代币授权:密码学货币行业客户体验的最大障碍

时间:2021-09-20 17:11编辑:未知

代币授权:密码学货币行业客户体验的最大障碍 New

怎么样手工撤销代币授权

假如你想手工撤销授权,你需要用 Token Allowance Checker 之类的工具。这种工具可以连接到你的钱包,并扫描整个区块链来探寻所有与你的ETH地址有关的 dApp 授权。然后,你就可以编辑授权:将授权可用量设定为 0 从而取消授权,或者设定为你能同意的量。授权修改是通过与各个 ERC20 代币合约交互来达成的。

最好可以按期实行这一步骤,取消你不计划再用的 dApp 的授权。虽然这会花费你一点本钱,由于每笔买卖都需要在链上结算,但从长期来看,你的钱包会给你应有些回报。

建议:假如你想要节省 gas 本钱,可以下载 Gas Station Network 扩展程序插件来在你的浏览器上追踪 gas 价格。你可以等到 gas 本钱较低时再编辑你的授权可用量。

下一代ETH钱包怎么样保护用户资金

一些已经推出的智能合约钱包也拥有防护功能。智能合约钱包具备非常强的灵活性,可以为用户提供定制化的智能合约交互方法。因此,很多智能合约钱包已达成定制化的授权方法,提升了客户体验和安全性。

原生整理:以 Argent 为例

比如,Argent 是手机端ETH钱包,已经将一些核心 去中心化的金融 应用原生整理到应用中,以便用户进行借贷、赚取收益和买卖。

这种钱包从智能合约层面整理了这部分 dApp,并确保用户在与这部分 dApp 进行交互时,这部分 dApp 只能得到实质请求量的授权。这所有都是在后台自动进行的,因此 Argent 用户甚至不知晓授权买卖的存在。

Argent x Wallet Connect

原生整理的一个缺点是不拥有可扩展性,就像 Argent 一样。应用程序不可能原生整理每个 去中心化的金融 协议。对于大部分用户来讲,Argent 现在已经集成的应用可能足够了,但重度 去中心化的金融 用户用天天都要用十几个不一样的 dApp,不想局限于少数几个 dApp。

一个名为 WalletConnect 的规范可以解决这个问题。WalletConnect 可以让用户将他们的移动钱包连接到 web 端应用,并通过移动钱包安全地签署买卖。Argent 达成了 WalletConnect 整理定制化,让用户可以轻松设置授权可用量(从此告别无限量授权)。除此之外,假如 Argent 用户改变了想法,可以在 Argent 应用中一键取消对某个 dApp 应用的授权。因为大部分 dApp 都支持 WalletConnect,该功能可以让 Argent 用户在尽情探索整个 去中心化的金融 范围时享受极高的安全性。

批量买卖和 dApp 密钥:以 Authereum 为例

另一个可以高雅处置授权的智能合约钱包是 Authereum。Authereum 基于 web 端,而且大部分ETH dApp 应用都支持。另外,Authereum 使用传统的电子邮件和密码登录,因此可以在几秒内将你的钱包连接到 dApp,客户体验类似传统应用,而且无需牺牲安全性。

当用户需要与 dApp 交互时,Authereum 会生成一个新的临时 dApp 密钥,用来签署特定 dApp 的买卖。该 dApp 密钥只能实行有限的功能,另外 Authereum 会实行一些完整性检查。假如发起请求的域不是创建 dApp 密钥的域,Authereum 可以拦截该买卖或公告用户。最后,这部分 dApp 密钥可以随时从 Authereum 钱包中删除。

将多个买卖打包到一个买卖内还有不少其它优点。其中一个优点是高效 —— 批处置买卖可以节省本钱和时间。ETH上的每一个一般转账买卖都需要消耗 21,000 gas。假如用户一次性打包 10 个买卖,总共可以节省 189,000 gas。另外,用户可以尝试通过发送连续买卖来节省时间。

批处置买卖的唯一问题是,dApp 需要增加一些定制化的逻辑和 UI 步骤来适合地处置买卖。现在为止,只有 1inch 和 Erasure 等少数 dApp 支持这种买卖模式,但大家预期后续或有更多 dApp 支持该买卖模式。

Metamask 上的授权界面

跟传统金融行业类比一下,这个步骤有点像办理直接借记,授权你的供电子商务每月从你的银行竞价推广账户上扣除电费。

但,与密码学货币行业不一样的是,传统金融行业的直接借记业务只面向少数可信公司。这种公司不太会欺骗消费者,即便偶尔发生欺骗消费者的行为,消费者也可以提出异议,由银行充当调停者。密码学货币行业没这种工具。一些 dApp 是由匿名开发者构建的,没为被骗用户设立的争议机制。一旦在区块链上完成付款,就没办法撤销。

代币授权是什么?它是怎么样运作的?

ETH区块链上的大部分代币,如 美元C 和 D人工智能,都使用 ERC20 标准。ERC20 代币事实上是智能合约,包含不一样的办法,如transferFromburn。用户调用这部分办法,应用就会对代币做相应的操作。

其中一种办法是approve。任何你想要用的 dApp 都需要访问你的 ERC20 代币才能对其进行操作。比如,假如你想要在 Aave 中存入 美元C,你第一需要授与 Aave dApp 的智能合约访问 美元C 的权限,然后才能通过第二笔买卖将 美元C 存入 Aave。你可以在你的ETH钱包用户界面上看到该授权。虽然授权可用量从理论上来讲是灵活的,但大部分 dApp 会默认需要无限量授权,以此简化客户体验,并尽量降低用户用该应用所需进行的买卖次数。

这里存在的一个安全问题是,大部分用户觉得他们的授权是针对某个买卖,而且是限量的,但在大部分状况下,用户事实上授与了 dApp 永久访问他们持有些某种代币的权限,而且是不限量的。因此,假如 dApp 出现安全问题或从刚开始就是恶意的,攻击者就可以将滥用这种授权来盗取 dApp 用户持有些全部已授权代币,而不需要经过用户赞同。这种攻击可以在以后的任意时刻发起,即便是在用户用过 dApp 的若干年后。

怎么样保护自己?好消息是,你可以保护自己免受这种威胁。在下一节中,大家将探讨的是,当你用 Metamask 等标准ETH钱包时,怎么样保障你的代币的安全性,并介绍了一些可以通过定制办法与 dApp 交互的钱包。

结论

代币授权存在非常大的安全隐患。假如大家想要改变密码学货币应用的客户体验和安全性,大家显然需要改进代币授权功能。Authereum 和 Argent 之类的钱包可以通过革新的方法让 dApp 交互愈加安全。遗憾的是,在不少状况下,这种买卖模式需要 dApp 开发者进行额外的工作,因此用户需要耐心等待一段时间。

没办法使用上述解决方法的规范ETH钱包至少应该让用户可以查询并编辑其 dApp 代币授权可用额。代币授权检查程序等工具很便捷,但不是每一个用户都了解它们。

摘要:假如你是 去中心化的金融 深度用户,你一定被这个繁琐的步骤折磨过无数次了。每当你用一个新的 dApp,你都需要授权这个 dApp 花费你的代币。

假如你是 去中心化的金融 深度用户,你一定被这个繁琐的步骤折磨过无数次了。每当你用一个新的 dApp,你都需要授权这个 dApp 花费你的代币。

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

本文标签: 密码学货币

上一篇:没有了

下一篇:没有了