ON-CHAIN · BÀI 7/10 · 2 PHÚT ĐỌC
Rủi ro approve smart contract và cách revoke quyền ví
Định nghĩa
Trên các mạng như Ethereum, để một ứng dụng (DEX, dApp) sử dụng token trong ví bạn, bạn phải ký một giao dịch approve — cấp cho địa chỉ hợp đồng quyền chi tiêu token đó. Nhiều dApp mặc định xin hạn mức không giới hạn cho tiện, nghĩa là hợp đồng có thể rút token của bạn bất cứ lúc nào về sau, không cần bạn ký lại.
Vì sao đây là rủi ro
- Nếu hợp đồng đó độc hại (drainer giả dạng airdrop/mint), nó dùng quyền vừa được cấp để rút sạch.
- Nếu hợp đồng hợp lệ nhưng bị hack sau này, quyền vô hạn bạn từng cấp trở thành lỗ hổng.
- Rủi ro không đến ngay lúc ký — nó "ngủ" trong ví cho tới khi bị khai thác.
Cách phòng và thu hồi
- Đọc kỹ pop-up ký. Xem bạn đang approve token gì, cho địa chỉ nào, hạn mức bao nhiêu.
- Duyệt hạn mức vừa đủ thay vì vô hạn nếu ví/dApp cho phép chỉnh.
- Revoke định kỳ. Dùng công cụ kiểm tra quyền (token approval checker) để xem ví đang cấp quyền cho những hợp đồng nào và thu hồi (revoke) cái không còn dùng. Revoke là một giao dịch tốn phí gas nhưng đáng.
- Tách ví. Dùng một ví "nóng" riêng, ít tiền, để tương tác dApp lạ; giữ tài sản chính ở ví khác.
Cờ đỏ khi ký giao dịch
- Trang web lạ yêu cầu approve ngay khi vừa "kết nối ví".
- Yêu cầu ký một giao dịch mà ví cảnh báo là rủi ro cao hoặc không đọc được nội dung.
- "Airdrop/claim" đòi approve token bạn không hề định giao dịch.
Nên làm gì
Xem việc kết nối ví và ký approve như trao chìa khoá — chỉ trao khi thật hiểu mình đang trao gì. Kết hợp với cảnh giác airdrop giả & drainer và thói quen tách ví.
Nội dung chỉ mang tính thông tin và giáo dục, không phải lời khuyên đầu tư. Bạn chịu trách nhiệm cuối cùng cho việc bảo mật tài sản của mình.
Câu hỏi thường gặp
- Chỉ "kết nối ví" (connect) thôi có mất tiền không?
- Bản thân việc kết nối chỉ cho phép trang web xem địa chỉ và số dư công khai, chưa lấy được tiền. Rủi ro xuất hiện khi bạn KÝ một giao dịch (approve/transfer). Hãy cẩn trọng ở bước ký, không phải bước kết nối.
- Revoke quyền có lấy lại token đã mất không?
- Không. Revoke chỉ chặn việc lạm dụng trong tương lai. Token đã bị rút thì không thu hồi được, nên revoke là biện pháp phòng ngừa cần làm định kỳ, trước khi có sự cố.
ĐỌC TIẾP TRONG CHỦ ĐỀ
Chọn sàn phí thấp để thực hành
Biểu phí taker futures tier tiêu chuẩn — số liệu ngay trên nút.
Link giới thiệu — chúng tôi có thể nhận hoa hồng, bạn không mất thêm phí. Không phải lời khuyên đầu tư.
Nội dung trên website chỉ mang tính thông tin, không phải lời khuyên đầu tư. Giao dịch crypto có rủi ro mất vốn rất cao.