Scopri come Trust Wallet affronta i rischi di approvazione dei token con UX più sicura e strumenti per oltre 200 milioni di utenti. Di Eve Lam, CISO di Trust Wallet.
Il Rischio Invisibile Nascosto nel Tuo Portafoglio
Le approvazioni dei token sono una delle minacce più trascurate nel Web3. Ogni volta che connetti il tuo portafoglio e autorizzi una DApp ad accedere ai tuoi token, spesso concedi un accesso indefinito. Nel tempo, queste approvazioni si accumulano silenziosamente in background. La maggior parte degli utenti non sa nemmeno che esistono e, infatti, secondo Revoke, sono stati rubati oltre 475 milioni di dollari dal 2020 in hack e sfruttamenti di approvazioni segnalati. Questo è più di una lacuna tecnica ai nostri occhi. È più un fallimento dell'esperienza dell'utente e un punto cieco della sicurezza, e per la prossima ondata di utenti che entrano nel Web3, è un rischio che non dovrebbero dover sopportare.
Essere leader nella sicurezza è una responsabilità fondamentale per qualsiasi fornitore di portafoglio—e con oltre 15 milioni di utenti attivi mensili e più di 200 milioni di download, è una responsabilità che Trust Wallet abbraccia pienamente. Risolvere il problema delle approvazioni dei token fa parte di questo impegno, garantendo una protezione più forte per tutti coloro che si affidano a noi e contribuendo a costruire un ecosistema Web3 più sicuro.
Perché le Approvazioni Infinite Sono Diventate la Norma
Quando utilizzi un'applicazione decentralizzata (DApp), questa non può spostare i tuoi token a meno che tu non dia il permesso attraverso una transazione di approvazione del token. Le approvazioni consentono a uno smart contract di spendere i tuoi token per tuo conto. La maggior parte delle DApp richiede approvazione illimitata così non devi approvare ogni volta. Una volta concesse, queste approvazioni rimangono attive on-chain finché non le revochi.
Questa comodità ha un costo: le approvazioni dei token sono silenziose, permanenti e rischiose per impostazione predefinita. Gli utenti danno alle DApp accesso illimitato senza rendersene conto. I portafogli raramente mostrano o spiegano queste autorizzazioni. Gli attaccanti le sfruttano—spesso molto tempo dopo che l'approvazione è stata concessa.
Come il Rischio di Approvazione Aumenta nel Tempo
Le minacce del mondo reale seguono spesso questi schemi. Un attore malintenzionato potrebbe ingannarti facendoti concedere un'approvazione illimitata a un contratto dannoso. Potresti non vedere alcun problema se il tuo portafoglio è vuoto in quel momento. Successivamente, quando depositi fondi, il contratto li prosciuga istantaneamente. Oppure, un contratto una volta affidabile viene compromesso, trasformando un'autorizzazione sicura in una pericolosa vulnerabilità.
Ancora più preoccupante è che nella maggior parte dei portafogli oggi, non è facile visualizzare o gestire le approvazioni dei token. L'utente medio faticherebbe a scoprire quali contratti hanno accesso ai propri asset, figuriamoci valutare quali sono ad alto rischio.
L'Opportunità: Strumenti Nativi, Costruiti nel Modo Giusto
La maggior parte dei portafogli manca di un'interfaccia nativa e user-friendly per rivedere e gestire le approvazioni dei token. Alcuni si affidano a strumenti di terze parti o nascondono le autorizzazioni nelle impostazioni—se lo fanno. Di conseguenza, gli utenti spesso non sono consapevoli di quali contratti abbiano accesso continuo.
In Trust Wallet, riconosciamo questa lacuna—e stiamo lavorando per colmarla. Ecco perché la gestione delle approvazioni dei token è nella nostra roadmap per il Q4 di quest'anno: costruita per scalare, progettata con cura e rilasciata con precisione orientata alla sicurezza. La nostra visione è una dashboard intelligente e centrata sull'utente che semplifica le complesse autorizzazioni blockchain in informazioni chiare e utilizzabili.
Come EIP-7702 Aiuta a Ridurre il Rischio di Approvazione
Ridurre il numero di approvazioni che un utente deve fare può essere importante quanto gestirle bene. EIP-7702 è progettato per aiutare in questo, permettendo al portafoglio di simulare e pre-approvare tutte le azioni necessarie in una sessione sicura. Firmi una volta, e il relayer gestisce sia l'approvazione che la transazione prevista in background.
