Qu’est-ce que la révocation de l’approbation ? Comment protéger votre portefeuille crypto en toute sécurité

Dans le contexte d'une économie décentralisée qui se développe à un rythme galopant, la sécurité des actifs ne se limite plus à protéger la phrase de départ. L’une des failles de sécurité silencieuses mais les plus dangereuses aujourd’hui est le mécanisme « d’approbation » des contrats intelligents. Selon les experts de Tan Phat Digital, la révocation de l'approbation n'est pas seulement une opération technique mais également un ensemble essentiel de règles de gestion des risques pour tout individu ou organisation participant au marché des cryptomonnaies. Ce rapport analysera en détail la nature de cette action, les risques potentiels et les procédures de mise en œuvre sûres dans plusieurs écosystèmes.

1. La nature linguistique et juridique du concept de révocation

Le mot « révoquer » a le sens originel de « rappel » ou « rappel ». Dans le contexte moderne, il s'agit d'un terme largement utilisé du juridique au numérique avec les nuances spécifiques suivantes :

• Dans le domaine juridique : Il s'agit de l'acte d'annuler ou d'annuler la validité d'un document, d'un décret ou d'un pouvoir précédemment accordé. Par exemple, les autorités peuvent révoquer un permis commercial, un permis de conduire ou un visa si le sujet enfreint la réglementation.

• Dans l'administration : Aux États-Unis, le ministère de l'Immigration (USCIS) peut envoyer un « avis d'intention de révoquer » (NOIR) aux demandes de parrainage si des erreurs sont découvertes après l'approbation initiale. haut.

• Dans Crypto/DeFi : La révocation de l'approbation est l'acte d'interrompre l'accès que les utilisateurs ont accordé aux applications décentralisées (dApps) aux jetons ou aux NFT dans le portefeuille. Tan Phat Digital compare « approbation » à l'ouverture de la porte à un tiers pour faire l'inventaire, tandis que « révoquer » consiste à révoquer la clé et à verrouiller la porte.

• Dans les communications : Rappeler les e-mails (Rappel) ou révoquer le droit de consulter des documents pour empêcher le destinataire d'accéder à des informations mal envoyées ou sensibles.

En savoir plus : Qu'est-ce que MetaMask ? Guide d'analyse et d'installation des écosystèmes 2025

2. Mécanisme technique d'approbation des contrats intelligents

Pour protéger efficacement les actifs, les investisseurs doivent maîtriser le fonctionnement des ordres d'approbation sur le réseau blockchain.

Fonction d'approbation et d'autorisation (EVM)

Sur des réseaux comme Ethereum ou BNB Chain, lorsque vous utilisez une dApp, vous devez signer une transaction qui appelle la fonction approve. Cette fonction donne à une adresse de contrat intelligent le droit de déplacer jusqu'à un certain nombre de jetons depuis votre portefeuille. Ce statut est stocké dans la fonction allocation, qui indique le solde restant que la dApp est autorisée à dépenser.

Risques liés à « l'allocation illimitée »

La plupart des dApp demandent l'autorisation d'approuver un nombre extrêmement important, généralement 2 $^{256}-1 $. Il s'agit d'une « approbation illimitée ». Bien que cela permette d'économiser les frais de gaz pour les périodes futures, si ce contrat est attaqué par des pirates informatiques, ils peuvent drainer tous ces jetons sans avoir besoin de votre confirmation supplémentaire.

Mécanisme sur l'écosystème Solana

Contrairement à Ethereum, Solana utilise le modèle de « délégation ». Chaque jeton réside dans un « compte de jeton associé » (ATA) distinct. Lorsque vous approuvez, vous attribuez un « délégué » à ce compte. Revoke sur Solana supprime essentiellement ces informations de représentation, donnant un contrôle total au propriétaire.

