Entdecken Sie, wie Trust Wallet Token-Genehmigungsrisiken mit sicherer UX und Tools für über 200 Millionen Nutzer angeht. Von Eve Lam, CISO bei Trust Wallet.
Das unsichtbare Risiko in Ihrer Wallet
Token-Genehmigungen gehören zu den am meisten übersehenen Bedrohungen im Web3. Jedes Mal, wenn Sie Ihre Wallet verbinden und einer dApp den Zugriff auf Ihre Token erlauben, gewähren Sie oft unbegrenzten Zugriff. Mit der Zeit sammeln sich diese Genehmigungen still im Hintergrund an. Die meisten Benutzer wissen nicht einmal, dass sie existieren, und tatsächlich wurden laut Revoke seit 2020 über 475 Millionen Dollar durch gemeldete Genehmigungshacks und Exploits gestohlen. In unseren Augen ist das mehr als eine technische Lücke. Es ist eher ein UX-Versagen und ein Sicherheitsblindfleck, und für die nächste Welle von Benutzern, die ins Web3 einsteigen, ist es ein Risiko, das sie nicht tragen sollten.
Sicherheit zu gewährleisten ist eine Kernverantwortung für jeden Wallet-Anbieter – und mit über 15 Millionen monatlich aktiven Benutzern und mehr als 200 Millionen Downloads ist es eine Verantwortung, die Trust Wallet vollständig übernimmt. Die Behebung des Problems mit Token-Genehmigungen ist Teil dieser Verpflichtung, um einen stärkeren Schutz für alle zu gewährleisten, die sich auf uns verlassen, und um ein sichereres Web3-Ökosystem aufzubauen.
Warum unbegrenzte Genehmigungen zur Norm wurden
Wenn Sie eine dezentrale Applikation (DApp) verwenden, kann diese Ihre Token nicht bewegen, es sei denn, Sie erteilen die Erlaubnis durch eine Token-Genehmigungstransaktion. Genehmigungen erlauben einem Smart-Contract ( Intelligenter Vertrag), Ihre Token in Ihrem Namen auszugeben. Die meisten DApps fordern unbegrenzte Genehmigung an, damit Sie nicht jedes Mal zustimmen müssen. Einmal erteilt, bleiben diese Genehmigungen On-Chain aktiv, bis Sie sie widerrufen.
Diese Bequemlichkeit hat ihren Preis: Token-Genehmigungen sind standardmäßig still, dauerhaft und riskant. Benutzer gewähren DApps unbegrenzten Zugriff, ohne es zu merken. Wallets zeigen oder erklären diese Berechtigungen selten. Angreifer nutzen sie aus – oft lange nachdem die Genehmigung erteilt wurde.
Wie sich das Genehmigungsrisiko im Laufe der Zeit aufbaut
Bedrohungen aus der realen Welt folgen oft diesen Mustern. Ein bösartiger Akteur kann Sie dazu verleiten, einem schädlichen Kontrakt unbegrenzte Genehmigung zu erteilen. Sie sehen möglicherweise kein Problem, wenn Ihre Wallet zu diesem Zeitpunkt leer ist. Später, wenn Sie Geld einzahlen, leert der Kontrakt sie sofort. Oder ein einst vertrauenswürdiger Kontrakt wird kompromittiert und verwandelt eine sichere Berechtigung in eine gefährliche Schwachstelle.
Noch besorgniserregender ist, dass es in den meisten Wallets heute nicht einfach ist, Token-Genehmigungen einzusehen oder zu verwalten. Der durchschnittliche Benutzer würde Schwierigkeiten haben herauszufinden, welche Kontrakte Zugriff auf ihre Vermögenswerte haben, geschweige denn zu beurteilen, welche ein hohes Risiko darstellen.
Die Chance: Native Tools, richtig gebaut
Den meisten Wallets fehlt eine native, benutzerfreundliche Oberfläche zum Überprüfen und Verwalten von Token-Genehmigungen. Einige verlassen sich auf Drittanbieterplattformen oder verstecken Berechtigungen tief in den Einstellungen – wenn überhaupt. Infolgedessen sind sich Benutzer oft nicht bewusst, welche Kontrakte fortlaufenden Zugriff haben.
Bei Trust Wallet erkennen wir die Lücke – und wir arbeiten daran, sie zu schließen. Deshalb steht das Token-Genehmigungsmanagement auf unserer Roadmap für das vierte Quartal dieses Jahres: skalierbar gebaut, sorgfältig gestaltet und mit sicherheitsorientierter Präzision veröffentlicht. Unsere Vision ist ein intelligentes, benutzerzentriertes Dashboard, das komplexe Blockchain-Berechtigungen in klare, umsetzbare Erkenntnisse vereinfacht.
Wie EIP-7702 hilft, das Genehmigungsrisiko zu reduzieren
Die Reduzierung der Anzahl der Genehmigungen, die ein Benutzer erteilen muss, kann genauso wichtig sein wie ihre gute Verwaltung. EIP-7702 soll dabei helfen, indem es der Wallet ermöglicht, alle notwendigen Aktionen in einer sicheren Sitzung zu simulieren und vorab zu genehmigen. Sie unterschreiben einmal, und der Relayer kümmert sich im Hintergrund sowohl um die Genehmigung als auch um die beabsichtigte Transaktion.
