Temukan bagaimana Trust Wallet mengatasi risiko persetujuan token dengan UX dan alat yang lebih aman untuk 200 juta+ pengguna. Oleh Eve Lam, CISO di Trust Wallet.
Risiko Tersembunyi yang Mengintai di Dompet Anda
Persetujuan token adalah salah satu ancaman yang paling terabaikan di Web3. Setiap kali Anda menghubungkan dompet dan mengotorisasi dApp untuk mengakses token Anda, Anda sering memberikan akses tanpa batas waktu. Seiring waktu, persetujuan ini terakumulasi secara diam-diam di latar belakang. Kebanyakan pengguna bahkan tidak tahu keberadaannya, dan faktanya, lebih dari $475 juta dicuri sejak 2020 dalam peretasan dan eksploitasi persetujuan yang dilaporkan menurut Revoke. Ini lebih dari sekadar kesenjangan teknis menurut kami. Ini lebih merupakan kegagalan UX dan titik buta keamanan, dan bagi gelombang pengguna berikutnya yang memasuki Web3, ini adalah risiko yang seharusnya tidak perlu mereka tanggung.
Memimpin dalam keamanan adalah tanggung jawab utama bagi setiap penyedia dompet—dan dengan lebih dari 15 juta pengguna aktif bulanan dan lebih dari 200 juta unduhan, ini adalah tanggung jawab yang sepenuhnya diterima oleh Trust Wallet. Memperbaiki masalah persetujuan token adalah bagian dari komitmen tersebut, memastikan perlindungan yang lebih kuat bagi semua orang yang mengandalkan kami dan membantu membangun ekosistem Web3 yang lebih aman.
Mengapa Persetujuan Tak Terbatas Menjadi Norma
Ketika Anda menggunakan aplikasi terdesentralisasi (dApp), aplikasi tersebut tidak dapat memindahkan token Anda kecuali Anda memberikan izin melalui transaksi persetujuan token. Persetujuan memungkinkan kontrak pintar membelanjakan token Anda atas nama Anda. Kebanyakan dApp meminta persetujuan tak terbatas sehingga Anda tidak perlu menyetujui setiap kali. Setelah diberikan, persetujuan ini tetap aktif di blockchain sampai Anda mencabutnya.
Kenyamanan ini datang dengan biaya: persetujuan token bersifat diam-diam, permanen, dan berisiko secara default. Pengguna memberikan akses tak terbatas kepada dApp tanpa menyadarinya. Dompet jarang menampilkan atau menjelaskan izin ini. Penyerang mengeksploitasinya—sering kali lama setelah persetujuan diberikan.
Bagaimana Risiko Persetujuan Bertambah Seiring Waktu
Ancaman dunia nyata sering mengikuti pola ini. Aktor jahat mungkin menipu Anda untuk memberikan persetujuan tak terbatas pada kontrak berbahaya. Anda mungkin tidak melihat masalah jika dompet Anda kosong saat itu. Kemudian, ketika Anda menyetor dana, kontrak tersebut langsung menguras dana tersebut. Atau, kontrak yang sebelumnya dipercaya menjadi disusupi, mengubah izin yang aman menjadi kerentanan berbahaya.
Yang lebih mengkhawatirkan adalah bahwa di sebagian besar dompet saat ini, tidak mudah untuk melihat atau mengelola persetujuan token. Pengguna rata-rata akan kesulitan mencari tahu kontrak mana yang memiliki akses ke aset mereka, apalagi menilai mana yang berisiko tinggi.
Peluang: Alat Native, Dibangun dengan Cara yang Tepat
Kebanyakan dompet tidak memiliki antarmuka native yang ramah pengguna untuk meninjau dan mengelola persetujuan token. Beberapa mengandalkan alat pihak ketiga atau menyembunyikan izin jauh di dalam pengaturan—jika ada. Akibatnya, pengguna sering tidak menyadari kontrak mana yang memiliki akses berkelanjutan.
Di Trust Wallet, kami mengenali kesenjangan ini—dan kami bekerja untuk menutupnya. Itulah mengapa manajemen persetujuan token ada dalam roadmap kami untuk Q4 tahun ini: dibangun untuk skala, dirancang dengan hati-hati, dan dirilis dengan presisi keamanan yang utama. Visi kami adalah dasbor cerdas yang berpusat pada pengguna yang menyederhanakan izin blockchain yang kompleks menjadi wawasan yang jelas dan dapat ditindaklanjuti.
Bagaimana EIP-7702 Membantu Mengurangi Risiko Persetujuan
Mengurangi jumlah persetujuan yang perlu dilakukan pengguna bisa sama pentingnya dengan mengelolanya dengan baik. EIP-7702 dirancang untuk membantu hal ini dengan memungkinkan dompet mensimulasikan dan menyetujui terlebih dahulu semua tindakan yang diperlukan dalam satu sesi aman. Anda menandatangani sekali, dan relayer menangani baik persetujuan maupun transaksi yang dimaksud di latar belakang.
