So widerrufen und genehmigen Sie Token-Zulassungen auf BSC, Polygon Chains

Ich bin immer wieder beeindruckt von der Kapazität der Menschheit, sich neue Wege auszudenken, um sich gegenseitig üble Dinge anzutun. Wussten Sie also, dass die Bösewichte versuchen, Ihr Krypto zu stehlen! Es hat sich herausgestellt, dass eine wenig bekannte Funktion der meisten DeFi Wallets die Nutzer dem Risiko eines Angriffs aussetzt. Wenn das alarmierend klingt, dann sollte es das auch.

Lassen Sie uns diese Bedrohung identifizieren, bewerten und entschärfen.

Was ist ein Token-Approval und wie funktioniert er?


Wann immer Sie eine Transaktion von Ihrem DeFi Wallet aus durchführen, müssen Sie auf „Bestätigen“ klicken, um fortzufahren. Aber was bestätigen Sie da? Die meisten Leute würden nie auf die Idee kommen, nachzusehen, aber wenn Sie die Vertragsdetails öffnen, könnten Sie einen Schock erleben.

Warum brauchen wir eine Genehmigung?


Jede Transaktion erfordert, dass ein Smart Contract Zugriff auf Ihr Wallet hat, um die Token auszugeben, die Sie investieren oder tauschen. Die Token-Zulassung ist der Höchstbetrag, den der Smart Contract von Ihrem Wallet ausgeben darf. Angenommen, Sie haben DAI im Wert von 10.000 Dollar, dann möchten Sie nicht, dass eine kleine Transaktion Zugriff auf den gesamten Betrag hat. Werfen Sie einen Blick auf die Berechtigungen, die dem Smart Contract erteilt werden, wenn Sie auf die Schaltfläche „Bestätigen“ klicken. In den meisten Fällen wird der Betrag auf „Unbegrenzt“ gesetzt. Igitt!

Es hört sich schlimmer an, als es ist, aber es besteht immer noch ein erhebliches Risiko, je nachdem, mit welchen Projekten Sie interagieren. In allen Situationen, in denen Werte gehandelt werden, gibt es findige Kriminelle, die den Prozess für ihre eigenen Zwecke untergraben wollen. In einem so neuen und komplexen Ökosystem wie Smart Contracts wird es immer Schlupflöcher, Hintertüren und Schwachstellen geben, die es auszunutzen gilt.

Was ist die Gefahr einer unbegrenzten Token-Approval?


In dieser Anfangsphase von DeFi bedeutet eine Investition oft, dass man Geld an ein Unternehmen schickt, über das man nichts weiß. In dem Bestreben, früh einzusteigen, wählen Yield-Farmer Unternehmen aus, die höchstens ein paar Wochen alt sind. Wenn Sie diesen anonymen Dienstleistern uneingeschränkten Zugang zu Ihren Token gewähren, kann das durchaus in einer Katastrophe enden.

Der bekannteste Fall ist der MEOW-Rugpull. Das UniCats-Projekt verlangte von den Nutzern, Uniswap-Token zu hinterlegen, um mit dem Farming von MEOW-Token zu beginnen. Der Smart Contract verlangte ein unbegrenztes Kontingent, das niemand kannte oder sich darum kümmerte. Die Leute klickten einfach auf „Bestätigen“, wie üblich. Als sich die Betrüger schließlich aus dem Staub machten, konnten sie nicht nur auf die gestaketen Gelder zugreifen, sondern auch auf alle UNI-Token, die sich in den Wallets der Nutzer befanden.

Ein weiterer Fall von Diebstahl ereignete sich mit dem treffend benannten Degen Money. Zwei Genehmigungstransaktionen wurden in den Smart Contract kodiert. Eine für eine legitime Adresse für die Anwendung, aber die andere für eine illegale Adresse, die vorbereitet worden war, um Krypto zu stehlen. Niemand überprüfte die Adressen, so dass die zusätzliche Adresse erst entdeckt wurde, als es schon zu spät war.

Andere Fälle von Missbrauch drehen sich um Entwickler, die Proxys einfügen, und um Code, der von Entwicklern kopiert und nachlässig angewendet wird. Es gibt eine großartige Erklärung von dem Mann hinter Revoke.cash. DeFi ist neu, unreguliert, und es gibt eine Menge böser Menschen da draußen. Wie können wir uns also schützen?

Wie man Approvals überprüft?


Es gibt mehrere Tools zur Kettenanalyse, die Ihnen helfen, unnötige Berechtigungen zu entziehen. Sie sind einfach zu bedienen und tun mehr oder weniger das Gleiche für verschiedene Blockchains und Wallets. Einige dieser Websites wurden von wohlwollenden Einzelpersonen ohne Gegenleistung erstellt, außer der Genugtuung, dem dezentralen Finanzwesen zum Fortschritt zu verhelfen.

