Odkryj, jak Trust Wallet rozwiązuje problemy związane z ryzykiem zatwierdzania tokenów dzięki bezpieczniejszemu UX i narzędziom dla ponad 200 milionów użytkowników. Autorka: Eve Lam, CISO w Trust Wallet.
Niewidoczne ryzyko czające się w Twoim portfelu
Zatwierdzenia tokenów są jednym z najbardziej przeoczanych zagrożeń w Web3. Za każdym razem, gdy łączysz swój portfel i autoryzujesz dApp do dostępu do Twoich tokenów, często udzielasz bezterminowego dostępu. Z czasem te zatwierdzenia cicho gromadzą się w tle. Większość użytkowników nawet nie wie o ich istnieniu, a według Revoke od 2020 roku skradziono ponad 475 milionów dolarów w zgłoszonych atakach i exploitach związanych z zatwierdzeniami. W naszych oczach to więcej niż luka techniczna. To bardziej porażka UX i martwy punkt bezpieczeństwa, a dla kolejnej fali użytkowników wchodzących do Web3 to ryzyko, którego nie powinni ponosić.
Przewodzenie w kwestii bezpieczeństwa jest podstawową odpowiedzialnością każdego dostawcy portfela — a z ponad 15 milionami aktywnych użytkowników miesięcznie i ponad 200 milionami pobrań, to odpowiedzialność, którą Trust Wallet w pełni przyjmuje. Rozwiązanie problemu zatwierdzeń tokenów jest częścią tego zobowiązania, zapewniając silniejszą ochronę dla wszystkich, którzy na nas polegają i pomagając budować bezpieczniejszy ekosystem Web3.
Dlaczego nieskończone zatwierdzenia stały się normą
Gdy korzystasz z zdecentralizowanej aplikacji (dApp), nie może ona przenosić Twoich tokenów, chyba że udzielisz pozwolenia poprzez transakcję zatwierdzenia tokena. Zatwierdzenia pozwalają inteligentnemu kontraktowi wydawać Twoje tokeny w Twoim imieniu. Większość dApp prosi o nieograniczone zatwierdzenie, więc nie musisz zatwierdzać za każdym razem. Po udzieleniu, te zatwierdzenia pozostają aktywne w łańcuchu, dopóki ich nie odwołasz.
Ta wygoda ma swoją cenę: zatwierdzenia tokenów są domyślnie ciche, trwałe i ryzykowne. Użytkownicy dają dApp nieograniczony dostęp, nie zdając sobie z tego sprawy. Portfele rzadko pokazują lub wyjaśniają te uprawnienia. Atakujący wykorzystują je — często długo po udzieleniu zatwierdzenia.
Jak ryzyko zatwierdzenia narasta z czasem
Zagrożenia w rzeczywistym świecie często podążają za tymi wzorcami. Złośliwy podmiot może nakłonić Cię do udzielenia nieograniczonego zatwierdzenia szkodliwemu kontraktowi. Możesz nie widzieć problemu, jeśli Twój portfel jest w tym czasie pusty. Później, gdy wpłacisz środki, kontrakt natychmiast je opróżnia. Lub wcześniej zaufany kontrakt zostaje naruszony, zamieniając bezpieczne uprawnienie w niebezpieczną lukę.
Jeszcze bardziej niepokojące jest to, że w większości dzisiejszych portfeli nie jest łatwo przeglądać ani zarządzać zatwierdzeniami tokenów. Przeciętny użytkownik miałby trudności z ustaleniem, które kontrakty mają dostęp do ich aktywów, nie mówiąc już o ocenie, które z nich są wysokiego ryzyka.
Szansa: Natywne narzędzia, zbudowane we właściwy sposób
Większości portfeli brakuje natywnego, przyjaznego dla użytkownika interfejsu do przeglądania i zarządzania zatwierdzeniami tokenów. Niektóre polegają na narzędziach stron trzecich lub ukrywają uprawnienia głęboko w ustawieniach — jeśli w ogóle. W rezultacie użytkownicy często nie są świadomi, które kontrakty mają ciągły dostęp.
W Trust Wallet rozpoznajemy tę lukę — i pracujemy nad jej zamknięciem. Dlatego zarządzanie zatwierdzeniami tokenów znajduje się w naszym planie działania na IV kwartał tego roku: zbudowane z myślą o skalowalności, zaprojektowane z troską i wydane z precyzją stawiającą bezpieczeństwo na pierwszym miejscu. Naszą wizją jest inteligentny, skoncentrowany na użytkowniku pulpit, który upraszcza złożone uprawnienia blockchain w jasne, możliwe do działania spostrzeżenia.
Jak EIP-7702 pomaga zmniejszyć ryzyko zatwierdzenia
Zmniejszenie liczby zatwierdzeń, które użytkownik musi wykonać, może być równie ważne jak dobre zarządzanie nimi. EIP-7702 został zaprojektowany, aby pomóc w tym, umożliwiając portfelowi symulację i wstępne zatwierdzenie wszystkich niezbędnych działań w jednej bezpiecznej sesji. Podpisujesz raz, a przekaźnik obsługuje zarówno zatwierdzenie, jak i zamierzoną transakcję w tle.