3. Pourquoi les vérifications et les révocations régulières du portefeuille sont-elles vitales ?

Le nettoyage régulier du portefeuille est la dernière couche de défense sur laquelle Tan Phat Digital met particulièrement l'accent pour les raisons suivantes :

• Prévention intelligente des exploits de contrats : Les pirates ciblent souvent les anciens contrats (anciens contrats) qui ne sont plus surveillés pour analyser et retirer de l'argent des adresses de portefeuille à chaque niveau d'autorisation.

• Limiter les dommages Phishing : les méchants incitent souvent les utilisateurs à signer des commandes « Approuver » via de faux sites Web de largage. Une détection et une révocation immédiates peuvent empêcher de futures pertes d'actifs.

• Gestion des approbations cachées : Des normes telles que Permit2 ou EIP-712 autorisent des approbations hors chaîne qui ne sont pas visibles sur les explorateurs de blocs traditionnels.

• Remarque concernant le Sweeper Bot : Si votre portefeuille a été installé avec un « sweeper bot » (un robot qui retire automatiquement de l'argent dès qu'il est déposé en raison de la révélation de la phrase de départ), la révocation ne sera plus effective ; Dans ce cas, vous êtes obligé d'abandonner l'ancien portefeuille et d'en créer un nouveau.

Voir plus : Qu'est-ce qu'un Smart Contract ? Ce qu'il faut savoir sur le contrat intelligent

4. Instructions pour le processus de révocation sécurisé

Tan Phat Digital guide le processus de mise en œuvre sur des outils populaires :

Exécution sur les chaînes Ethereum et EVM (Revoke.cash)

1. Connexion : Allez sur revoke.cash, sélectionnez "Commencer" et connectez votre portefeuille personnel

2. Vérification : Le système affiche la liste des jetons, le montant de l'approbation et la valeur du risque. Vous pouvez choisir le réseau (Ethereum, BNB Chain, Polygon...) à vérifier.

3. Révoquer : Cliquez sur "Révoquer" et signez la confirmation sur le portefeuille. Vous pouvez également sélectionner "Mettre à jour" (icône de stylo) pour modifier la limite de dépenses au lieu de la révoquer complètement.

Faites-le sur Solana

• Utilisez l'outil Famous Foxes Revoker pour analyser toutes les fiducies (délégations) et sélectionnez "Révoquer tout" pour supprimer les anciennes autorisations en une seule transaction.

• Vérifiez directement sur Solscan ou Solana.fm dans l'onglet "Portfolio" pour rechercher des comptes avec des délégués et exécuter le rappel.

5. Avertissement de révocation de phishing : le piège des « fausses approbations »

Une nouvelle tendance de phishing signalée par Tan Phat Digital est que les attaquants créent de faux enregistrements d'événements (journaux) qui amènent le portefeuille à afficher une commande d'approbation étrange.

• Essence : Aucun droit d'accès n'est réellement accordé, mais les méchants incitent les utilisateurs à paniquer et à trouver un moyen. "révoquer".

• Conséquences : Lorsque vous appuyez sur révoquer sur de faux sites Web, vous pouvez être amené à signer une transaction avec des frais d'essence extrêmement élevés ou il s'agit en fait d'un ordre de transfert d'argent destiné à des pirates.

• Comment éviter : Restez toujours calme, vérifiez les frais d'essence (si des frais inhabituellement élevés sont un signe de fraude) et n'utilisez que des outils réputés. crédit.

6. Répondant aux concepts associés

Pour fournir une vue complète, Tan Phat Digital répond à quelques questions plus fréquemment posées :

Qu'est-ce qu'une liste blanche ?

• Dans Crypto : Liste des portefeuilles avec priorité pour acheter des jetons tôt (ICO/IDO), créer des NFT ou avoir le droit de retirer de l'argent à une adresse sûre sur l'échange CEX.

• Dans E-mail : Une liste d'adresses d'envoi fiables permet aux e-mails d'être envoyés directement dans la boîte aux lettres principale (Boîte de réception), en contournant les filtres anti-spam.

Qu'est-ce que FYP ?

Selon le contexte, FYP peut avoir différentes significations :

• Dans un e-mail/message : Généralement "Corrigé votre message", une manière conviviale d'avertir quelqu'un lorsque vous aide à corriger l'orthographe ou le contenu. erreurs.

