https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/ pl-PL Sat, 18 Apr 2026 11:11:00 +0000 wpForo 60 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-260 Tue, 14 Apr 2026 22:20:33 +0000 zatwierdzanie kontraktów wpisując jakąś konkretną kwotę. Ale scammerzy i hakerzy też mocno poszli do przodu. Słyszeliście o czymś takim jak off-chain signatures (na przykład standard ERC-2612 Permit)? To jest dopiero prawdziwe ciche zabójstwo w dzikim świecie DeFi. Wchodzisz na jakąś nową stronkę o rzekomym airdropie memecoina, dApp prosi cię o podłączenie portfela. Klikasz connect, a potem wyskakuje ci tylko prośba o podpis z napisem "Sign". Nie płacisz za żaden gaz, nie widzisz żadnego klasycznego okienka z token approvals. Myślisz sobie: "luz, to pewnie tylko weryfikacja by udowodnić że jestem właścicielem adresu, jak przy logowaniu na OpenSea". No i tu jest pies pogrzebany. Ten niewinnie wyglądający darmowy podpis to często cyfrowy czek in-blanco, którym na boku dajecie komuś nielimitowane allowance na wasze krypto. Zanim się zorientujesz, haker bierze twój podpis, sam w tle przepycha go przez blockchain płacąc za ciebie gaz sieciowy i wysysa ci konto. W takich sytuacjach klasyczne narzędzia żeby cofnąć uprawnienia często nawet ci nie pomogą w porę, bo kradzież dzieje się w ułamku sekundy po oddaniu podpisu. Jak się przed tym syfem bronić i nie stracić siana? Kolega wyżej super polecił przesiadkę na Rabby, ja się pod tym podpisuje obiema rękami. Ale jeśli ktoś jest mega przyspawany do starego, dobrego Metamaska i za żadne skarby nie chce go zmieniać, to musicie koniecznie wgrać sobie wtyczki do przeglądarki symulujące transakcje. Polecam obczaić Pocket Universe albo Fire. To w 100% darmowe rozszerzenia. Działają tak, że zanim cokolwiek zatwierdzisz (nawet głupi darmowy podpis), wtyczka przechwytuje żądanie, mieli je u siebie i pisze ci na ekranie w prostym języku: "Uwaga ziomek, ten kod zaraz wytransferuje z twojego konta 2000 USDC". Jak widzisz coś takiego przy próbie zwykłego logowania na stronie, to dajesz reject i uciekasz. To mi uratowało skóre napewno ze dwa razy na jakichś dziwnych i podejrzanych dexach. Kolejna sprawa to portfele sprzętowe. Masa noobów żyje w przekonaniu, że jak kupili Ledgera za parę stów to są nieśmiertelni. Bzdura! Hardware wallet chroni tylko i wyłącznie waszego seeda przed kradzieżą ze zhakowanego komputera. Ale jak dacie jakiejś gównofarmi infinite approval i radośnie przeklikacie to fizycznie na przyciskach swojego urządzenia, to złośliwy smart kontrakt i tak was wyczyści do cna. Sprzęt nie myśli za ciebie, on tylko ślepo autoryzuje to, co mu każesz. Więc zabezpieczenie sprzętowe a zarządzanie uprawnieniami on-chain to dwa totalnie różne światy. Jeśli uczycie się dopiero, jak usunąć dostępy dla smart kontraktów, to to całe revoke.cash wspomniane wcześniej jest faktycznie niezastąpione. Tylko mały pro-tip ode mnie - nie wpadajcie w paranoję. Nie musicie płacić za gaz i klikać revoke po absolutnie każdym swapie na zaufanym Uniswapie czy 1inch, o ile zrobiliście wcześniej custom spending limit (czyli pozwoliliście im wydać dokładnie tyle, ile akurat w danej chwili wymieniacie). Wtedy po pomyślnie skończonym handlu wasze allowance dla tej platformy i tak z automatu spada do zera i nic na blockchainie nie wisi. Róbcie porządki z głową i czytajcie uważnie co wam portfel wywala na ekran, bo w krypto nie ma infolinii banku, która wam zrobi chargeback. Trzymajcie się tam!]]