Una dintre caracteristicile Web3 este oferirea utilizatorilor control total asupra confidențialității și asupra modului în care aceștia interacționează cu platformele sale. Aflați cum să gestionați aprobările și permisiunile în MetaMask.
Chiar dacă experiența ta de interacțiune cu blockchain-uri precum Ethereum se limitează la trimiterea de tranzacții simple între portofele, vei fi aprobat, autorizat sau semnat tranzacția. Acest lucru înseamnă pur și simplu că confirmați trimiterea acestuia la blockchain.
Același proces se aplică în mod egal și interacțiunii cu dapps în Web3: există multe de care să consimți, să aprobi și să permiti. Dar ce este de fapt într-o aprobare MetaMask?
Pentru a descompune această întrebare, va trebui să acoperim mai întâi câteva aspecte de bază ale criptografiei.
Chei și criptografie: ce este aprobarea?
Toată activitatea dvs. cripto se bazează pe criptografia cu cheie publică. În esență, fiecare portofel are o „cheie” publică și privată care se potrivește, generată atunci când este creat portofelul. Imaginați-vă o ușă care vă cere să deblocați un șurub și să rotiți un zăvor pentru a intra, cu o cheie diferită pentru fiecare. Deținerea unei singure chei nu te duce nicăieri – ai nevoie de pereche.
Deși o simplificare excesivă, putem accepta provocarea acestei uși ipotetice și putem aplica o logică similară portofelului tău cripto. Cheile dvs. private și publice sunt atât necesare pentru tranzacționare: cheia privată pentru a demonstra că ați inițiat tranzacția și cheia publică pentru destinatar pentru a verifica originea. Iată cum funcționează:
Decizi să trimiți jetoane unei persoane de contact.
După cum știți adresa portofelului destinatarului, dețineți cheia publică a acestuia - prima este pur și simplu o versiune hashing (criptată) a celei de-a doua. Cheia publică este folosită pentru a cripta tranzacția.
Destinatarul, deținătorul cheii private, primește tranzacția. Deoarece cheile lor aparțin împreună, doar cheia privată corespunzătoare – pe care o dețin numai ei – poate decripta tranzacția trimisă de cheia lor publică.
Până acum, foarte bine: am stabilit modul în care perechile de chei private și publice interacționează pentru a susține tranzacțiile blockchain. Cu toate acestea, pentru a aplica aceste cunoștințe la aprobări/semnături, inversăm rolurile cheilor: în schimb, expeditorul criptează mesajul cu cheia privată. Deoarece alții pot afla cu ușurință cheia publică a expeditorului (adresa portofelului), cheile se pot combina pentru a decripta mesajul, verificând identitatea expeditorului. Doar o pereche de chei potrivite va dezvălui conținutul mesajului, ceea ce înseamnă că nimeni nu poate contesta originea.
Imprimarea unui fel de semnătură pe fiecare tranzacție garantează imuabilitatea, nimeni altul decât tine – deținătorul cheii tale private – nu poate să te imite în mod fraudulos
Permisiuni Dapp
Primul dintre cele două tipuri principale de aprobare pe care le veți întâlni este conectarea portofelului la un dapp pentru prima dată – fie că este vorba de DeFi, un serviciu precum Etherscan sau o piață NFT.
Aceasta implică acordarea permisiunii dapp-ului de a vă prelua adresa portofelului și este o condiție prealabilă pentru a interacționa cu platforma. Acest lucru explică, de asemenea, de ce îl veți vedea denumit „o permisiune” sau „permisiuni”; substantive care descriu exact ceea ce faci. În unele cazuri, dapps vă solicită să acordați permisiunea automat; altele vă cer să faceți clic pe butoanele etichetate „conectați” sau similare.
Dacă vă acordați permisiunea, în cazul nostru, va arăta cam așa:
Aprobare simbol
Indiferent dacă sunteți sau nu un nativ cripto cu experiență sau un începător total, pentru a interacționa cu orice contract inteligent – genul care rulează dapps (inclusiv DeFi, jocuri blockchain, achiziții NFT) – trebuie să aprobați accesul acestuia la token-urile dvs.
