本页讲解如何安全使用去中心化应用,识别钓鱼站点、审查授权并防范恶意智能合约签名。
学习安全使用链上应用
大多数数字资产被盗事件,并非来自硬件钱包漏洞
而是来自恶意链上应用与错误授权
正确理解 dApp 风险,是保护资产的重要一步
什么是链上应用(dApp)
dApp 是运行在区块链上的应用,钱包负责给智能合约授权——真正决定资产去向的是合约本身,所以「授权给谁」比「用什么钱包」更关键。
链上应用(Decentralized Applications)
是运行在区块链上的应用程序,用户通过钱包连接这些应用,并授权合约进行操作。
钱包不会直接控制资产,智能合约可以
去中心化交易所(DEX)
NFT 市场
DeFi 借贷
GameFi
使用 dApp 时面临哪些主要风险?
dApp 用户面临四类常见攻击:恶意合约伪装诱导授权、无限授权一次签字让合约随时转走资产、钓鱼网站冒充正版 dApp、签名欺骗让你在不知情下签下转账消息。
恶意合约
攻击者部署恶意合约,诱导用户授权资产
无限授权
用户允许合约无限制转移资产
钓鱼网站
伪装成知名项目的网站。
签名欺骗
诱导用户签署恶意消息
理解 Token 授权
在 DeFi 中,用户通常需要授权合约使用代币
有限授权
用户允许合约无限制转移资产
无限授权
允许合约随时转移全部资产
无限授权是常见被盗原因
如何安全使用链上应用(dApp)?
链上安全靠五件事:只连接可信网站、避免无限授权、用硬件钱包确认每一笔交易、忽略陌生空投、定期清理已授权合约。
在 DeFi 中,用户通常需要授权合约使用代币
只连接可信网站
避免无限授权
使用硬件钱包确认交易
警惕陌生空投
定期检查授权链上应用的主要风险
合约地址
核验合约来源与可信度,防止接入恶意合约
交易内容
明确交易行为与调用函数,避免误操作或欺骗签名
授权金额
谨慎设置授权额度,避免给予无限访问权限
是否涉及Token 转移
识别是否触发资产转出,防范资金被盗风险
管理和撤销授权
用户可以通过授权管理工具查看已授权的合约
查看授权列表
撤销授权
限制授权额度