> Oszustwa, zagrożenia i przepisy DobryDuch https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-260 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-259 Tue, 14 Apr 2026 22:19:57 +0000 token approvals ludzie tracą dorobek życia w hossie. Możesz mieć Trezora, Ledgera, trzymać seeda wyrytego na blaszce w bunkrze pod ziemią, a i tak obudzisz się wyzerowany, bo dałeś jakiemuś złośliwemu kodowi klucze do swojego sejfu. Pytałeś konkretnie, jak to działa i dlaczego dAppsy w ogóle tego chcą. Żeby w ogóle zrozumieć mechanikę i to, czym są te słynne token approvals, musisz wiedzieć jak działa standard ERC-20 na Ethereum (i na każdym innym EVM chainie typu Arbitrum, Polygon, BSC). Smart kontrakt giełdy takiej jak Uniswap nie może sam z siebie sięgnąć do twojego portfela i wziąć twoich USDT, żeby wymienić je na ETH. Blockchain na to nie pozwala, bo to twoje prywatne konto. Musisz mu najpierw wysłać transakcję z funkcją "Approve". Dając takie zatwierdzenie kontraktu, dosłownie mówisz sieci: "słuchaj, pozwalam temu konkretnemu adresowi smart kontraktu z Uniswapa wydać X moich tokenów w moim imieniu". I to jest to całe nadawanie allowance, o którym czytałeś. Dlaczego więc każdy dApp domyślnie podpowiada nielimitowany dostęp (infinite approval)? Odpowiedź jest prosta - wygoda userów i oszczędność na fee. Wyobraź sobie, że przy każdym najmniejszym swapie musisz robić dwie transakcje (najpierw approve, potem swap) i płacić dwa razy za gaz. Jak gaz na ETH był po 100 gwei, to byś zbankrutował. Więc devsi wymyślili, że domyślnie proszą cię o zatwierdzenie wydatków na maksymalną możliwą w kodzie liczbę, żebyś już nigdy więcej na tej stronie nie musiał klikać autoryzacji dla tego konkretnego tokena. Wygodne? Bardzo. Bezpieczne? W żadnym wypadku. Bo jak ten smart kontrakt ma jakiegoś buga, o którym nikt nie wiedział, albo admin protokołu (jeśli kontrakt jest tzw. upegradeable) podmieni kod na złośliwy drainer, to nagle ten kontrakt może legalnie wyssać całe twoje saldo. Autoryzacja tokenów wisi na blockchainie wiecznie, dopóki jej fizycznie nie nadpiszesz. Przechodząc do mięsa - jak cofnąć uprawnienia i uratować swoje bagi przed starymi błędami. Twój research jest jak najbardziej poprawny. Narzędzia do czyszczenia to absolutny must-have każdego degena. Odpowiadając na twoje pytanie jak odwołać dostęp do portfela - ja osobiście używam Revoke.cash. To jest obecnie rynkowy standard, jeśli chodzi o zarządzanie allowance i odwoływanie autoryzacji smart kontraktów. Narzędzie to skanuje twój adres na danym chainie, zaciąga wszystkie token approvals jakie kiedykolwiek wbiłeś i sortuje ci to po tokenach i wartości, na jaką są narażone (tzw. exposure). Widzisz tam jak na dłoni, że np. rok temu dałeś jakiemuś losowemu routerowi z PancekeSwap dostęp do swoich BUSD bez limitu. Żeby usunąć dostęp, klikasz po prostu revoke, podpisujesz transakcję w Metamaskie, płacisz te parę centów (na L2) za gaz i zmieniasz allowance na równe zero. Wtedy dApp jest permanentnie odcięty od twoich środków. Wspomniałeś o Etherscanie i ich wbudowanym Token Approval Checker. To jest dokładnie to samo pod kątem backendu. Czytają bezpośrednio z łańcucha. Interfejs