Jedním z charakteristických znaků Web3 je poskytovat uživatelům plnou kontrolu nad soukromím a tím, jak interagují s jeho platformami. Přečtěte si, jak spravovat schválení a oprávnění v MetaMask.
I když jsou vaše zkušenosti s interakcí s blockchainy, jako je Ethereum, omezeny na odesílání jednoduchých transakcí mezi peněženkami, svou transakci budete mít schválenou, autorizovanou nebo podepsanou. To jednoduše znamená, že potvrzujete jeho odeslání do blockchainu.
Stejný proces platí i pro interakci s dapps ve Web3: existuje spousta možností, s nimiž lze souhlasit, schvalovat a povolovat. Ale co je skutečně ve schválení MetaMask?
Abychom tuto otázku rozebrali, musíme nejprve pokrýt některé základní aspekty kryptografie.
Klíče a kryptografie: co je schválení?
Veškerá vaše kryptografická aktivita je založena na kryptografii veřejného klíče. Každá peněženka má v podstatě odpovídající veřejný a soukromý „klíč“ vygenerovaný při vytvoření peněženky. Představte si dveře, které vyžadují odemknutí závory a otočení západky, abyste mohli vstoupit, přičemž pro každé máte jiný klíč. Vlastnictví jediného klíče vás nikam nedostane – potřebujete pár.
I když je to přílišné zjednodušení, můžeme přijmout výzvu těchto hypotetických dveří a aplikovat podobnou logiku na vaši kryptopeněženku. Váš soukromý i veřejný klíč jsou nezbytné k provedení transakce: soukromý klíč, kterým prokážete, že jste transakci zahájili, a veřejný klíč pro příjemce k ověření původu. Funguje to takto:
Rozhodnete se odeslat tokeny kontaktu.
Protože znáte adresu peněženky příjemce, držíte jeho veřejný klíč – první klíč je jednoduše hashovaná (zašifrovaná) verze druhého klíče. Veřejný klíč se používá k zašifrování transakce.
Příjemce, držitel soukromého klíče, obdrží transakci. Protože jejich klíče patří k sobě, pouze odpovídající soukromý klíč – který mají pouze oni – může dešifrovat transakci odeslanou jejich veřejným klíčem.
Zatím je to dobré: zjistili jsme, jak páry soukromých a veřejných klíčů interagují, aby podpořily blockchainové transakce. Abychom však tyto znalosti aplikovali na schvalování/podpisy, obracíme role klíčů: místo toho odesílatel zašifruje zprávu svým soukromým klíčem. Protože ostatní mohou snadno zjistit veřejný klíč odesílatele (adresu jejich peněženky), mohou se klíče zkombinovat a zprávu dešifrovat a ověřit tak identitu odesílatele. Pouze odpovídající pár klíčů odhalí obsah zprávy, což znamená, že nikdo nemůže zpochybnit původ.
Vtištění podpisu do každé transakce zaručuje neměnnost a nikdo jiný než vy – držitel vašeho soukromého klíče – vás nemůže podvodně napodobit
Oprávnění Dapp
Prvním ze dvou hlavních typů schválení, se kterým se setkáte, je první připojení vaší peněženky k dapp – ať už je to DeFi, služba jako Etherscan, nebo NFT marketplace.
To zahrnuje udělení povolení dapp získat adresu vaší peněženky a je nezbytným předpokladem pro interakci s platformou. To také vysvětluje, proč to uvidíte jako „povolení“ nebo „oprávnění“; podstatná jména, která přesně vystihují to, co děláte. V některých případech vás dapps automaticky vyzve k udělení povolení; jiné vyžadují, abyste klikli na tlačítka označená „připojit“ nebo podobná.
Povolení bude v našem případě vypadat nějak takto:
Schválení tokenu
Bez ohledu na to, zda jste zkušený krypto nativní nebo úplný začátečník, pro interakci s jakoukoli inteligentní smlouvou – takovou, která provozuje dapps (včetně DeFi, blockchainových her, nákupů NFT) – musíte schválit její přístup k vašim tokenům.
