PoradnikBezpieczeństwoPortfeleDeFiSmart kontrakty

Jak sprawdzić approvale i cofnąć uprawnienia

Po swapie, claimie airdropu albo interakcji z aplikacją DeFi w portfelu mogą zostać stare zgody na użycie tokenów. Na Revoke.cash sprawdzisz allowance, spendera, sieć i limit approvala, a potem cofniesz uprawnienie transakcją on-chain.

Krok 1: otwórz sprawdzone narzędzie

Wpisz w pasku adresu https://revoke.cash/ albo otwórz tę stronę z własnej zakładki. Na stronie Revoke.cash możesz kliknąć Connect Wallet w prawym górnym rogu albo wkleić publiczny adres portfela w pole wyszukiwania. Link z reklamy, prywatnej wiadomości lub komentarza pod postem traktuj jak podejrzany.

Jeżeli tylko sprawdzasz uprawnienia, wklejenie publicznego adresu wystarczy do podglądu. Jeżeli chcesz cofnąć zgodę, musisz połączyć ten portfel, który przyznał approval, bo cofnięcie jest transakcją on-chain podpisywaną z tego adresu.

Krok 2: sprawdź token, spendera i limit

Na Revoke.cash zacznij od selektora sieci. Wybierz Ethereum, Base, Arbitrum, Optimism, Polygon albo inną sieć, której używałeś. Approval z jednej sieci nie znika po sprawdzeniu innej sieci, więc lista dla Ethereum mainnet nie obejmuje approvali z Base.

W każdym wierszu tabeli odczytaj token, spendera i limit. Token mówi, którego aktywa dotyczy zgoda. Spender to adres smart kontraktu albo aplikacji, który może wydać token. Limit pokazuje, ile tokenów może zostać użyte bez kolejnego approvala.

Szczególnej uwagi wymagają wiersze opisane jako unlimited albo bardzo wysokie limity dla aplikacji, których już nie używasz. Taka zgoda nie przenosi tokenów w chwili sprawdzania, ale zostawia ścieżkę ataku, jeżeli spender okaże się złośliwy albo zostanie przejęty.

Krok 3: zostaw tylko potrzebne zgody

  • Zostaw zgodę, jeżeli wiesz, że dotyczy aktywnej pozycji, na przykład dostarczonej płynności, otwartego vaulta albo rynku pożyczkowego, i rozumiesz, do czego spender jej używa.
  • Cofnij zgodę dla aplikacji, której nie używasz, albo dla spendera, którego nazwy i adresu nie potrafisz powiązać z żadną operacją.
  • Cofnij zgodę dla tokena o wysokim saldzie, jeżeli nie potrzebujesz, żeby dany kontrakt mógł szybko użyć tego tokena.
  • Przełącz selektor sieci i sprawdź osobno Ethereum, Base, Arbitrum, Optimism, Polygon oraz inne sieci, w których podpisywałeś transakcje.
  • Przed cofnięciem zgody przy aktywnej pozycji otwórz aplikację, w której ta pozycja działa, i sprawdź, czy cofnięcie approvala nie utrudni wypłaty, spłaty długu albo zamknięcia pozycji.

Krok 4: cofnij uprawnienie transakcją on-chain

Przy wierszu, który chcesz wyzerować, użyj przycisku Revoke albo opcji zmiany limitu, jeżeli narzędzie ją pokazuje. Portfel powinien pokazać transakcję w tej samej sieci, w której widzisz uprawnienie. Approval z Arbitrum cofasz na Arbitrum, a approval z Ethereum mainnet na Ethereum mainnet.

W ekranie potwierdzenia portfela sprawdź nazwę sieci, adres kontraktu, token i opłatę za gaz. Jeżeli portfel pokazuje transfer tokenów, podpis wiadomości albo operację, której nie rozumiesz, przerwij i wróć do sprawdzenia adresu strony oraz wiersza approvala.

Krok 5: sprawdź wynik i nowe zgody

Po potwierdzeniu transakcji odśwież Revoke.cash i sprawdź ten sam wiersz: ten sam token, ten sam spender i ta sama sieć. Limit powinien wynosić zero, zniknąć z listy albo pokazać nową wartość, jeśli wybrałeś zmniejszenie zamiast pełnego cofnięcia.

Dodatkowo otwórz hash transakcji w explorerze danej sieci i sprawdź status Success. Przy tokenach ERC-20 cofnięcie approvala zwykle aktualizuje konkretną parę: właściciel portfela, token i spender.

Po sprzątaniu approvali uważaj na kolejne podpisy. Jedna nowa zgoda na fałszywej stronie może odtworzyć ten sam problem, nawet jeśli wcześniejsze uprawnienia zostały wyzerowane.

Jak czytać ekran approvali

Owner
Adres portfela, który przyznał zgodę. Powinien być taki sam jak adres sprawdzany w Revoke.cash.
Token
Kontrakt tokena, którego dotyczy uprawnienie. Przy podejrzanym tokenie sprawdź adres kontraktu w explorerze.
Spender
Kontrakt lub adres aplikacji, który może użyć tokena w ramach limitu. To pole decyduje, komu dałeś prawo wydawania.
Allowance
Maksymalna ilość tokena, którą spender może wydać bez nowego approvala. Unlimited oznacza bardzo szeroki limit.
Revoke
Transakcja ustawiająca limit na zero albo na niższą wartość. W portfelu powinna dotyczyć approvala, a nie transferu tokenów.

Cofanie approvali nie wymaga seed phrase

Do sprawdzenia i cofnięcia uprawnień nie podajesz seed phrase, klucza prywatnego ani kodu 2FA. Jeżeli strona prosi o takie dane, zamknij ją. Prawidłowe narzędzie pokaże transakcję w portfelu, a nie formularz odzyskiwania środków.

Najczęstsze pytania

Samo odczytanie approvali nie powinno przenosić tokenów. Ryzyko pojawia się przy podpisach i transakcjach. Sprawdzaj adres strony, czytaj komunikaty portfela i przerwij, gdy portfel pokazuje operację inną niż cofnięcie lub zmianę limitu.

Nie zawsze. Cofnij zbędne, stare i podejrzane zgody. Jeżeli approval jest potrzebny do aktywnej pozycji, najpierw sprawdź, czy cofnięcie nie utrudni wypłaty, spłaty długu albo zamknięcia pozycji.

To wygodne, bo użytkownik nie musi zatwierdzać limitu przy każdej operacji. Wygoda zwiększa jednak ryzyko: jeśli spender zostanie wykorzystany w ataku, wysoki limit może ułatwić utratę tokenów.