na skanerach (Etherscan, BscScan, Arbiscan) jest faktycznie toporniejszy, ale zaletą jest to, że omijasz zewnętrzne strony (nawet tak zaufane jak Revoke.cash) i gadasz prosto z blockchainem. Więc jak jest jakaś awaria serwisów albo boisz się phishingu (bo wiadomo, że w krypto co chwila ktoś robi fejkowe strony z dopiskiem .io zamiast .cash), to robiąc to przez block explorera masz największą pewność. A jak ja to robie u siebie i jak dbać o bezpieczeństwo DeFi na co dzień? Mam kilka złotych zasad, które ratują mi tyłek: Po pierwsze: Wywaliłem dawno Metamaska na rzecz portfela Rabby Wallet. Stary, to jest gamechanger. Rabby wbudowało sobie symulację transakcji. Zanim cokolwiek podpiszesz, on ci pisze wielkimi, czerwonymi literami, co dokładnie się stanie. I co najlepsze w temacie zatwierdzania kontraktów - Rabby nie pozwala ci domyślnie wklepać infinite approval! Wymusza na tobie wpisanie dokładnej kwoty. Chcesz kupić memecoina za 50 USDC? Portfel z automatu ustawia limit token approvals na równe 50 USDC. Nawet jak kontrakt okaże się scamem, to stracisz tylko te 50 dolców, a reszta twoich stablecoinów jest bezpieczna. Po drugie: Portfele się rozdziela. Nigdy, ale to absolutnie nigdy nie trzymaj swoich głównych środków (tzw. cold storage czy long-term bags) na tym samym adresie, którym latasz po nowych dAppsach, łapiesz airdropy i wrzucasz płynność w jakieś świeże farmy. Degenienie robi się na osobnym, jednorazowym portfelu (burner wallet). Przelewasz tam tylko tyle krypto, ile jesteś gotowy stracić. Na takim burnerku często mam gdzieś cofanie uprawnień, bo i tak zlewam tam resztki. Ale na adresie gdzie trzymam większy hajs - tam każda jedna interakcja z kontraktem jest potem ręcznie czyszczona. Po trzecie i najważniejsze, bo masa ludzi to myli: Rozłączanie portfela to NIE jest cofanie uprawnień! Często widzę na grupach, jak ludki piszą "a ja po skończonym handlu klikam disconnect wallet na stronie Uniswapa i jestem bezpieczny". Bzdura. Disconnect powoduje tylko tyle, że strona www nie widzi twojego balansu na froncie. Blockchain i smart kontrakt nadal mają pełne allowance i mogą cię zescamować bez twojej wiedzy, nawet jak odłączysz neta i wyrzucisz komputer przez okno. Jedyną metodą na zablokowanie kradzieży jest wysłanie transakcji on-chain z uprawnieniem ustawionym na 0 (czyli zrobienie twardego revoke). Więc podsumowując dla wszystkich, którzy się zastanawiają co to jest zatwierdzanie kontraktów i jak usunąć dostępy dla smart kontraktów: róbcie regularne audyty swoich walletów. Odpalajcie Revoke.cash chociaż raz na kwartał. Ustawiajcie custom spending limits (ręczne limity wydatków) zamiast walić MAX na każdym okienku pop-up. Traktujcie nadawanie autoryzacji tokenów (token allowance) tak, jakbyście dawali obcemu kolesiowi na ulicy swoją kartę kredytową bez limitu pinu. Nikt nie zadba o wasz hajs w Web3 tak bardzo, jak wy sami. Zdrówko i zieloności życzę, trzymajcie się tam na tych on-chainach!]]