Tento proces je poněkud nepřekvapivě označován jako schvalování tokenu. Co zde děláte, je:
Povolení přístupu chytré smlouvy k vašemu zůstatku tokenů. Představte si to jako ‚fázi chytré smlouvy‘. MetaMask v tomto okamžiku jasně označí, kolik přístupu postoupíte: někteří dapps mohou specifikovat konečné množství tokenů, zatímco jiní požadují neomezený přístup.
Potvrzení, že chcete dokončit příslušnou transakci: tj. „fáze blockchainu“, kde povolíte chytré smlouvě, aby za vás transakci odeslala do sítě.
Řekněme, že chcete provést token swap na Uniswapu, největší decentralizované burze (DEX) podle objemu obchodů. Když poprvé zahájíte swap v páru tokenů, budete požádáni o schválení chytrých smluv pro pár tokenů ERC-20, se kterým obchodujete (i když ne pro samotné ETH, které schválení nepotřebuje). I když k tomu dochází pouze při prvním obchodování s daným párem, další krok – tj. krok dva výše – bude vyžadován pokaždé, což znamená, že protokoly Uniswap provedou váš obchod na požádání.
Tento proces se bude podobat následujícímu:
Nejprve vás platforma vyzve ke schválení tokenu. Klikněte na výzvu a MetaMask začne fungovat.
MetaMask vám ukáže smluvní adresu tokenu a potvrdí, že požaduje přístup k vašim prostředkům a jejich přesun. Pro ujištění, že povolujete správnou smlouvu, stojí za to porovnat adresu tokenu s adresou uvedenou na webu dapp – obvykle ji lze nalézt v jejich centru nápovědy, znalostní bázi nebo dokumentech. Máte dokonce možnost určit, jak daleko chcete, aby toto oprávnění zašlo – to provedete kliknutím na „Upravit oprávnění“.
Tato možnost vám umožní přesně vidět, kolik přístupu povolujete. V tomto případě chce Uniswap přístup k prakticky neomezenému množství stETH (1,1659), ale v případě potřeby můžeme toto oprávnění omezit pomocí pole ‚Custom Spend Limit‘.
Díky této funkci vám MetaMask udržuje kontrolu nad schvalováním vašich tokenů – nikdy nemusíte slepě povolovat dapp přístup k více, než chcete, ani podstupovat nechtěné riziko kvůli vyzkoušení nové platformy.
Samotný požadavek na obchod je místem, kde přichází váš pár klíčů: transakci podepíšete svým soukromým klíčem. Myslete na to, že se na tečkovanou čáru podepíšete perem; i když u kryptografie s veřejným klíčem je riziko podvodu s identitou zanedbatelné. V našem příkladu souhlas znamená, že jste povolili Uniswap smart kontrakt k přesunu tohoto tokenu do az vaší peněženky vaším jménem. Pokaždé, když se pokusíte zahájit swap, inteligentní smlouva je schopna zkontrolovat vaši „zprávu“ – tedy pokyn k provedení swapu – a ověřit, že jako jediná osoba s přístupem k vašemu soukromému klíči jste byli původcem.
Jak mohu spravovat schválení a oprávnění?
Jedním z charakteristických znaků Web3 je poskytovat uživatelům plnou kontrolu nad soukromím a tím, jak interagují s jeho platformami. Necustodial design MetaMask to odráží. Jeho principy se však rozšiřují o další rysy; Mezi ně patří schopnost prohlížet a spravovat schválení smluv dapp a smart.
Zobrazení připojených stránek v MetaMask
MetaMask obsahuje nativní funkci pro kontrolu, ke kterým stránkám je vaše peněženka připojena. Jmenuje se to „Připojené weby“ (jak asi víte, neradi to zbytečně komplikujeme). Podobně přímočarý je způsob jejich odstranění.
Zobrazení schválení tokenů
Etherscan nedávno implementoval kontrolu schvalování tokenů, která vám umožňuje zobrazit a odvolat, no… schválení tokenů.