Acest proces este denumit în mod diferit, oarecum deloc surprinzător, ca aprobare simbol. Ceea ce faci aici este:
Permiteți contractului inteligent să vă acceseze soldul de simboluri. Gândiți-vă la aceasta ca fiind „etapa de contract inteligent”. MetaMask va indica în mod clar în acest moment cât de mult acces cedați: unele dapp-uri pot specifica o cantitate finită de jetoane, în timp ce altele solicită acces nelimitat.
Confirmarea faptului că doriți să finalizați tranzacția în cauză: adică „etapa blockchain”, în care permiteți contractului inteligent să trimită tranzacția în rețea în numele dvs.
Să presupunem că doriți să efectuați un schimb de token pe Uniswap, cel mai mare schimb descentralizat (DEX) după volumul de tranzacționare. Când inițiați un schimb într-o pereche de jetoane pentru prima dată, vi se va cere să aprobați contractele inteligente pentru perechea de jetoane ERC-20 pe care o tranzacționați (deși nu pentru ETH în sine, care nu are nevoie de aprobare). Deși acest lucru are loc doar prima dată când tranzacționați acea pereche, următorul pas – adică pasul doi de mai sus – va fi necesar de fiecare dată și înseamnă că protocoalele Uniswap vă vor executa tranzacția la cerere.
Acest proces se va asemăna cu cel de mai jos:
În primul rând, platforma vi se va solicita să aprobați simbolul. Faceți clic pe prompt și MetaMask va intra în acțiune.
MetaMask vă va arăta adresa contractului jetonului, confirmând că acesta solicită posibilitatea de a accesa și de a muta fondurile. Pentru a vă asigura că permiteți contractul corect, merită să faceți referințe încrucișate la adresa simbolului cu cea afișată pe site-ul web al dapp-ului - de obicei, poate fi găsită în centrul de ajutor, baza de cunoștințe sau documentele acestora. Aveți chiar și opțiunea de a specifica cât de departe doriți să ajungă această permisiune – pentru a face acest lucru, apăsați „Editare permisiunea”.
Această opțiune vă permite să vedeți exact cât de mult accesați permiteți. În acest caz, Uniswap dorește acces la o cantitate practic nelimitată de stETH (1.1659), dar putem stabili o limită pentru această permisiune, dacă este necesar, folosind câmpul „Custom Spend Limit”.
Cu această caracteristică, MetaMask vă menține controlul asupra aprobărilor token-ului - nu trebuie să permiteți orbește unui dapp să acceseze mai mult decât doriți sau să vă asumați riscuri nedorite de dragul de a încerca o nouă platformă.
Cererea de tranzacționare în sine este locul în care intervine perechea dvs. de chei: semnați tranzacția cu cheia dvs. privată. Gândiți-vă să semnați pe linia punctată cu un pix; deși cu criptografia cu cheie publică, riscul fraudei de identitate este neglijabil. În exemplul nostru, consimțământul înseamnă că ați autorizat un contract inteligent Uniswap pentru a muta acel token în și din portofel în numele dvs. De fiecare dată când încercați să inițiați o schimbare, contractul inteligent vă poate verifica „mesajul” – adică instrucțiunea de a efectua schimbarea – și să verifice că dvs., ca singura persoană cu acces la cheia dvs. privată, ați fost inițiatorul.
Cum pot gestiona aprobările și permisiunile?
Unul dintre caracteristicile Web3 este oferirea utilizatorilor control total asupra confidențialității și asupra modului în care aceștia interacționează cu platformele sale. Designul fără custodie al MetaMask reflectă acest lucru. Cu toate acestea, principiile sale se extind la alte caracteristici; abilitatea de a vizualiza și gestiona aprobările dapp și smart contract se numără printre acestea.
Vizualizarea site-urilor conectate în MetaMask
MetaMask include o funcție nativă pentru examinarea site-urilor la care este conectat portofelul tău. Se numește „Site-uri conectate” (după cum probabil vă puteți da seama, nu ne place să ne complicăm prea mult). La fel de simplă este metoda de eliminare a acestora.
Vizualizarea aprobărilor de simboluri
Etherscan a implementat recent un instrument de verificare a aprobărilor de simboluri care vă permite să vedeți și să revocați, ei bine... aprobările de simboluri.