Dengan 7702:
- Dompet mensimulasikan semua persetujuan dan transaksi yang diperlukan.
- Pengguna menandatangani satu maksud sesi.
- Baik persetujuan maupun tindakan dieksekusi bersama.
- Lebih sedikit pop-up "setujui", lebih sedikit persetujuan tak terbatas yang tertinggal.
Singkatnya, 7702 menyederhanakan UX sambil mengurangi kebutuhan akan izin permanen yang berisiko.
Memikirkan Ulang Kebersihan Persetujuan sebagai UX Sehari-hari
Menjaga persetujuan token tetap terkendali seharusnya terasa alami seperti pemeriksaan rutin lainnya yang dilakukan orang untuk tetap aman online. Proses ini bekerja paling baik ketika terintegrasi ke dalam penggunaan dompet normal, daripada dibiarkan sebagai tugas terpisah yang harus diingat pengguna.
Trust Wallet sedang membangun fitur untuk memudahkan pemeliharaan ini: pengingat yang tidak mengganggu untuk meninjau persetujuan aktif, petunjuk visual untuk kontrak yang mungkin berisiko atau usang, opsi untuk secara otomatis mengakhiri akses setelah tidak aktif, dan dasbor yang dengan jelas mencantumkan setiap izin aktif di satu tempat. Ketika perlindungan ini menjadi bagian dari alur reguler, pengguna dapat tetap terlindungi tanpa usaha tambahan.
Dompet sebagai Pelindung, Bukan Hanya Antarmuka
Persetujuan token adalah satu bagian dari pertanyaan yang lebih besar: bagaimana dompet dapat melakukan lebih banyak untuk melindungi pengguna?
Di Trust Wallet, keamanan tertanam dalam segala hal yang kami bangun. Pemindai Keamanan kami secara proaktif mendeteksi penipuan dan kontrak berbahaya yang diketahui, memblokir persetujuan berbahaya dan koneksi dApp sebelum terjadi. Sejak 2023, kami telah memblokir lebih dari $458 juta agar tidak mencapai kontrak berbahaya dan membantu memulihkan lebih dari $2 juta dana yang dicuri.
Kami adalah dompet self-custody utama pertama yang mencapai sertifikasi ISO/IEC 27001 dan 27701, memenuhi standar keamanan dan privasi yang diakui secara internasional.
Prinsip yang sama akan memandu alat persetujuan token kami: perlindungan yang built-in, bukan ditambahkan kemudian.
Melihat ke Depan: Membangun untuk 200 Juta Berikutnya
Tanggung jawab kami melampaui mempertahankan apa yang telah kami bangun — ini tentang mempersiapkan gelombang pengguna Web3 berikutnya dan tantangan yang akan mereka hadapi. Itu berarti terus meluncurkan fitur yang menghilangkan gesekan dan memperkuat keamanan, seperti default yang lebih baik dan otomatisasi yang lebih cerdas, login biometrik di Ekstensi kami, kesederhanaan lintas rantai dengan FlexGas sehingga gas dapat dibayar dalam token yang sudah dimiliki pengguna, dll.
Dengan semua yang telah kami bahas, tidak perlu dikatakan bahwa salah satu perkembangan terpenting di cakrawala adalah manajemen persetujuan token native kami. Ini akan memberikan setiap pengguna pandangan yang jelas tentang kontrak mana yang dapat mengakses token mereka, menyoroti potensi risiko, dan membuat pencabutan atau penyesuaian izin menjadi cepat dan sederhana. Ketika dipasangkan dengan kemajuan keamanan dan kegunaan kami yang lain, ini akan membantu memastikan bahwa jutaan orang lagi dapat menjelajahi Web3 dengan kepercayaan diri yang jauh lebih besar.
Pendekatan ini masuk ke pandangan kami bahwa dompet bukan hanya alat, mereka pada dasarnya adalah pendamping Web3. Mereka harus mengabstraksi kompleksitas, menampilkan risiko, dan memungkinkan peluang tanpa mengorbankan keamanan pengguna.
Pemikiran Penutup
Persetujuan token seharusnya tidak tak terlihat, permanen, atau menjadi alasan pengguna kehilangan dana. Dengan alat yang lebih cerdas, default yang lebih aman, dan perlindungan bawaan, kita dapat membuat risiko ini menjadi masa lalu. Di Trust Wallet, kami membangun untuk pengguna saat ini dan 200 juta berikutnya—karena dengan skala itu datang tanggung jawab untuk memimpin.
Tetap ikuti. Pengalaman dompet yang lebih aman dan lebih cerdas sedang dalam perjalanan.
Postingan Bahaya Tersembunyi di Dompet Anda: Penjelasan Persetujuan Token pertama kali muncul di BeInCrypto.
Sumber: https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