Con 7702:
- Il portafoglio simula tutte le approvazioni e transazioni richieste.
- L'utente firma un intento di sessione.
- Sia l'approvazione che l'azione vengono eseguite insieme.
- Meno pop-up di "approvazione", meno approvazioni illimitate persistenti.
In breve, 7702 semplifica l'UX riducendo la necessità di autorizzazioni rischiose e permanenti.
Ripensare l'Igiene delle Approvazioni come UX Quotidiana
Mantenere sotto controllo le approvazioni dei token dovrebbe sembrare naturale come altri controlli di routine che le persone fanno per rimanere sicure online. Il processo funziona meglio quando è integrato nell'uso normale del portafoglio, piuttosto che lasciato come un compito separato che l'utente deve ricordare.
Trust Wallet sta sviluppando funzionalità per rendere questa manutenzione facile: promemoria discreti per rivedere le approvazioni attive, segnali visivi per contratti che potrebbero essere rischiosi o obsoleti, opzioni per far scadere automaticamente l'accesso dopo inattività, e una dashboard che elenca chiaramente ogni autorizzazione attiva in un unico posto. Quando queste protezioni fanno parte del flusso regolare, gli utenti possono rimanere protetti senza sforzi extra.
Portafogli come Guardiani, Non Solo Interfacce
Le approvazioni dei token sono un pezzo di una domanda più grande: come possono i portafogli fare di più per proteggere gli utenti?
In Trust Wallet, la sicurezza è incorporata in tutto ciò che costruiamo. Il nostro Security Scanner rileva proattivamente truffe note e contratti dannosi, bloccando approvazioni pericolose e connessioni DApp prima che accadano. Dal 2023, abbiamo bloccato oltre 458 milioni di dollari dal raggiungere contratti dannosi e aiutato a recuperare più di 2 milioni di dollari in fondi rubati.
Siamo stati il primo importante portafoglio self-custody a ottenere la certificazione ISO/IEC 27001 e 27701, soddisfacendo standard internazionalmente riconosciuti per sicurezza e privacy.
Lo stesso principio guiderà i nostri strumenti di approvazione dei token: protezione integrata, non aggiunta successivamente.
Guardando Avanti: Costruire per i Prossimi 200 Milioni
La nostra responsabilità va oltre il mantenimento di ciò che abbiamo già costruito — si tratta di prepararsi per la prossima ondata di utenti Web3 e le sfide che affronteranno. Ciò significa continuare a implementare funzionalità che riducono l'attrito e rafforzano la sicurezza, come impostazioni predefinite migliori e automazione più intelligente, login biometrico nella nostra Estensione, semplicità cross-chain con FlexGas così che il gas possa essere pagato in token che gli utenti già possiedono, ecc.
Con tutto ciò che abbiamo trattato, va da sé che uno degli sviluppi più importanti all'orizzonte è la nostra gestione nativa delle approvazioni dei token. Questo darà a ogni utente una visione chiara di quali contratti possono accedere ai loro token, evidenzierà i rischi potenziali e renderà la revoca o la regolazione delle autorizzazioni veloce e semplice. Quando abbinato ai nostri altri progressi in sicurezza e usabilità, aiuterà a garantire che milioni di persone in più possano esplorare il Web3 con molta più fiducia.
Questo approccio si inserisce nella nostra visione che i portafogli non sono solo strumenti, sono essenzialmente compagni Web3. Dovrebbero astrarre la complessità, evidenziare i rischi e abilitare opportunità senza compromettere la sicurezza dell'utente.
Considerazioni Finali
Le approvazioni dei token non dovrebbero essere invisibili, permanenti o il motivo per cui gli utenti perdono fondi. Con strumenti più intelligenti, impostazioni predefinite più sicure e protezioni integrate, possiamo rendere questo rischio una cosa del passato. In Trust Wallet, stiamo costruendo per gli utenti di oggi e per i prossimi 200 milioni—perché con quella scala arriva la responsabilità di guidare.
Restate sintonizzati. Un'esperienza di portafoglio più sicura e intelligente è in arrivo.
Il post Il Pericolo Nascosto nel Tuo Portafoglio: Approvazioni dei Token Spiegate è apparso prima su BeInCrypto.
Fonte: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
