Lahat ng artikulo
Seguridad ng WalletSmart ContractsBEP20

Token Approval: Paano Naubusan ang mga Wallet at Paano I-revoke ang mga Pahintulot

Praktikal na gabay para maintindihan ang Token Approval sa mga smart contract — paano ubusin ng mga drainer contract ang wallet, at ang mga hakbang para suriin at i-revoke nang ligtas ang mga pahintulot sa mga network tulad ng BEP20.

Koponan ng Paperino6 min babasahin

Nangyari na ba sa'yo na nag-connect ka ng wallet sa isang decentralized app (dApp) gamit ang isang click sa button na "Approve", tapos nakalimutan mo na agad ito? Ang sandaling ito na parang walang bigat pala ay maaaring manatiling bukas sa loob ng mga taon, at ito ang isa sa mga pinakakaraniwang paraan kung paano naubusan ang mga wallet ngayon. Sa gabay na ito, ipapaliwanag namin kung ano ang "Token Approval," kung paano ito sinasamantala ng mga scammer, at higit sa lahat — kung paano mo mismo susuriin at i-re-revoke ang iyong mga pahintulot nang paisa-isa.

Ano ang Ibig Sabihin ng "Token Approval"?

Ang mga token tulad ng USDT sa BEP20 network ay hindi kumikilos nang mag-isa. Kapag gusto mong gamitin ang mga ito sa isang dApp — swap, liquidity, o kahit anong smart contract — kailangan ng kontrata na iyon ng paunang pahintulot para makuha ang token mula sa iyong wallet. Ang pahintulot na ito ay tinatawag na "Allowance," at ibinibigay mo ito sa pamamagitan ng isang "Approve" na transaksyon.

Ang problema, karamihan sa mga app ay by-default humihiling ng walang limitasyong (Unlimited) pahintulot — ibig sabihin, "payagan ang kontratang ito na kumuha ng kahit anong dami ng token na ito, anumang oras, magpakailanman." Isang beses ka lang mag-sign, pero mananatiling bukas ang pintong iyon hanggang isara mo ito mismo.

Ang pag-sign sa "Approve" ay hindi agad-agad kumikilos sa iyong pera sa mismong sandaling iyon, pero binibigyan nito ang kontrata ng permanenteng susi. Ang panganib ay wala sa halaga ngayon, kundi sa pahintulot na naiwang bukas para sa hinaharap.

Paano Inuubos ng mga Drainer Contract ang mga Wallet?

Ang mga drainer contract (Approval Drainers) ay hindi "nag-ha-hack" sa iyong wallet — nililinlang ka nila para mismong ikaw ang mag-sign ng pahintulot. Ganito karaniwang nangyayari:

  1. Nadadatnan mo ang isang pekeng website na kamukha ng isang kilalang platform, o naaakit ka ng isang mensahe tungkol sa "reward" o libreng "airdrop."
  2. Hihilingin ng website na i-connect ang wallet mo, tapos magpapakita ito ng signing window na parang normal lang.
  3. Sa totoo lang, ang sign na iyon ay pagbibigay ng walang limitasyong pahintulot sa isang token na pag-aari mo (tulad ng USDT o token ng network).
  4. Walang mukhang nangyayari kaya akala mo bigo ang proseso at aalis ka na lang.
  5. Pagkatapos ng ilang oras o araw, ipapatupad ng attacker ang function na transferFrom at kukunin ang balance mo — nang sabay-sabay o unti-unti.

Ang pinaka-mapanganib na taktika ay ang mga Permit at Permit2 na signature: isang "off-chain" na sign na walang gas fee at hindi lumalabas bilang transaksyon, pero nagbibigay pa rin ito ng buong pahintulot. Kaya naman, maaaring mukhang inosente talaga ang ganitong hiling.

Walang seryosong platform na hihiling sa iyo na "mag-sign para makatanggap ng reward" o "i-reactivate ang account" sa pamamagitan ng pagbibigay ng pahintulot sa mga token mo. Halos palaging babala ng panganib ang anumang hiling na mag-sign kapalit ng libreng pera.

Mga Babala Bago Mag-sign

  • Ang link sa website ay galing sa pribadong mensahe, bayad na ad, o isang "support" account na siyang unang nag-message sa'yo.
  • Nagpapakita ang signing window ng wallet ng salitang Approve o Permit para sa isang token na hindi mo naman balak i-swap ngayon.
  • Ang hinihiling na pahintulot ay walang limitasyon, gayong maliit lang na halaga ang kailangan mo.
  • Hindi kilala ang address ng benepisyaryong kontrata at hindi ito lumalabas sa blockchain explorer bilang kilalang kontrata.
  • Pagmamadali at presyon ng oras: "matatapos na ang offer sa loob lang ng ilang minuto."

