使用imToken钱包好些年, 算得上是实实在在见过好多人由于权限方面的问题而遭受挫折。仔细讲来, 权限这个东西呢就如同家里那钥匙似的, 你一旦给了某个人, 那个人便能够进入屋内随意地翻找东西。存在一些人贪图便利, 当别人告知“授权一下就能够领取空投”之时, 他二话没说就点击实现了确认——那么后续怎样? 账户当中的币在一夜之间就被全部转移走了, 想要哭都已经来不及。
有个跟我相熟之人, 于去年之际, 在某个并非广为人知且规模不太大的小 DApp 之上, 因内心抱持着好奇之感, 故而点击了“无限授权”。彼时那朋友觉得这仅仅是试验一个新浮现的项目罢了, 并未将其看得多么重要。
时隔一个月, 那个号称的项目毫无预兆地径直跑路了。对方借助获取的权限, 将他钱包里面的USDT尽数转走。他之后跟我讲起这事时讲, 那个时候, 自己仿若觉得恰似被人直接拿走了囊中财物, 心底刹那间凉透了。故而, 在开展授权操作时,务必得仔细瞅清额度限定, 万万不可肆无忌惮地但凡都选“无限”权。
还有一种更隐蔽的情形存在, 那就是“授权期满”或者“权限交叉”, 在一些DApp里, 会要求用户赋予一个合约权限, 然而此合约之后还能够调用别的合约, 各个合约彼此嵌套, 形成一级套一级的繁杂状况。这如同你觉得仅仅是给了一个人钥匙, 可事实上他却把钥匙又复制给了一大群人。我个人的习惯做法是, 每次用完之后就马上进行授权撤回, 通过imToken自带的“授权管理”特性详细检查一回, 把那些不再应用的授权全部撤销掉。
何人询问我, 究竟该如何防范? 我仅作这样的回应: 切勿轻信天上会掉下馅饼之事, 不可点击来源踪迹不明的链接。于每次进行授权之先, 需先行询问自身, 此DApp是否可靠? 其合约代码是否公开公开? 其所属社区设有审核环节吗? 倘若这方方面面均一无所有, 那就千万别去触碰。惟有将权限这一关卡成功守住, 钱包方可称作真正做到安全无虞。
留言评论