Jakmile připojíte MetaMask a povolíte Etherscanu prohlížet vaši peněženku, zobrazí se seznam schválených tokenů – znáte to? Poté máte možnost zkontrolovat jejich průběžnou relevanci a podle toho je odvolat. Užitečné je, že můžete zobrazit konkrétní aktivum, koho jste schválili (např. který dapp, odkazovaný jménem) a množství tokenů, ke kterým jste schválili přístup.
Existuje také několik alternativ, včetně schválené.zone, Revoke a Token Allowance Checker (TAC).
Nechoďte rovně
Osobní agentura, která přichází se správou nevěrné peněženky, jako je MetaMask, je dvousečná zbraň. Stejně jako je zabezpečení vaší tajné obnovovací fráze vaší osobní odpovědností a vyžaduje ostražitost před podvodníky, jste jediný, kdo může spravovat oprávnění dapp a schvalování chytrých smluv. Spojte to s tím, jak snadné je vytvořit nový token ERC-20 – v době psaní tohoto článku existuje přibližně 485 000 tokenů – a rizika se stanou velmi zřejmými. I když většina bude vytvořena v dobré víře, jakýkoli by mohl vytvořit špatný herec.
Schvalování tokenů je poměrně častým vektorem útoku pro podvody – stačí se podívat na rekt.news, abyste získali představu o rozsahu, a v tomto článku Finematics pro představu o metodách. Jak již bylo zmíněno dříve, dapps musí určit, k kolika tokenům chtějí mít přístup. MetaMask například zajistí, že se tyto informace zobrazí na schvalovací obrazovce před potvrzením, což vám poskytne jasnější obrázek o tom, k čemu se přesně přihlašujete.
Požadavky na přístup z dapps se mohou lišit od konkrétních, omezených množství až po zcela bez omezení, kdy smart contract může z vaší peněženky čerpat, kolik chce. Neomezený přístup v zásadě není sám o sobě problémem ani varovným signálem – mnoho renomovaných platforem, jako jsou hlavní DEX, to dělá, aby vás ušetřilo bolesti s častým opětovným schvalováním, pokud používáte dapp pravidelně. Problém přichází s dapps, které požadují neomezený přístup k vašemu tokenu (tokenům) s výslovným úmyslem krást.
Před schválením přístupu chytré smlouvy k jakémukoli množství tokenů byste měli projít mentálním kontrolním seznamem, abyste vyhodnotili riziko. Na internetu se často setkáte se zkratkou „DYOR“: udělat si vlastní průzkum před povolením přístupu je rozhodně dobrý zvyk. Například:
Jak známý je projekt?
Jak dlouho to bylo?
Má aktivní komunitní kanál na Discordu, Telegramu nebo Twitteru?
Jsou vývojáři/vlastníci dapp transparentní a veřejně dostupní, např. na Twitteru nebo Discordu?
Došlo nedávno k narušení bezpečnosti? Vyplatí se zde hledat.
Prošli auditem chytrých smluv třetí strany?
Zkontrolujte adresu smlouvy v průzkumníku bloků. Někteří průzkumníci, jako je Etherscan, mají uživatelsky řízený mechanismus hlášení, kde jsou podvodné adresy (smlouvy nebo peněženky) označeny. I když nejsou označeny, zkontrolujte podezřelou aktivitu, jako jsou velké přílivy nebo odlivy hotovosti v krátkých časových obdobích.
Shrnout:
Spíše než pouhé tokenové gesto indikující souhlas, tokenové schválení je všedním, základním aspektem interakce s Web3. Některé klíčové body:
Šifrování veřejného klíče se používá k ověření vašich oprávnění při interakci s dapps.
Oprávnění Dapp zahrnují povolení zobrazit zůstatek vaší peněženky.
Schválení tokenů zahrnuje povolení chytré smlouvy dapp pro přístup a přesunutí konkrétního tokenu ve vaší peněžence.
Vždy si prozkoumejte přihlašovací údaje dapp a přesvědčte se, že je důvěryhodný, než schválíte jeho smart kontrakt.