Paano Susuriin at I-re-revoke ang mga Pahintulot Mo?

Ang magandang balita, maaaring i-revoke ang mga pahintulot anumang oras, at simple lang ang proseso. Ang ginagawa mo lang ay magpadala ng transaksyon na magbabalik sa allowed limit pabalik sa zero.

Mga Praktikal na Hakbang

  1. Buksan sa browser ang isang mapagkakatiwalaang Revoke Tool para suriin ang mga pahintulot, at siguraduhing i-type mo mismo ang address, hindi galing sa link na natanggap sa isang mensahe.
  2. I-connect ang wallet mo, o mas mabuti pa: i-paste muna ang public address mo lang para tingnan nang walang koneksyon, tapos saka lang gawin ang revoke pagkatapos matiyak ang lahat.
  3. Piliin ang tamang network (tulad ng BNB Smart Chain para sa mga BEP20 token).
  4. Suriin ang listahan ng mga pahintulot: bawat linya ay may token, benepisyaryong kontrata, at allowed limit.
  5. Hanapin ang mga pahintulot na walang limitasyon o mga kontratang hindi mo kilala, tapos i-click ang "Revoke."
  6. I-sign ang transaksyon ng pag-revoke, bayaran ang maliit na gas fee, at hintayin ang kumpirmasyon.

Bawat on-chain na transaksyon ng pag-revoke ay may kasamang maliit na gas fee. Mag-priyoridad: i-revoke muna ang mga walang-limitasyong pahintulot sa mga token na may mataas na halaga (USDT, token ng network).

Mga Paraan para Suriin ang mga Pahintulot

ParaanPaano GumaganaTandaan
Espesyal na Revoke ToolIpinapakita ang lahat ng pahintulot at ino-revoke ito sa isang clickPinakamabilis; suriing mabuti ang address ng website
Blockchain ExplorerTab na "Token Approvals" sa explorer ng networkMapagkakatiwalaan at direkta mula sa on-chain na data
Ang Wallet MismoMay built-in na seksyon ng pahintulot ang ilang walletPraktikal kung available sa wallet mo

Mga Ugali na Poprotekta sa'yo sa Hinaharap

  • Mag-set ng halaga: Kapag mag-a-"Approve," piliin ang pahintulot ayon lang sa kailangan mo, hindi "walang limitasyon" kung binibigyan ka ng app ng option.
  • Regular na suriin: Tingnan ang mga pahintulot mo kada ilang linggo, at pagkatapos ng anumang interaksyon sa bagong website.
  • Paghiwalayin ang mga wallet: Isang maliit na "test" wallet para sa bagong website, at isang "safe" wallet na hindi mo iko-connect sa kahit anong dApp.
  • Basahin ang signing window: Intindihin ang pangalan ng function at ang benepisyaryong kontrata bago mag-click; kung hindi mo naiintindihan, huwag mag-sign.
  • Mag-ingat sa mga sign na walang gas: Ang Permit na sign ay maaaring walang bayad, pero nagbibigay pa rin ito ng buong pahintulot.

Pang-edukasyon lamang ang nilalamang ito upang palakasin ang kamalayan mo sa seguridad — hindi ito payo pinansyal, legal, o pangrelihiyon. Nagbabago-bago ang mga revoke tool at pangalan ng network, kaya laging suriin mismo ang mga opisyal na sanggunian bago mag-connect ng wallet o mag-sign ng kahit ano. Ikaw lamang ang may buong responsibilidad sa pagprotekta sa iyong mga key at pahintulot.

Konklusyon

Ang token approval ay mahalagang tool para sa mga decentralized app, pero ito rin ang pinaka-pinagsasamantalahang likurang pinto. Simple lang ang tuntunin: magbigay lang ng kailangan mo, at i-revoke ang hindi mo na ginagamit. Gawin mong regular na ugali ang pagsuri sa mga pahintulot, tulad ng paglilinis ng iyong wallet, at isasara mo sa mga scammer ang kanilang pinakamalawak na pinto bago pa man sila kumatok. Sa Paperino, naniniwala kami na nagsisimula ang seguridad sa kamalayan — isang hakbang ng pag-revoke ngayon ay maaaring magprotekta sa buo mong balance bukas.

Handa nang tumawid?

Mag-sign up, kunin ang iyong unang pato, at magsimulang kumita ng USDT.

Magsimula

Mga kaugnay na artikulo

Nasa matapang ang swerte. Tumawid nang buong tapang — totoo ang mga gantimpala.