Descubra como a Trust Wallet enfrenta os riscos de aprovação de tokens com UX mais segura e ferramentas para mais de 200 milhões de utilizadores. Por Eve Lam, CISO da Trust Wallet.
O Risco Invisível Escondido na Sua Carteira
As aprovações de tokens são uma das ameaças mais negligenciadas na Web3. Cada vez que conecta a sua carteira e autoriza um aplicativo descentralizado (DApp) a aceder aos seus tokens, está frequentemente a conceder acesso indefinido. Com o tempo, estas aprovações acumulam-se silenciosamente em segundo plano. A maioria dos utilizadores nem sabe que existem e, de facto, mais de $475M foram roubados desde 2020 em hacks e explorações de aprovação relatados, segundo a Revoke. Isto é mais do que uma lacuna técnica aos nossos olhos. É mais uma falha de experiência do usuário e um ponto cego de segurança, e para a próxima onda de utilizadores que entram na Web3, é um risco que não deveriam ter de carregar.
Liderar em segurança é uma responsabilidade central para qualquer fornecedor de carteira—e com mais de 15 milhões de utilizadores ativos mensais e mais de 200 milhões de downloads, é uma responsabilidade que a Trust Wallet abraça totalmente. Resolver o problema das aprovações de tokens faz parte desse compromisso, garantindo uma proteção mais forte para todos que dependem de nós e ajudando a construir um ecossistema Web3 mais seguro.
Por Que as Aprovações Infinitas Se Tornaram a Norma
Quando usa um aplicativo descentralizado (DApp), ele não pode mover os seus tokens a menos que dê permissão através de uma transação de aprovação de token. As aprovações permitem que um contrato inteligente gaste os seus tokens em seu nome. A maioria dos DApps pede aprovação ilimitada para que não tenha de aprovar cada vez. Uma vez concedidas, estas aprovações permanecem ativas na cadeia até que as revogue.
Esta conveniência tem um custo: as aprovações de tokens são silenciosas, permanentes e arriscadas por padrão. Os utilizadores dão acesso ilimitado aos DApps sem perceber. As carteiras raramente mostram ou explicam estas permissões. Os atacantes exploram-nas—frequentemente muito tempo depois da aprovação ser concedida.
Como o Risco de Aprovação Aumenta com o Tempo
As ameaças do mundo real frequentemente seguem estes padrões. Um ator malicioso pode enganá-lo a conceder aprovação ilimitada a um contrato prejudicial. Pode não ver problema se a sua carteira estiver vazia no momento. Mais tarde, quando depositar fundos, o contrato drena-os instantaneamente. Ou, um contrato antes confiável torna-se comprometido, transformando uma permissão segura numa vulnerabilidade perigosa.
Ainda mais preocupante é que na maioria das carteiras hoje, não é fácil visualizar ou gerir aprovações de tokens. O utilizador médio teria dificuldade em descobrir quais contratos têm acesso aos seus ativos, muito menos avaliar quais são de alto risco.
A Oportunidade: Ferramentas Nativas, Construídas da Maneira Certa
A maioria das carteiras carece de uma interface nativa e amigável para revisar e gerir aprovações de tokens. Algumas dependem de ferramentas de terceiros ou enterram permissões profundamente nas configurações—se é que o fazem. Como resultado, os utilizadores frequentemente desconhecem quais contratos têm acesso contínuo.
Na Trust Wallet, reconhecemos a lacuna—e estamos a trabalhar para fechá-la. É por isso que a gestão de aprovação de tokens está no nosso roteiro para o Q4 deste ano: construída para escalar, projetada com cuidado e lançada com precisão de segurança em primeiro lugar. Nossa visão é de um painel inteligente e centrado no utilizador que simplifica permissões complexas de blockchain em insights claros e acionáveis.
Como o EIP-7702 Ajuda a Reduzir o Risco de Aprovação
Reduzir o número de aprovações que um utilizador precisa fazer pode ser tão importante quanto geri-las bem. O EIP-7702 foi projetado para ajudar nisso, permitindo que a carteira simule e pré-aprove todas as ações necessárias em uma sessão segura. Você assina uma vez, e o relayer lida com a aprovação e a transação pretendida em segundo plano.
