Узнайте, как Trust Wallet решает проблемы рисков одобрения токенов с помощью более безопасного UX и инструментов для более чем 200 миллионов пользователей. От Евы Лам, CISO в Trust Wallet.
Невидимый риск, скрывающийся в вашем кошельке
Одобрения токенов являются одной из самых недооцененных угроз в Web3. Каждый раз, когда вы подключаете свой кошелёк и разрешаете dApp доступ к вашим токенам, вы часто предоставляете неограниченный доступ. Со временем эти разрешения тихо накапливаются в фоновом режиме. Большинство пользователей даже не знают об их существовании, и фактически, согласно данным Revoke, с 2020 года было украдено более 475 миллионов $ в результате взломов и эксплуатации одобрений. В наших глазах это больше, чем просто технический пробел. Это скорее провал UX и слепая зона безопасности, и для следующей волны пользователей, входящих в Web3, это риск, который им не следует нести.
Лидерство в области безопасности является основной обязанностью любого поставщика кошельков — и с более чем 15 миллионами активных пользователей в месяц и более чем 200 миллионами загрузок, это ответственность, которую Trust Wallet полностью принимает. Решение проблемы одобрений токенов является частью этого обязательства, обеспечивая более надежную защиту для всех, кто полагается на нас, и помогая создать более безопасную экосистему Web3.
Почему бесконечные одобрения стали нормой
Когда вы используете децентрализованное приложение (DApp), оно не может перемещать ваши токены, если вы не дадите разрешение через транзакцию одобрения токена. Одобрения позволяют смарт контракту тратить ваши токены от вашего имени. Большинство dApps запрашивают неограниченное одобрение, чтобы вам не приходилось одобрять каждый раз. После предоставления эти одобрения остаются активными в цепочке, пока вы их не отзовете.
Это удобство имеет свою цену: одобрения токенов по умолчанию являются тихими, постоянными и рискованными. Пользователи предоставляют dApps неограниченный доступ, не осознавая этого. Кошельки редко показывают или объясняют эти разрешения. Злоумышленники используют их — часто спустя долгое время после предоставления одобрения.
Как риск одобрения накапливается со временем
Реальные угрозы часто следуют этим шаблонам. Злоумышленник может обмануть вас, заставив предоставить неограниченное одобрение вредоносному контракту. Вы можете не видеть проблемы, если ваш кошелёк в это время пуст. Позже, когда вы внесете средства, контракт мгновенно их опустошит. Или ранее доверенный контракт может быть скомпрометирован, превращая безопасное разрешение в опасную уязвимость.
Еще более тревожно то, что в большинстве кошельков сегодня нелегко просматривать или управлять одобрениями токенов. Среднему пользователю будет трудно выяснить, какие контракты имеют доступ к их активам, не говоря уже о том, чтобы оценить, какие из них представляют высокий риск.
Возможность: Нативные инструменты, созданные правильным образом
Большинству кошельков не хватает нативного, удобного интерфейса для просмотра и управления одобрениями токенов. Некоторые полагаются на сторонние инструменты или глубоко скрывают разрешения в настройках — если вообще скрывают. В результате пользователи часто не знают, какие контракты имеют постоянный доступ.
В Trust Wallet мы признаем этот пробел — и работаем над его устранением. Вот почему управление одобрениями токенов включено в нашу дорожную карту на 4-й квартал этого года: масштабируемое, тщательно разработанное и выпущенное с точностью, ориентированной на безопасность. Наше видение — умная, ориентированная на пользователя панель управления, которая упрощает сложные разрешения блокчейна в четкие, действенные выводы.
Как EIP-7702 помогает снизить риск одобрения
Сокращение количества одобрений, которые пользователь должен делать, может быть так же важно, как и хорошее управление ими. EIP-7702 разработан для помощи в этом, позволяя кошельку моделировать и предварительно одобрять все необходимые действия в одном безопасном сеансе. Вы подписываете один раз, и релейер обрабатывает как одобрение, так и предполагаемую транзакцию в фоновом режиме.