• Dans les assurances : "Première année Premium".

• Sur les réseaux sociaux (TikTok/Instagram) : "Pour votre page", le flux est personnalisé en fonction des préférences de l'utilisateur.

Distinguer entre Rappel et Annuler l'envoi par e-mail

• Outlook (Rappel) : Mécanisme côté serveur, permettant de supprimer l'e-mail envoyé si le destinataire (même organisation) ne l'a pas lu.

• Gmail (Annuler l'envoi) : Mécanisme pour retarder l'envoi (généralement 5 à 30 secondes). L'e-mail ne quitte pas réellement les serveurs de Google pendant ce temps.

Comparez CC et BCC dans les communications

• CC (Carbon Copy) : Le destinataire peut voir la liste complète des autres e-mails recevant le message.

• BCC (Blind Carbon Copy) : Masque la liste des destinataires, aide à protéger la confidentialité et à éviter les attaques de phishing. série.

7. Stratégie de gestion d'actifs pour les investisseurs

Tan Phat Digital recommande une feuille de route de sécurité à 3 niveaux :

1. Cold Wallet : Stockage à long terme, ne jamais connecter dApp ni signer d'approbation d'ordres.

2. Hot Wallet : Interagissez avec les principaux échanges (Uniswap, PancakeSwap), effectuez des révocations périodiquement chaque mois.

3. Wallet "Burner" : Spécialisé dans la chasse aux parachutages ou dans le test de nouveaux projets, prêt à abandonner le portefeuille s'il y a des signes d'attaque.

8. Étude de cas typique sur l'incident de sécurité et l'approbation des actifs

1. Cas UniCats (John Doe - 2020) : Un utilisateur nommé John Doe a approuvé le droit d'utiliser des jetons UNI pour le projet UniCats afin d'exploiter des jetons MEOW. En fait, il s’agit d’un site Web frauduleux ; Les méchants ont profité du droit « allocation illimitée » pour retirer 36 000 UNI (d'une valeur de plus d'un million de dollars) pendant que l'utilisateur dormait.  

2. SushiSwap RouteProcessor2 (2023) : Une vulnérabilité dans le nouveau contrat de routage permet aux pirates informatiques d'exécuter une commande transferFrom à partir du portefeuille de tout utilisateur ayant signé une commande d'approbation pour ce contrat. Le total des dommages est estimé à 3,3 millions de dollars.

3. Transit Swap (2022) : Les pirates informatiques exploitent l'erreur des contrôles d'entrée manquants dans la fonction claimTokens. Combiné au fait que l'utilisateur avait précédemment accordé l'accès au portefeuille, l'attaquant a retiré un total de près de 21 millions USD des portefeuilles de plusieurs clients.

4. Multichain Bridge (2022 et 2023) : En janvier 2022, une vulnérabilité d'approbation a fait perdre 3 millions USD aux utilisateurs. En juillet 2023, l'incident est devenu plus grave lorsque les clés privées ont été compromises, entraînant des pertes de plus de 210 millions USD, affectant gravement l'écosystème Fantom (maintenant Sonic Labs).

5. Unizen (2024) : Immédiatement après avoir mis à niveau le contrat pour réduire les frais de gaz, DEX Unizen a été exploité par des pirates informatiques pour exploiter une vulnérabilité d'appel externe, volant 2,1 millions USDT. des portefeuilles qui détiennent toujours l'ancien ordre d'approbation.

6. Balancer (2025) : Les pirates ont profité du problème de direction d'arrondi pour retirer l'argent des utilisateurs via des contrats approuvés, causant des pertes de plus de 120 millions de dollars.

7. Ronin Network - Sky Mavis (2022) : Le plus grand piratage de l'histoire des startups vietnamiennes, les pirates ont pris le contrôle du nœud, valide et retire 625 millions USD du pont Ronin.

