智能钱包如何保护资金安全？

代币授权存在很大的安全风险。如果您想提高加密货币应用程序的用户体验和安全性，显然需要改进代币授权功能。

原题：科普|代币授权：加密货币行业用户体验的最大障碍

如果你是DeFi的资深用户，你一定已经被这个繁琐的过程折磨了无数次。每次使用新的DAPP时，都需要授权DAPP使用您的代币。

a6021元掩码上的授权接口

与传统金融业类似，这个过程有点像直接借记，授权供电商每月从你的银行账户中扣除电费。

然而，与加密货币行业不同的是，传统金融业的直接借记业务只面临少数值得信赖的公司。这样的公司不太可能欺骗消费者，即使偶尔欺骗消费者，消费者也可以提出异议，银行也可以充当调解人。加密货币行业没有这样的工具。一些dapp是由匿名开发人员构建的，没有针对作弊用户的争议机制。一旦在区块链上完成支付，就不能撤销。

什么是代币授权？它是如何工作的？

以太坊区块链上的大多数代币，如USDC和Dai，采用ERC20标准。Erc20代币实际上是一个智能合约，具有不同的方法，例如transferfrom和burn。当用户调用这些方法时，应用程序将对代币执行相应的操作。

一种方法是批准。要使用的任何DAPP都需要访问您的ERC20代币才能对其进行操作。例如，如果要将USDC存入AAVE，首先需要授予AAVE DAPP的智能合约访问USDC，然后通过第二个事务将USDC存入AAVE。您可以在您的以太坊钱包用户界面上看到授权。尽管可用的授权数量在理论上是灵活的，但大多数dapp在默认情况下需要无限制的授权，以简化用户体验并最小化用户使用应用程序所需的事务数。

其中一个安全问题是，大多数用户认为他们的授权是针对某个事务的，并且是有限的。然而，在大多数情况下，用户实际上授予dapp永久访问他们持有的某个代币的权限，这是无限的。因此，如果DAPP存在安全问题或从一开始就是恶意的，攻击者可以滥用此授权，在未经用户同意的情况下窃取DAPP用户持有的所有授权代币。这种攻击可以在将来的任何时候发起，甚至在用户使用DAPP数年之后。

如何保护自己？好消息是你可以保护自己免受这种威胁。在下一节中，我们将讨论在使用metamask等标准以太坊钱包时如何确保代币的安全性，并介绍一些可以通过定制与dappp交互的钱包。

如何手工撤销代币授权

如果您想手动撤销授权，您需要使用像代币允许检查器这样的工具。这些工具可以连接到您的钱包，并扫描整个区块链中与您的以太坊地址相关的所有DAPP授权。然后，您可以编辑授权：将“可用授权金额”设置为0以取消授权，或将其设置为您可以接受的金额。授权修改是通过与每个ERC20代币契约交互实现的。

最好能够定期执行这个过程，并撤销您不打算再次使用的DAPP的授权。虽然这会花你一点钱，因为每一笔交易都需要在公链上结算，但从长远来看，你的钱包会给你应得的。

建议：如果你想节省汽油成本，可以下载加油站网络扩展插件，在浏览器上跟踪油价。您可以等到汽油成本较低时再编辑您的授权可用性。

下一代以太坊钱包如何保护用户资金

一些已经推出的智能合约钱包也有保护功能。智能合约钱包具有很强的灵活性，可以为用户提供定制的智能合约交互。因此，许多智能合约钱包都实现了定制的授权方法，以提高用户体验和安全性。

本土整合：以银色为例

例如，argent是一款位于移动端的以太坊钱包，并将一些核心的DeFi应用集成到应用中，这样用户就可以借钱、赚取利润和交易。

这种钱包从智能合约层面整合了这些dapp，并确保当用户与这些dapp交互时，这些dapp只能通过实际的请求数进行授权。所有这些操作都是在后台自动完成的，因此argent用户甚至不知道授权事务的存在。

银色x钱包连接

本机集成的一个缺点是它不可伸缩，就像argent一样。应用程序不可能在本机集成每个devi协议。对于大多数用户来说，目前argent的集成应用可能已经足够了，但是重度的DeFio用户每天都要使用十几个不同的dapp，所以他们不想局限于几个dapp。

一个叫做钱包连接的标准可以解决这个问题。Walletconnect允许用户将其移动钱包连接到web应用程序，并通过移动钱包安全地签署交易。Argent实现了walletconnect集成和定制，允许用户轻松设置授权可用性（告别无限制授权）。此外，如果argent用户改变主意，他们可以在argent应用程序中单击一次来取消对DAPP应用程序的授权。由于大多数dapp支持walletconnect，这一特性允许银色用户在探索整个DeFi空间的同时享受高级别的安全性。

批量事务和dappp密钥：以authoreum为例

另一个可以优雅地处理授权的智能合约钱包是authoreum。Authoreum是基于web的，大多数以太坊dapp应用程序都支持它。此外，authoreum使用传统的电子邮件和密码登录，因此您可以在几秒钟内将钱包连接到dapp。用户体验与传统应用程序类似，但不牺牲安全性。

当用户需要与DAPP交互时，authoreum将生成一个新的临时DAPP密钥来签署特定的DAPP事务。dapp键只能执行有限的功能，authoreum执行一些完整性检查。如果请求的域不是创建dapp密钥的域，authoreum可以拦截事务或通知用户。最后，可以随时从autheum钱包中取出这些DAPP密钥。

将多个事务打包到一个事务中还有许多其他优点。其中一个优点是效率-批量交易可以节省成本和时间。以太坊上的每个普通转账交易消耗21000气体。如果用户一次打包10笔交易，总共可以节省18.9万块油。此外，用户可以尝试通过发送连续事务来节省时间。

批处理事务的唯一问题是dapp需要添加一些定制的逻辑和UI进程来正确处理事务。到目前为止，只有少量的dapp，如1inch和erasure，支持这种交易模式，但我们预计未来会有更多的dapp支持这种交易模式。

结论

代币授权存在很大的安全风险。要想提高加密货币应用的用户体验和安全性，显然需要改进代币授权。authoreum和argent这样的钱包可以通过创新的方式使DAPP交互更加安全。不幸的是，在许多情况下，这种事务模式需要dapp开发人员额外的工作，因此用户需要耐心等待一段时间。

不能采用上述解决方案的标准以太坊钱包至少应允许用户查看和编辑其DAPP代币授权可用性。像tokenauthority checker这样的工具很方便，但不是每个人都知道它们。