С 7702:
- Кошелёк моделирует все необходимые одобрения и транзакции.
- Пользователь подписывает одно намерение сеанса.
- И одобрение, и действие выполняются вместе.
- Меньше всплывающих окон "одобрить", меньше задерживающихся неограниченных одобрений.
Короче говоря, 7702 упрощает UX, уменьшая потребность в рискованных, постоянных разрешениях.
Переосмысление гигиены одобрений как повседневного UX
Контроль над одобрениями токенов должен ощущаться так же естественно, как и другие рутинные проверки, которые люди делают для обеспечения безопасности в интернете. Процесс работает лучше всего, когда он интегрирован в нормальное использование кошелька, а не оставлен как отдельная задача, которую пользователь должен помнить.
Trust Wallet создает функции, чтобы сделать это обслуживание простым: ненавязчивые напоминания о просмотре активных одобрений, визуальные подсказки для контрактов, которые могут быть рискованными или устаревшими, опции для автоматического истечения срока доступа после бездействия и панель управления, которая четко перечисляет каждое активное разрешение в одном месте. Когда эти меры защиты являются частью обычного потока, пользователи могут оставаться защищенными без дополнительных усилий.
Кошельки как хранители, а не просто интерфейсы
Одобрения токенов — это часть более широкого вопроса: как кошельки могут сделать больше для защиты пользователей?
В Trust Wallet безопасность встроена во все, что мы создаем. Наш Сканер безопасности проактивно обнаруживает известные мошенничества и вредоносные контракты, блокируя опасные одобрения и подключения dApp до их возникновения. С 2023 года мы заблокировали более 458 миллионов $ от попадания в вредоносные контракты и помогли восстановить более 2 миллионов $ украденных средств.
Мы были первым крупным кошельком с самостоятельным хранением, получившим сертификацию ISO/IEC 27001 и 27701, соответствуя международно признанным стандартам безопасности и конфиденциальности.
Тот же принцип будет руководить нашими инструментами одобрения токенов: защита, которая встроена, а не прикручена.
Взгляд в будущее: Строительство для следующих 200 миллионов
Наша ответственность выходит за рамки поддержания того, что мы уже построили — речь идет о подготовке к следующей волне пользователей Web3 и вызовам, с которыми они столкнутся. Это означает продолжение внедрения функций, которые устраняют трение и усиливают безопасность, таких как лучшие настройки по умолчанию и более умная автоматизация, биометрический вход в наше Расширение, кросс-чейн простота с FlexGas, чтобы газ можно было оплачивать токенами, которые пользователи уже имеют, и т.д.
С учетом всего, что мы рассмотрели, не нужно говорить, что одним из самых важных разработок на горизонте является наше нативное управление одобрениями токенов. Это даст каждому пользователю четкое представление о том, какие контракты могут получить доступ к их токенам, выделит потенциальные риски и сделает отзыв или корректировку разрешений быстрыми и простыми. В сочетании с нашими другими достижениями в области безопасности и удобства использования это поможет обеспечить, чтобы миллионы людей могли исследовать Web3 с гораздо большей уверенностью.
Этот подход соответствует нашему взгляду на то, что кошельки — это не просто инструменты, они по сути являются компаньонами Web3. Они должны абстрагировать сложность, выявлять риски и обеспечивать возможности без ущерба для безопасности пользователя.
Заключительные мысли
Одобрения токенов не должны быть невидимыми, постоянными или причиной потери средств пользователями. С более умными инструментами, более безопасными настройками по умолчанию и встроенной защитой мы можем сделать этот риск пережитком прошлого. В Trust Wallet мы строим для сегодняшних пользователей и следующих 200 миллионов — потому что с таким масштабом приходит ответственность лидировать.
Следите за обновлениями. Более безопасный, более умный опыт использования кошелька уже в пути.
Пост "Скрытая опасность в вашем кошельке: объяснение одобрений токенов" впервые появился на BeInCrypto.
Источник: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