8. Poly Network (2021) : Une attaque cross-chain sophistiquée cible Ethereum, BNB Chain et Polygon, retire 611 millions USD. Cela témoigne du risque lorsque les protocoles d'échange de jetons ont trop de pouvoir.

9. KyberSwap (2023) : La plate-forme blockchain vietnamienne a été exploitée par des pirates informatiques pour des erreurs logiques, emportant 48,4 millions de dollars. C'est une leçon d'examen technique, même pour les projets réputés de longue date.

10. Campagne Smishing E-ZPass (2025) : Pas directement via un contrat intelligent, mais les pirates ont utilisé des techniques d'ingénierie sociale pour inciter les utilisateurs à accéder à de faux sites Web, volant des milliards de dollars en se faisant passer pour une agence d'État et en demandant un paiement/une autorisation.

9. Foire aux questions (FAQ)

1. La déconnexion remplace-t-elle la révocation ? Non. La déconnexion empêche uniquement le site Web de voir l'adresse de votre portefeuille, mais les approbations signées existent toujours sur la blockchain et les pirates peuvent toujours retirer des fonds si le contrat est exploité.

2. La révocation des approbations arrête-t-elle de miser des récompenses ? Généralement non. Vous occupez toujours la position et recevez des récompenses de mise/prêt. Cependant, si la stratégie nécessite que le contrat déplace des jetons supplémentaires, vous devrez l'autoriser à nouveau.

3. L'exécution d'un ordre de révocation coûte-t-elle du gaz ?Oui. Puisqu'il s'agit d'une transaction en chaîne pour modifier l'état d'autorisation sur la blockchain, vous devez payer une somme modique (par exemple ~0,000005 SOL sur Solana ou une petite quantité d'ETH/BNB selon le réseau).

4. Un portefeuille froid me protège-t-il complètement des risques d'autorisation ? Non. Les portefeuilles froids protègent les clés privées, mais si vous avez « Approuvé » un contrat malveillant, un pirate informatique peut retirer des actifs directement sans avoir besoin de intervention du portefeuille froid par la suite.

5. Puis-je récupérer les fonds piratés par Revoke ? Non. Revoke est un outil permettant de prévenir des dommages futurs. Pour les actifs qui ont été déplacés hors du portefeuille, l'action de révocation ne peut pas aider à les restaurer.

6. La révocation modifiera-t-elle mon solde de tokens existant ? Absolument pas. La révocation consiste simplement à remettre à zéro la limite de dépenses de tiers de votre token, sans affecter la propriété des actifs.

7. Quelle est la différence entre « Révoquer » et « Mettre à jour » la limite ? La révocation est l'annulation complète de l'accès. La mise à jour vous permet de modifier la limite de dépenses (par exemple, autoriser uniquement les dépenses de 100 USDT) pour garantir la sécurité et ne pas avoir à signer à nouveau plusieurs fois.  

8. À quelle fréquence dois-je vérifier mon portefeuille ? Tan Phat Digital recommande de vérifier chaque semaine si vous négociez beaucoup, ou au moins une fois par mois. Prenez l'habitude de révoquer immédiatement après avoir effectué d'étranges parachutages ou transactions dApp.

9. Comment faire la différence entre la messagerie Gmail et la messagerie électronique à protocole commun ? Gmail est un fournisseur de services Google avec des fonctionnalités telles que Annuler l'envoi, tandis que la messagerie électronique est un protocole de communication mondial qui fonctionne sur des normes telles que SMTP, IMAP et POP3.  

10. Quelle est la signification de FYP dans le domaine de l'assurance ? Dans l'assurance-vie, FYP signifie « First Year Premium », qui est la prime que les clients paient la première année pour garantir les avantages du contrat.

Le pouvoir dans le monde décentralisé s'accompagne d'une responsabilité personnelle. Maîtriser le mécanisme Revoke et maintenir l'habitude de « nettoyer votre portefeuille » périodiquement est le meilleur moyen de protéger vos résultats d'investissement contre les risques silencieux. Tan Phat Digital s'engage à vous accompagner dans l'amélioration des connaissances en matière de sécurité des actifs numériques.