Z 7702:
- Portfel symuluje wszystkie wymagane zatwierdzenia i transakcje.
- Użytkownik podpisuje jeden zamiar sesji.
- Zarówno zatwierdzenie, jak i działanie są wykonywane razem.
- Mniej wyskakujących okienek "zatwierdź", mniej utrzymujących się nieograniczonych zatwierdzeń.
Krótko mówiąc, 7702 usprawnia UX, jednocześnie zmniejszając potrzebę ryzykownych, stałych uprawnień.
Przemyślenie higieny zatwierdzeń jako codziennego UX
Utrzymywanie kontroli nad zatwierdzeniami tokenów powinno być tak naturalne, jak inne rutynowe kontrole, które ludzie wykonują, aby pozostać bezpiecznymi online. Proces działa najlepiej, gdy jest zintegrowany z normalnym użytkowaniem portfela, a nie pozostawiony jako oddzielne zadanie, o którym użytkownik musi pamiętać.
Trust Wallet buduje funkcje, które ułatwiają tę konserwację: dyskretne przypomnienia o przeglądaniu aktywnych zatwierdzeń, wizualne wskazówki dla kontraktów, które mogą być ryzykowne lub przestarzałe, opcje automatycznego wygasania dostępu po okresie nieaktywności oraz pulpit, który wyraźnie wymienia każde aktywne uprawnienie w jednym miejscu. Gdy te zabezpieczenia są częścią regularnego przepływu, użytkownicy mogą pozostać chronieni bez dodatkowego wysiłku.
Portfele jako strażnicy, nie tylko interfejsy
Zatwierdzenia tokenów są jednym elementem większego pytania: jak portfele mogą zrobić więcej, aby chronić użytkowników?
W Trust Wallet bezpieczeństwo jest wbudowane we wszystko, co tworzymy. Nasz Skaner Bezpieczeństwa proaktywnie wykrywa znane oszustwa i złośliwe kontrakty, blokując niebezpieczne zatwierdzenia i połączenia dApp, zanim się pojawią. Od 2023 roku zablokowaliśmy ponad 458 milionów dolarów przed dotarciem do złośliwych kontraktów i pomogliśmy odzyskać ponad 2 miliony dolarów skradzionych środków.
Byliśmy pierwszym głównym portfelem self-custody, który uzyskał certyfikację ISO/IEC 27001 i 27701, spełniając międzynarodowo uznane standardy bezpieczeństwa i prywatności.
Ta sama zasada będzie kierować naszymi narzędziami do zatwierdzania tokenów: ochrona, która jest wbudowana, a nie dokręcana.
Patrząc w przyszłość: Budowanie dla kolejnych 200 milionów
Nasza odpowiedzialność wykracza poza utrzymanie tego, co już zbudowaliśmy — chodzi o przygotowanie się na kolejną falę użytkowników Web3 i wyzwania, z którymi się zmierzą. Oznacza to dalsze wprowadzanie funkcji, które usuwają tarcie i wzmacniają bezpieczeństwo, takich jak lepsze ustawienia domyślne i inteligentniejsza automatyzacja, logowanie biometryczne w naszym Rozszerzeniu, prostota cross-chain z FlexGas, dzięki czemu opłaty za gaz mogą być płacone w tokenach, które użytkownicy już posiadają, itp.
Biorąc pod uwagę wszystko, co omówiliśmy, nie trzeba dodawać, że jednym z najważniejszych rozwojów na horyzoncie jest nasze natywne zarządzanie zatwierdzeniami tokenów. Zapewni to każdemu użytkownikowi jasny widok, które kontrakty mogą uzyskać dostęp do ich tokenów, podkreśli potencjalne ryzyka i sprawi, że odwoływanie lub dostosowywanie uprawnień będzie szybkie i proste. W połączeniu z naszymi innymi postępami w zakresie bezpieczeństwa i użyteczności pomoże to zapewnić, że miliony więcej osób będą mogły eksplorować Web3 z większą pewnością.
To podejście wpisuje się w nasz pogląd, że portfele nie są tylko narzędziami, są zasadniczo towarzyszami Web3. Powinny abstrahować złożoność, ujawniać ryzyka i umożliwiać szanse bez kompromisów w zakresie bezpieczeństwa użytkownika.
Końcowe przemyślenia
Zatwierdzenia tokenów nie powinny być niewidoczne, trwałe ani powodem, dla którego użytkownicy tracą środki. Dzięki inteligentniejszym narzędziom, bezpieczniejszym ustawieniom domyślnym i wbudowanym zabezpieczeniom możemy sprawić, że to ryzyko stanie się przeszłością. W Trust Wallet budujemy dla dzisiejszych użytkowników i kolejnych 200 milionów — ponieważ z tą skalą wiąże się odpowiedzialność za przewodzenie.
Bądźcie czujni. Bezpieczniejsze, inteligentniejsze doświadczenie z portfelem jest w drodze.
Post Ukryte niebezpieczeństwo w Twoim portfelu: Wyjaśnienie zatwierdzeń tokenów pojawił się najpierw na BeInCrypto.
Źródło: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