Mit 7702:
- Die Wallet simuliert alle erforderlichen Genehmigungen und Transaktionen.
- Der Benutzer unterschreibt eine Sitzungsabsicht.
- Sowohl die Genehmigung als auch die Aktion werden zusammen ausgeführt.
- Weniger "Genehmigen"-Pop-ups, weniger anhaltende unbegrenzte Genehmigungen.
Kurz gesagt, 7702 optimiert die UX und reduziert gleichzeitig den Bedarf an riskanten, dauerhaften Berechtigungen.
Genehmigungshygiene als alltägliche UX neu denken
Die Kontrolle über Token-Genehmigungen sollte sich so natürlich anfühlen wie andere Routineprüfungen, die Menschen durchführen, um online sicher zu bleiben. Der Prozess funktioniert am besten, wenn er in die normale Wallet-Nutzung integriert ist, anstatt als separate Aufgabe, an die sich der Benutzer erinnern muss.
Trust Wallet entwickelt Funktionen, um diese Wartung einfach zu machen: unauffällige Erinnerungen zur Überprüfung aktiver Genehmigungen, visuelle Hinweise für Kontrakte, die riskant oder veraltet sein könnten, Optionen zum automatischen Ablauf des Zugriffs nach Inaktivität und ein Dashboard, das jede aktive Berechtigung an einem Ort übersichtlich auflistet. Wenn diese Schutzmaßnahmen Teil des regulären Ablaufs sind, können Benutzer ohne zusätzlichen Aufwand geschützt bleiben.
Wallets als Wächter, nicht nur als Schnittstellen
Token-Genehmigungen sind ein Teil einer größeren Frage: Wie können Wallets mehr tun, um Benutzer zu schützen?
Bei Trust Wallet ist Sicherheit in alles eingebettet, was wir bauen. Unser Sicherheitsscanner erkennt proaktiv bekannte Betrügereien und bösartige Kontrakte und blockiert gefährliche Genehmigungen und DApp-Verbindungen, bevor sie passieren. Seit 2023 haben wir über 458 Millionen Dollar daran gehindert, bösartige Kontrakte zu erreichen, und geholfen, mehr als 2 Millionen Dollar an gestohlenen Geldern wiederzuerlangen.
Wir waren die erste große Self-Custody Wallet, die die ISO/IEC 27001- und 27701-Zertifizierung erreicht hat und damit international anerkannte Standards für Sicherheit und Datenschutz erfüllt.
Das gleiche Prinzip wird unsere Token-Genehmigungstools leiten: Schutz, der eingebaut ist, nicht nachträglich hinzugefügt.
Ausblick: Aufbau für die nächsten 200 Millionen
Unsere Verantwortung geht über die Wartung dessen hinaus, was wir bereits aufgebaut haben – es geht darum, sich auf die nächste Welle von Web3-Benutzern und die Herausforderungen vorzubereiten, denen sie gegenüberstehen werden. Das bedeutet, weiterhin Funktionen einzuführen, die Reibung reduzieren und die Sicherheit stärken, wie bessere Standardeinstellungen und intelligentere Automatisierung, biometrische Anmeldung in unserer Erweiterung, Cross-Chain-Einfachheit mit FlexGas, damit Gas in Token bezahlt werden kann, die Benutzer bereits besitzen, usw.
Mit allem, was wir behandelt haben, versteht es sich von selbst, dass eine der wichtigsten Entwicklungen am Horizont unser natives Token-Genehmigungsmanagement ist. Dies wird jedem Benutzer einen klaren Überblick darüber geben, welche Kontrakte auf ihre Token zugreifen können, potenzielle Risiken hervorheben und das Widerrufen oder Anpassen von Berechtigungen schnell und einfach machen. In Verbindung mit unseren anderen Sicherheits- und Benutzerfreundlichkeitsfortschritten wird es dazu beitragen, dass Millionen weiterer Menschen Web3 mit viel mehr Vertrauen erkunden können.
Dieser Ansatz fließt in unsere Ansicht ein, dass Wallets nicht nur Werkzeuge sind, sondern im Wesentlichen Web3-Begleiter. Sie sollten Komplexität abstrahieren, Risiken aufzeigen und Chancen ermöglichen, ohne die Sicherheit des Benutzers zu gefährden.
Abschließende Gedanken
Token-Genehmigungen sollten nicht unsichtbar, dauerhaft oder der Grund sein, warum Benutzer Gelder verlieren. Mit intelligenteren Tools, sichereren Standardeinstellungen und eingebauten Schutzmaßnahmen können wir dieses Risiko zu einer Sache der Vergangenheit machen. Bei Trust Wallet bauen wir für die heutigen Benutzer und die nächsten 200 Millionen – denn mit dieser Größenordnung kommt die Verantwortung zu führen.
Bleiben Sie dran. Eine sicherere, intelligentere Wallet-Erfahrung ist auf dem Weg.
Der Beitrag Die versteckte Gefahr in Ihrer Wallet: Token-Genehmigungen erklärt erschien zuerst auf BeInCrypto.
Quelle: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
