科普 | 令牌授权：加密货币行业用户体验的最大障碍

如果你是 DeFi 的深度用户，你一定无数次被这个繁琐的流程折磨过。 每次使用新的 dApp 时，您都需要授权该 dApp 使用您的代币。

- Metamask 上的授权接口 -

与传统金融行业相比，这个过程有点类似于直接扣款，授权你的电力供应商每月从你的银行账户中扣除电费。

然而，与加密货币行业不同的是，传统金融行业中的直接借记操作仅适用于少数受信任的公司。 这类公司欺骗消费者的可能性较小，即使偶尔发生，消费者也可以提出异议，银行充当调解人。 加密货币行业没有这样的工具。 一些 dApp 是由匿名开发人员构建的，没有针对受骗用户的争议机制。 一旦在区块链上进行了支付，就无法撤销。

什么是令牌授权？ 它是如何工作的？

以太坊区块链上的大多数代币，例如 USDC 和 DAI，都使用 ERC20 标准。 ERC20 代币实际上是包含不同方法的智能合约，例如 transferFrom 和 burn。 当用户调用这些方法时，应用程序会对令牌进行相应的操作。

其中一种方法是批准。 您要使用的任何 dApp 都需要访问您的 ERC20 令牌才能对其进行操作。 例如，如果你想将 USDC 存入 Aave，你首先需要授予 Aave dApp 的智能合约访问 USDC 的权限，然后你可以通过二次交易将 USDC 存入 Aave。 您可以在您的以太坊钱包 UI 上看到此授权。 虽然许可证的可用性在理论上是灵活的，但大多数 dApp 默认情况下都需要无限制的许可证，以简化用户体验并最大限度地减少用户使用该应用程序所需的交易次数。

这里的一个安全问题是，大多数用户认为他们的授权是针对特定交易的，并且是有限的，但在大多数情况下，用户实际上是在授予 dApp 永久访问他们持有的某些令牌的权限。 权限是无限的。 因此，如果一个 dApp 存在安全问题或者从一开始就是恶意的，攻击者可以在未经用户同意的情况下滥用该授权窃取 dApp 用户持有的所有授权代币。 这种攻击可以在未来的任何时候发起，甚至可以在用户使用 dApp 数年后发起。

如何保护自己？ 好消息是您可以保护自己免受这些威胁。 在下一节中，我们将探讨如何在使用标准以太坊钱包（如 Metamask）时保护您的代币安全，并介绍一些可以自定义以与 dApp 交互的钱包。

1.如何手动撤销token授权

如果你想手动撤销授权，你需要使用像 Token Allowance Checker 这样的工具。 这些工具连接到你的钱包并扫描整个区块链以获取与你的以太坊地址相关联的所有 dApp 授权。 然后，您可以编辑许可证：将许可证可用数量设置为 0 以取消许可证，或将其设置为可接受的数量。 授权修改是通过与各个 ERC20 代币合约交互来实现的。

定期执行此过程以取消对您不再打算使用的 dApp 的授权是个好主意。 虽然这会花费您一些费用，因为每笔交易都需要在链上结算，但从长远来看，您的钱包会给您应有的回报。

提示：如果您想节省汽油费用，请下载加油站网络扩展程序以在您的浏览器上跟踪汽油价格。 您可以等到 gas 成本降低后再编辑您的许可证可用性。

2. 下一代以太坊钱包如何保护用户资金

一些已经上线的智能合约钱包也有保护功能。 智能合约钱包具有很强的灵活性，可以为用户提供定制化的智能合约交互方式。 因此，很多智能合约钱包都实现了定制化的授权方式，以提高用户体验和安全性。

原生集成：以 Argent 为例

例如，Argent 是一个移动以太坊钱包，它已经将一些核心的 DeFi 应用程序原生集成到应用程序中，以便用户可以借贷、赚钱和交易。

这类钱包从智能合约层面整合了这些dApp，保证用户在与这些dApp交互时，只能按照实际请求金额对这些dApp进行授权。 这一切都在后台自动发生，因此 Argent 用户甚至不知道授权交易的存在。

Argent x 钱包连接

本机集成的一个缺点是它们不可扩展，如 Argent。 应用程序不可能原生集成每个 DeFi 协议。 对于大多数用户来说，Argent 目前集成的应用可能已经足够了，但重度 DeFi 用户每天使用十几个不同的 dApp，并不想局限于几个 dApp。

一个名为 WalletConnect 的标准可以解决这个问题。 WalletConnect 允许用户将他们的移动钱包连接到 Web 应用程序，并通过移动钱包安全地签署交易。 Argent 实现了 WalletConnect 集成的定制化，允许用户轻松设置可用的授权量（告别无限制授权）。 此外，如果 Argent 用户改变主意，他们可以在 Argent 应用程序中一键取消对 dApp 应用程序的授权。 由于大多数 dApp 都支持 WalletConnect，因此该功能允许 Argent 用户在探索整个 DeFi 空间的同时享受高级别的安全性。

批量交易和 dApp 密钥：Authereum 案例

另一个优雅地处理授权的智能合约钱包是 Authereum。 Authereum 是基于网络的，并受到大多数以太坊 dApp 的支持。 此外，Authereum 使用传统的邮箱和密码登录，因此你可以在几秒钟内将你的钱包连接到 dApp，并且用户体验与传统应用程序相似，而不会牺牲安全性。

当用户需要与 dApp 交互时，Authereum 会生成一个新的临时 dApp 密钥，用于为该特定 dApp 签署交易。 dApp 密钥只能执行有限的功能，Authereum 将执行一些完整性检查。 如果发起请求的域不是创建 dApp 密钥的域，Authereum 可以拦截交易或通知用户。 最后，这些 dApp 密钥可以随时从 Authereum 钱包中删除。

将多个事务打包到一个事务中还有许多其他优点。 优势之一是效率——批处理交易可以节省成本和时间。 以太坊上每笔正常的转账交易消耗 21,000 gas。 如果用户一次打包 10 笔交易，总共可以节省 189,000 gas。 此外，用户可以尝试通过发送连续交易来节省时间。

批处理交易的唯一问题是 dApp 需要添加一些自定义逻辑和 UI 流程才能正确处理交易。 到目前为止，只有1inch、Erasure等少数dApp支持这种交易模式如何在以太坊上发代币，但我们预计未来会有更多的dApp支持这种交易模式。

综上所述

令牌授权存在很大的安全隐患。 如果我们想要提高加密货币应用的用户体验和安全性，显然需要改进令牌授权功能。 Authereum 和 Argent 等钱包提供了创新方法，使 dApp 交互更加安全。 不幸的是，在很多情况下，这种类型的交易模型需要 dApp 开发人员的额外工作，因此用户需要耐心等待一段时间。

不能容纳上述解决方案的标准以太坊钱包至少应该允许用户查看和编辑他们的 dApp 令牌授权可用性。 像 Token Authority Checker 这样的工具很方便，但并不是每个用户都知道它们。

（结束）

（本文链接较多如何在以太坊上发代币，可点击左下方“阅读原文”从EthFans网站获取）

原文链接：