※ 引述《s148235 (羅傑森)》之銘言： : 如題。 : 我本身是用Ledger硬體錢包生成一組助記詞，在諸多不同的鏈上有部署資產，包含了EVM : 徒子徒孫鏈（BSC/FTM/Polygon等）與Solana ，做各種DeFi yield farming。以下問題皆 : 假設不討論 rug-pull 或助記詞外流。 如果是講ERC20 Token的授權，原則上一個授權的權限範圍只有單一鏈的單一Token， 或許有些同個開發者的Tokens會去做一次授權多種Tokens(我沒碰過)， 不同團隊的幾乎不會互相影響權限。 換句話說授權A Token不會造成對方可以動你的B Token。 (授權也有額度限制，不過騙授權通常就會拉到最大值，所以就當作所有金額都是危險的) (由於正常用途也常常會把額度開到最高，所以很難用這點分辨詐騙與否。) : 問題一： : 若當我不慎在BSC上授權一釣魚網站，則有可能影響到我在Polygon上的其他資產嗎？ 不同鏈的權限是分開的，所以不會影響。 有很小的機會對方可以在另一條鏈上重放你的授權Tx，但這個要符合的條件很多，實際 發生的可能性很低所以不用太擔心。 (BSC和Polygon大概有做重放保護，我不確定) : 問題二： : 假使不慎授權一釣魚網站，當下立即發現，以EVM來說，若即時在資產被轉走前，前往DeB : ank或是unrekt取消(revoke)授權，是否可以確保安全？ 如果來得及取消就沒事。 注意攻擊者可能會使用比較高的gas price來搶跑交易。 : 又或，假使不慎授權後，部分資產已即刻被轉移。請問發現當下第一時間，首要步驟是， : 前往DeBank或是unrekt取消(revoke)授權，還是轉走剩餘資產至其他錢包？有孰輕孰重， : 先後順序之分嗎？ 這邊先提一下 ERC20 Token的授權一般是一個Tx授權一個Token，都要到原Token的地址去授權。 我印象中好像即使用智能合約也沒辦法讓一般地址一個Tx就授權多個Token (讓合約地址在一個Tx授權多個Token是可以的，但一般地址不行)。 至少OpenZeppelin的實作應該是這樣。 所以看你發了幾個授權Tx大概就可以知道授權了幾個Token出去， 不過另外有種鏈下授權是讓你用錢包簽一段訊息，這也有可能讓對方有權用你的Token (像Uniswap的removeLiquidityETHWithPermit會用到這種技術) 總之你沒有授權出去的Token對方是無權動用的，短時間內可以先不用管它，那麼可以 嘗試先去取消對詐騙地址的授權。 長期來說，可能會擔心這個錢包除了授權外還有私鑰洩露問題，結果還是要轉走， 如果資產轉空了其實就不用擔心授權問題，因為沒錢的地址有權限也轉不出東西。 轉到別的錢包時小心別因為太緊張轉錯，會是另一個慘劇。 : 問題三： : 請問若要繼續用硬體錢包操作DeFi，在授權前，若我的流程是「確認網址正確+確認智能 : 合約地址正確」，是否有需要再額外確認 smart contract function 嗎？例如： _spend : er的地址。甚或，有沒有需要再額外確認其他的東西呢？ : 以上三點，有勞各位前輩指點迷津，在下先謝過。 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.156.146 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/DigiCurrency/M.1638623401.A.00C.html approve一個金額後，授權的地址可以在額度內使用你的Token，可以多次提，每次提會 扣額度 (unlimited = 2^256-1，很大用不完) 有權限不代表會動用，合約的話可以去看程式碼什麼情況下會動用Token。 像交易所合約你要拿USDC換ETH，常常就會一開始要你授權到MAX，之後你多次交易USDC， 交易所可以靠著一開始的授權順利扣款不用每次發授權Tx。 智能合約不會做程式碼以外的事，不過也有很多合約是寫成可以更換程式碼的型式。 ※ 編輯: Ayukawayen (111.243.28.34 臺灣), 12/05/2021 21:26:22