Ontdek hoe Trust Wallet de risico's van tokengoedkeuringen aanpakt met veiligere UX en tools voor meer dan 200 miljoen gebruikers. Door Eve Lam, CISO bij Trust Wallet.
Het Onzichtbare Risico in Uw Wallet
Tokengoedkeuringen zijn een van de meest over het hoofd geziene bedreigingen in Web3. Elke keer dat u uw wallet verbindt en een dApp machtigt om toegang te krijgen tot uw tokens, geeft u vaak onbeperkte toegang. Na verloop van tijd stapelen deze goedkeuringen zich stilletjes op in de achtergrond. De meeste gebruikers weten niet eens dat ze bestaan, en volgens Revoke is er sinds 2020 meer dan $475 miljoen gestolen door gerapporteerde goedkeuringshacks en exploits. Dit is in onze ogen meer dan een technische kloof. Het is meer een UX-falen en een beveiligingsblinde vlek, en voor de volgende golf gebruikers die Web3 betreden, is het een risico dat ze niet zouden moeten dragen.
Vooroplopen op het gebied van veiligheid is een kernverantwoordelijkheid voor elke wallet-aanbieder—en met meer dan 15 miljoen maandelijks actieve gebruikers en meer dan 200 miljoen downloads, is het een verantwoordelijkheid die Trust Wallet volledig omarmt. Het oplossen van het probleem met tokengoedkeuringen maakt deel uit van die toewijding, waardoor we sterkere bescherming bieden aan iedereen die op ons vertrouwt en helpen een veiliger Web3-ecosysteem op te bouwen.
Waarom Oneindige Goedkeuringen de Norm Werden
Wanneer u een gedecentraliseerde applicatie (dApp) gebruikt, kan deze uw tokens niet verplaatsen tenzij u toestemming geeft via een tokengoedkeuring-transactie. Goedkeuringen laten een smart contract uw tokens namens u uitgeven. De meeste dApps vragen om onbeperkte goedkeuring zodat u niet elke keer hoeft goed te keuren. Eenmaal verleend, blijven deze goedkeuringen actief op de blockchain totdat u ze intrekt.
Dit gemak komt met een prijs: tokengoedkeuringen zijn standaard stil, permanent en risicovol. Gebruikers geven dApps onbeperkte toegang zonder het te beseffen. Wallets tonen of verklaren deze machtigingen zelden. Aanvallers buiten ze uit—vaak lang nadat de goedkeuring is verleend.
Hoe Goedkeuringsrisico's Zich Opbouwen in de Loop der Tijd
Bedreigingen in de echte wereld volgen vaak deze patronen. Een kwaadwillende actor kan u misleiden om onbeperkte goedkeuring te verlenen aan een schadelijk contract. U ziet mogelijk geen probleem als uw wallet op dat moment leeg is. Later, wanneer u geld stort, leegt het contract deze onmiddellijk. Of een ooit vertrouwd contract raakt gecompromitteerd, waardoor een veilige toestemming verandert in een gevaarlijke kwetsbaarheid.
Nog zorgwekkender is dat het in de meeste wallets vandaag de dag niet gemakkelijk is om tokengoedkeuringen te bekijken of te beheren. De gemiddelde gebruiker zou moeite hebben om uit te zoeken welke contracten toegang hebben tot hun activa, laat staan te beoordelen welke een hoog risico vormen.
De Kans: Native Tools, Op de Juiste Manier Gebouwd
De meeste wallets missen een native, gebruiksvriendelijke interface om tokengoedkeuringen te bekijken en te beheren. Sommige vertrouwen op tools van derden of verbergen machtigingen diep in instellingen—als ze er al zijn. Als gevolg hiervan zijn gebruikers zich vaak niet bewust van welke contracten doorlopende toegang hebben.
Bij Trust Wallet herkennen we de kloof—en we werken eraan om deze te dichten. Daarom staat tokengoedkeuringsbeheer op onze roadmap voor Q4 van dit jaar: gebouwd om te schalen, zorgvuldig ontworpen en uitgebracht met security-first precisie. Onze visie is een slim, gebruikersgericht dashboard dat complexe blockchain-machtigingen vereenvoudigt tot duidelijke, bruikbare inzichten.
Hoe EIP-7702 Helpt Goedkeuringsrisico's te Verminderen
Het verminderen van het aantal goedkeuringen dat een gebruiker moet maken, kan net zo belangrijk zijn als ze goed te beheren. EIP-7702 is ontworpen om hierbij te helpen door de wallet alle nodige acties in één beveiligde sessie te laten simuleren en vooraf goed te keuren. U ondertekent één keer, en de relayer handelt zowel de goedkeuring als de beoogde transactie af in de achtergrond.