O listă de aprobări de simboluri este afișată odată ce conectați MetaMask și acordați permisiunea Etherscan de a vă vedea portofelul - vă cunoașteți? Apoi, sunteți liber să verificați relevanța lor continuă și să revocați în consecință. În mod util, puteți vedea, de asemenea, activul specific implicat, cine ați aprobat (de exemplu, ce dapp, referit după nume) și cantitatea de jetoane la care ați aprobat accesul.
Există, de asemenea, mai multe alternative, inclusiv approved.zone, Revoke și Token Allowance Checker (TAC).
Nu înțelegeți direct
Agenția personală care vine cu gestionarea unui portofel fără custodie precum MetaMask este o sabie cu două tăișuri. Așa cum păstrarea în siguranță a frazei secrete de recuperare este responsabilitatea ta personală și necesită vigilență împotriva escrocilor, ești singurul care poate gestiona permisiunile dapp și aprobările contractelor inteligente. Combinați acest lucru cu cât de ușor este să creați un nou token ERC-20 - există aproximativ 485.000 de jetonuri la momentul scrierii - și riscurile devin foarte evidente. În timp ce majoritatea vor fi făcute cu bună credință, oricare ar putea fi creat de un actor rău.
Aprobarile de jetoane sunt un vector de atac relativ obișnuit pentru escrocherii – trebuie doar să verificați rekt.news pentru a vă face o impresie despre amploare și acest articol Finematics pentru o impresie despre metode. După cum am menționat mai devreme, dapps trebuie să specifice câte jetoane doresc să acceseze. MetaMask, de exemplu, se va asigura că aceste informații sunt afișate pe ecranul de aprobare înainte de a confirma, oferindu-vă o imagine mai clară despre exact pentru ce vă înscrieți.
Solicitările de acces de la dapps pot varia de la cantități specifice, limitate până la a fi complet nelimitate, unde contractul inteligent poate extrage cât dorește din portofelul tău. În principiu, accesul nelimitat nu este o problemă sau un semnal roșu în sine - multe platforme de renume, cum ar fi DEX-urile majore, fac acest lucru pentru a vă scuti de durerea de a reaproba frecvent dacă utilizați dapp în mod regulat. Problema vine cu dapp-urile care solicită acces nelimitat la token-urile dvs. cu intenția expresă de a fura.
Înainte de a aproba accesul unui contract inteligent la orice cantitate de jetoane, ar trebui să parcurgeți o listă de verificare mentală pentru a evalua riscul. Veți vedea adesea acronimul „DYOR” menționat online: a face propria cercetare înainte de a permite accesul este cu siguranță un obicei bun de adoptat. De exemplu:
Cât de cunoscut este proiectul?
De cât timp există?
Are un canal comunitar activ pe Discord, Telegram sau Twitter?
Sunt dezvoltatorii/proprietarii Dapp transparenți și accesibili publicului, de ex. pe Twitter sau pe Discord?
A avut recent o breșă de securitate? Merită căutat aici.
Au fost supuși unui audit al unui contract inteligent terță parte?
Verificați adresa contractului în exploratorul de blocuri. Unii exploratori, cum ar fi Etherscan, au un mecanism de raportare condus de utilizator în care sunt semnalate adrese frauduloase (contracte sau portofele). Chiar dacă nu sunt semnalate, verificați dacă există activități suspecte, cum ar fi intrări sau ieșiri mari de numerar în perioade scurte de timp.
A rezuma:
Mai degrabă decât un simplu gest indicativ care indică consimțământul, aprobările simbolurilor sunt un aspect banal și esențial al interacțiunii cu Web3. Câteva puncte cheie:
Criptografia cu cheie publică este utilizată pentru a vă autentifica permisiunile atunci când interacționați cu dapps.
Permisiunile Dapp implică permiterea dapps-ului să vă vadă soldul portofelului.
Aprobarea token-ului implică permiterea unui contract inteligent al unui dapp să acceseze și să mute un anumit token în portofel.
Cercetați întotdeauna acreditările dapp-ului și asigurați-vă că este demn de încredere înainte de a-i aproba contractul inteligent.