> Oszustwa, zagrożenia i przepisy niepokonany_mirek5564 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-259 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-258 Tue, 14 Apr 2026 22:19:13 +0000 zatwierdzanie kontraktów, czyli popularne w świecie krypto token approvals. Słuchajcie, jak latacie po różnych dexach, farmach czy innych dAppkach, to przed zrobieniem pierwszego swapa na nowej monecie, wasz portfel (niezależnie czy to Metamask, Trust Wallet czy inny Rabby) zawsze wywala okienko żeby autoryzować wydawanie tokenów. No i dobra, zazwyczaj w pośpiechu klikamy approve i od razu o tym zapominamy, żeby jak najszybciej kupić coina. Ale co to tak naprawdę jest to całe zatwierdzanie kontraktów dla dAppsów? Z tego co zrozumiałem z różnych zagranicznych poradników, to my w ten sposób dajemy jakiemuś zewnętrznemu kodowi (smart kontraktowi) zielone światło na zarządzanie naszym hajsem. Zgadza się? Dajemy im de facto tzw. allowance, czyli limit tego, ile mogą z naszego konta w blockchainie pociągnąć. I tu pojawia się gigantyczny problem, z którym sam się wczoraj zderzyłem analizując historię swoich transakcji. Większość tych apek prosi domyślnie o nielimitowany dostęp (infinite approval). Czyli jak dasz uprawnienia do USDT albo USDC na jakiejś losowej stronce typu nowa giełda, to oni mogą teoretycznie wziąść całe twoje saldo w tych stablecoinach. Nawet za rok albo dwa, jak apka zostanie kiedyś tam zhakowana albo okaże się chamskim rug pullem zrobionym przez devów. Ktoś mi tłumaczył na Telegramie, że hakerzy mogą wyczyścić portfel do zera właśnie przez te wiszące, stare autoryzacje tokenów, o których dawno zapomnieliśmy. Nikt ci nie włamuje się na seeda, po prostu sam im wcześniej otworzyłeś drzwi i nie zamknąłeś. No i teraz kluczowa sprawa dla nas wszystkich - jak cofnąć uprawnienia, żeby spać spokojnie i nie obudzić się rano z pustym walletem? Szukałem trochę info o tym jak usunąć dostępy dla smart kontraktów, bo chciałem w końcu zrobić wielkie czyszczenie. Znalazłem kilka opcji, ale wolałbym żeby ktoś z was, jacyś wyjadacze DeFi, to zweryfikował, bo nie chce narobić głupot. Podobno najłatwiej użyć sprawdzonych zewnętrznych stronek do revoke'owania, typu revoke.cash. Podłączasz tam swój adres i od razu widzisz wszystkie token approvals, jakie kiedykolwiek w życiu klepnąłeś na danej sieci. Potem po prostu klikasz przycisk revoke przy podejrzanych apkach i płacisz standardowe, małe fee za gaz sieciowy, żeby definitywnie odwołać dostęp do swoich krypto. Można to też podobno zrobić całkiem prosto bezpośrednio z Etherscana, Polyscan czy BSCscan w ich dedykowanej zakładce do czyszczenia token approvals. Działa to chyba na podobnej zasadzie, łączycie się przez Web3, ale sam interfejs wydaje się trochę bardziej surowy. Jak wy to robicie u siebie na co dzień? Czyścicie regularnie te zatwierdzenia kontraktów, czy raczej macie to gdzieś i ufacie, że jak używacie tylko Uniswapa czy innych topowych protokołów to nic złego się nie wydarzy? Czy może ustawiacie twarde, ręczne limity wydatków (custom spending limits) przy każdym pojedynczym swapie w Metamaskie zamiast ułatwiać sobie życie i klikać max? Dajcie znać jak często robicie takie porządki z cofaniem uprawnień i resetowaniem allowance na swoich adresach. Napewno dużo nowych osób na forum zyska na takiej wiedzy, bo o łapaniu dołków mówi się ciągle, ale o tym jak trwale odciąć dAppsy od naszych środków po zrobieniu handlu to już cicho. Podzielcie się swoimi patentami na bezpieczeństwo!]]> Oszustwa, zagrożenia i przepisy RekinMaster https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/co-to-jest-zatwierdzanie-kontraktow-token-approvals-i-jak-cofnac-uprawnienia/#post-258