●     Beefy Finance Revoke Feature


Beefy finance revoke features

Beefy Finance stellt nicht nur Vaults für sein Yield Farming zur Verfügung, sondern verfügt auch über eine Widerrufsfunktion. Es öffnete automatisch meine Metamask-Browsererweiterung Wallet und forderte mich auf, auf „Bestätigen“ zu klicken. Das Tool zeigt an: „Finde und widerrufe alle Adressen, die deine Token ausgeben können“, und gibt dir dann die Möglichkeit, die unerwünschten Berechtigungen zu widerrufen. Es ist einfach, kostenlos und effektiv.

●     Unrekt.net


unrekt revoke feature

Eine kostenlose Basis-Website ermöglicht es Wallet-Besitzern, Berechtigungen für mehrere Blockchains zu widerrufen, z. B. ETH, BSC, HECO, FTM und MATIC.

●     BSCscan/PolygonScan Token Approval Feature


BscScan homepage

Das BSC-Chain-Tool hilft Ihnen, Token-Genehmigungen für alle Ihre Dapps zu testen und zu widerrufen. Sie geben eine Wallet-Adresse ein und sehen die Dapps, die Zugriff auf Ihre Token haben.

●     Revoke.cash


Revoke cash

Diese Jungs sind transparent genug, um ihren Code auf GitHub zu zeigen. Das ist wichtig, denn man weiß nie, wer der erste sein wird, der dieses Widerrufsproblem ausnutzt. Irgendjemand wird unweigerlich ein Tool entwickeln, das vorgibt, Ihnen dabei zu helfen, unbegrenzte Berechtigungen zu widerrufen, und dann alle Ihre Kryptos stiehlt. Ich würde es ihnen nicht zutrauen!

Revoke.cash ist kompatibel mit Brave Browser, Metamask, MathWallet, Safepal, und TrustWallet.

●     TAC


Token allowance checker

Auf der TAC/Dappstar-Webseite können Sie die Berechtigungen für die folgenden Wallets widerrufen.

Sehen Sie sich auch unsere anderen Tests zu dezentralen Finanzplattformen an:

Schlussgedanken


Es ist ein Wettrüsten. Die Guten bauen etwas, dann hacken die Bösen es. Die Guten beheben das Leck, aber die Bösen denken sich neue Wege aus, um diese neuesten Sicherheitsupdates zu umgehen. Das ist nicht unbedingt etwas Schlechtes. Es ist die Art und Weise, wie sich die Sicherheit im Laufe der Zeit entwickelt, und es hat das gesamte Unternehmen der Kryptographie inspiriert, dem wir alles verdanken.

Dies könnte alles über die Wallet-Anwendung abgewickelt werden. Neben jedem Ihrer Coins sollte ein Kippschalter sein, der anzeigt, ob es unbegrenzt oder über einen benutzerdefinierten Schwellenwert hinaus ist. Ein weiteres Problem besteht darin, dass der Entzug einer Genehmigung 5 bis 15 Minuten dauert, bis er wirksam wird. Wenn Sie sich gegen einen bekannten Gauner verteidigen, wäre es dann möglich, dass bösartige Akteure in Ihr Wallet ein- und ausgehen, bevor Sie sie vernünftig aufhalten können?

Wenn DeFi weiter boomt, wird auch die damit verbundene Kriminalität zunehmen. Es gibt noch ungeahnte Möglichkeiten, die Lösungen erfordern werden. Wer weiß, über welchen Betrug ich nächstes Jahr schreiben werde? Bis der DeFi-Sektor auf einem festeren Fundament steht, müssen wir wachsam bleiben und uns jeder neuen Herausforderung stellen, wenn sie auftaucht.

[Einer der ärgerlichsten Aspekte des ganzen Debakels ist die Verwandlung des Wortes ‚Rug‘ in ein Verb. Es könnte jetzt zum Beispiel heißen: „Die neueste Meme Coin Staking Plattform bot 80000%APY, hat aber gerade all ihre Fanboys auf den Teppich geholt.“ Erwarten Sie, dies und Schlimmeres von nun an auf Dinnerpartys zu hören.]

intelligent crypto
How are  regular people making returns of as much as 70% in a year with no risk?  By properly setting up a FREE Pionex grid bot - click the button to learn more.
Crypto arbitrage still works like a charm, if you do it right! Check out Alphador, leading crypto arbitrage bot to learn the best way of doing it.

Torsten Hartmann
Torsten Hartmann

Torsten Hartmann has been an editor in the CaptainAltcoin team since August 2017. He holds a degree in politics and economics. He gained professional experience as a PR for a local political party before moving to journalism. Since 2017, he has pivoted his career towards blockchain technology, with principal interest in applications of blockchain technology in politics, business and society.

We will be happy to hear your thoughts

Hinterlasse einen Kommentar

CaptainAltcoin
Logo