風險的。用戶在不知情的情況下給予 dApp 無限存取權。錢包很少顯示或解釋這些許可。攻擊者會利用它們——通常是在授權被授予很久之後。
授權風險如何隨時間累積
現實世界的威脅通常遵循這些模式。惡意行為者可能會欺騙你向有害合約授予無限授權。如果你的錢包當時是空的,你可能看不出問題。之後,當你存入資金時,合約會立即耗盡它們。或者,一個曾經受信任的合約變得受損,將安全許可轉變為危險的漏洞。
更令人擔憂的是,在當今大多數錢包中,查看或管理代幣授權並不容易。普通用戶很難找出哪些合約可以存取他們的資產,更不用說評估哪些是高風險的。
機會:以正確方式構建的原生工具
大多數錢包缺乏原生、用戶友好的界面來審查和管理代幣授權。有些依賴第三方工具或將許可深埋在設置中——如果有的話。結果,用戶通常不知道哪些合約擁有持續存取權。
在 Trust Wallet,我們認識到這一差距——並正在努力彌合它。這就是為什麼代幣授權管理在今年第四季度的路線圖上:構建以擴展為目標,精心設計,並以安全優先的精確度發布。我們的願景是打造一個智能、以用戶為中心的儀表板,將複雜的區塊鏈許可簡化為清晰、可操作的見解。
EIP-7702 如何幫助降低授權風險
減少用戶需要進行的授權數量與良好管理它們同樣重要。EIP-7702 旨在通過允許錢包在一個安全會話中模擬和預先批准所有必要操作來幫助解決這個問題。你只需簽名一次,中繼器就會在背景中處理授權和預期交易。
使用 7702:
- 錢包模擬所有必需的授權和交易。
- 用戶簽署一個會話意圖。
- 授權和操作一起執行。
- 減少"批准"彈窗,減少長期存在的無限授權。
簡而言之,7702 簡化了用戶體驗,同時減少了對風險性、永久性許可的需求。
將授權衛生重新思考為日常用戶體驗
控制代幣授權應該感覺像人們為了在線安全而進行的其他常規檢查一樣自然。當這個過程集成到正常的錢包使用中時,效果最佳,而不是作為用戶必須記住的單獨任務。
Trust Wallet 正在構建功能,使這種維護變得容易:不引人注目的提醒以審查活躍授權,對可能有風險或過時的合約的視覺提示,在不活動後自動過期存取的選項,以及在一個地方清晰列出每個活躍許可的儀表板。當這些保障措施成為常規流程的一部分時,用戶無需額外努力即可保持受保護狀態。
錢包作為守護者,而非僅僅是界面
代幣授權是一個更大問題的一部分:錢包如何做更多來保護用戶?
在 Trust Wallet,安全嵌入到我們構建的一切中。我們的安全掃描器主動檢測已知的詐騙和惡意合約,在危險授權和 dApp 連接發生之前阻止它們。自 2023 年以來,我們已阻止超過 4.58 億美元流向惡意合約,並幫助恢復了超過 200 萬美元的被盜資金。
我們是第一個獲得 ISO/IEC 27001 和 27701 認證的主要自託管錢包,符合國際認可的安全和隱私標準。
同樣的原則將指導我們的代幣授權工具:內置的保護,而非外加的。
展望未來:為下一個 2 億用戶構建
我們的責任不僅僅是維護我們已經構建的內容——還關乎為下一波 Web3 用戶及其將面臨的挑戰做準備。這意味著繼續推出消除摩擦並加強安全性的功能,例如更好的默認設置和更智能的自動化,我們擴展中的生物識別登錄,使用 FlexGas 的跨鏈簡化,使 Gas 費可以用用戶已持有的代幣支付等。
考慮到我們所涵蓋的一切,不言而喻,地平線上最重要的發展之一是我們的原生代幣授權管理。這將為每個用戶提供清晰的視圖,顯示哪些合約可以存取他們的代幣,突出潛在風險,並使撤銷或調整許可變得快速簡單。當與我們其他安全和可用性進步結合時,它將幫助確保更多數百萬人能夠以更大的信心探索 Web3。
這種方法融入了我們的觀點,即錢包不僅僅是工具,它們本質上是 Web3 的伴侶。它們應該抽象複雜性,顯示風險,並在不損害用戶安全的情況下創造機會。
結語
代幣授權不應該是隱形的、永久的,或者是用戶損失資金的原因。通過更智能的工具、更安全的默認設置和內置保護,我們可以使這種風險成為過去。在 Trust Wallet,我們為今天的用戶和下一個 2 億用戶構建——因為這種規模帶來了領導的責任。
敬請期待。一個更安全、更智能的錢包體驗即將到來。
文章《你錢包中的隱藏危險:代幣授權解析》首次發表於 BeInCrypto。
來源:https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