Com o 7702:
- A carteira simula todas as aprovações e transações necessárias.
- O utilizador assina uma intenção de sessão.
- Tanto a aprovação quanto a ação são executadas juntas.
- Menos pop-ups de "aprovar", menos aprovações ilimitadas persistentes.
Em resumo, o 7702 simplifica a experiência do usuário enquanto reduz a necessidade de permissões arriscadas e permanentes.
Repensando a Higiene de Aprovação como UX Cotidiana
Manter as aprovações de tokens sob controle deve parecer tão natural quanto outras verificações de rotina que as pessoas fazem para se manterem seguras online. O processo funciona melhor quando está integrado ao uso normal da carteira, em vez de ser deixado como uma tarefa separada que o utilizador tem de lembrar.
A Trust Wallet está a construir recursos para tornar esta manutenção fácil: lembretes discretos para revisar aprovações ativas, pistas visuais para contratos que podem ser arriscados ou desatualizados, opções para expirar automaticamente o acesso após inatividade, e um painel que lista claramente cada permissão ativa em um só lugar. Quando estas salvaguardas fazem parte do fluxo regular, os utilizadores podem permanecer protegidos sem esforço extra.
Carteiras como Guardiãs, Não Apenas Interfaces
As aprovações de tokens são uma peça de uma questão maior: como as carteiras podem fazer mais para proteger os utilizadores?
Na Trust Wallet, a segurança está incorporada em tudo o que construímos. Nosso Scanner de Segurança detecta proativamente golpes conhecidos e contratos maliciosos, bloqueando aprovações perigosas e conexões de DApp antes que aconteçam. Desde 2023, bloqueamos mais de $458 milhões de alcançar contratos maliciosos e ajudamos a recuperar mais de $2 milhões em fundos roubados.
Fomos a primeira carteira de autocustódia importante a alcançar a certificação ISO/IEC 27001 e 27701, atendendo a padrões internacionalmente reconhecidos para segurança e privacidade.
O mesmo princípio guiará nossas ferramentas de aprovação de token: proteção que é incorporada, não aparafusada.
Olhando para o Futuro: Construindo para os Próximos 200 Milhões
Nossa responsabilidade vai além de manter o que já construímos — trata-se de preparar para a próxima onda de utilizadores Web3 e os desafios que enfrentarão. Isso significa continuar a lançar recursos que removem fricção e fortalecem a segurança, como melhores padrões e automação mais inteligente, login biométrico na nossa Extensão, simplicidade cross-chain com FlexGas para que o gás possa ser pago em tokens que os utilizadores já possuem, etc.
Com tudo o que abordamos, é desnecessário dizer que um dos desenvolvimentos mais importantes no horizonte é a nossa gestão nativa de aprovação de tokens. Isso dará a cada utilizador uma visão clara de quais contratos podem aceder aos seus tokens, destacará riscos potenciais e tornará a revogação ou ajuste de permissões rápido e simples. Quando combinado com nossos outros avanços de segurança e usabilidade, ajudará a garantir que milhões mais de pessoas possam explorar a Web3 com muito mais confiança.
Esta abordagem vai de encontro à nossa visão de que as carteiras não são apenas ferramentas, são essencialmente companheiras Web3. Elas devem abstrair complexidade, expor riscos e permitir oportunidades sem comprometer a segurança do utilizador.
Considerações Finais
As aprovações de tokens não devem ser invisíveis, permanentes ou a razão pela qual os utilizadores perdem fundos. Com ferramentas mais inteligentes, padrões mais seguros e proteções incorporadas, podemos tornar este risco uma coisa do passado. Na Trust Wallet, estamos a construir para os utilizadores de hoje e para os próximos 200 milhões—porque com essa escala vem a responsabilidade de liderar.
Fique atento. Uma experiência de carteira mais segura e inteligente está a caminho.
O post O Perigo Oculto na Sua Carteira: Aprovações de Token Explicadas apareceu primeiro no BeInCrypto.
Fonte: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