Met 7702:
- De wallet simuleert alle vereiste goedkeuringen en transacties.
- De gebruiker ondertekent één sessie-intentie.
- Zowel de goedkeuring als de actie worden samen uitgevoerd.
- Minder "goedkeuren" pop-ups, minder aanhoudende onbeperkte goedkeuringen.
Kortom, 7702 stroomlijnt UX terwijl het de behoefte aan risicovolle, permanente machtigingen vermindert.
Goedkeuringshygiëne Herdenken als Dagelijkse UX
Het onder controle houden van tokengoedkeuringen zou net zo natuurlijk moeten aanvoelen als andere routinecontroles die mensen uitvoeren om online veilig te blijven. Het proces werkt het beste wanneer het is geïntegreerd in normaal walletgebruik, in plaats van als een aparte taak die de gebruiker moet onthouden.
Trust Wallet bouwt functies om dit onderhoud gemakkelijk te maken: onopvallende herinneringen om actieve goedkeuringen te bekijken, visuele aanwijzingen voor contracten die mogelijk riskant of verouderd zijn, opties om toegang automatisch te laten verlopen na inactiviteit, en een dashboard dat duidelijk elke actieve machtiging op één plaats weergeeft. Wanneer deze beveiligingsmaatregelen deel uitmaken van de reguliere flow, kunnen gebruikers beschermd blijven zonder extra moeite.
Wallets als Beschermers, Niet Alleen Interfaces
Tokengoedkeuringen zijn een onderdeel van een grotere vraag: hoe kunnen wallets meer doen om gebruikers te beschermen?
Bij Trust Wallet is beveiliging ingebed in alles wat we bouwen. Onze Security Scanner detecteert proactief bekende oplichting en kwaadaardige contracten, en blokkeert gevaarlijke goedkeuringen en dApp-verbindingen voordat ze plaatsvinden. Sinds 2023 hebben we meer dan $458 miljoen geblokkeerd die anders kwaadaardige contracten zou bereiken en hebben we geholpen meer dan $2 miljoen aan gestolen fondsen te herstellen.
We waren de eerste grote self-custody wallet die ISO/IEC 27001 en 27701 certificering behaalde, waarmee we voldoen aan internationaal erkende normen voor beveiliging en privacy.
Hetzelfde principe zal onze tokengoedkeuringstools leiden: bescherming die ingebouwd is, niet achteraf toegevoegd.
Vooruitkijken: Bouwen voor de Volgende 200 Miljoen
Onze verantwoordelijkheid gaat verder dan het onderhouden van wat we al hebben gebouwd — het gaat om het voorbereiden op de volgende golf Web3-gebruikers en de uitdagingen waarmee zij te maken krijgen. Dat betekent dat we functies blijven uitrollen die wrijving verminderen en veiligheid versterken, zoals betere standaardinstellingen en slimmere automatisering, biometrische login in onze Extension, cross-chain eenvoud met FlexGas zodat gas kan worden betaald in tokens die gebruikers al bezitten, enz.
Met alles wat we hebben besproken, spreekt het voor zich dat een van de belangrijkste ontwikkelingen aan de horizon ons native tokengoedkeuringsbeheer is. Dit zal elke gebruiker een duidelijk overzicht geven van welke contracten toegang hebben tot hun tokens, potentiële risico's benadrukken, en het intrekken of aanpassen van machtigingen snel en eenvoudig maken. In combinatie met onze andere beveiligings- en gebruiksvriendelijkheidsverbeteringen, zal het ervoor zorgen dat miljoenen meer mensen Web3 met veel meer vertrouwen kunnen verkennen.
Deze aanpak past bij onze visie dat wallets niet alleen tools zijn, maar in wezen Web3-metgezellen. Ze moeten complexiteit abstraheren, risico's aan de oppervlakte brengen en kansen mogelijk maken zonder concessies te doen aan de veiligheid van de gebruiker.
Afsluitende Gedachten
Tokengoedkeuringen zouden niet onzichtbaar of permanent moeten zijn, of de reden waarom gebruikers fondsen verliezen. Met slimmere tools, veiligere standaardinstellingen en ingebouwde bescherming kunnen we dit risico tot het verleden laten behoren. Bij Trust Wallet bouwen we voor de gebruikers van vandaag en de volgende 200 miljoen—want met die schaal komt de verantwoordelijkheid om te leiden.
Blijf op de hoogte. Een veiligere, slimmere wallet-ervaring is onderweg.
Het bericht Het Verborgen Gevaar in Uw Wallet: Tokengoedkeuringen Uitgelegd verscheen eerst op BeInCrypto.
Bron: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
