Để swap các token hay cung cấp tính thanh khoản hoặc tham gia vào staking lấy lãi người dùng sẽ phải cho phép các hợp đồng thông minh có quyền truy cập vào ví của mình. Thông thường các ứng dụng như MetaMask sẽ được hỏi yêu cầu cấp quyền cho các dịch vụ, tuy nhiên nếu bạn truy cập vào các ứng dụng lừa đảo hay website giả mạo rất có thể sẽ bị mất tài sản nếu cấp toàn quyền. Do đó thường xuyên kiểm tra và rà soát ứng dụng được cấp quyền rất quan trọng.
Yêu cầu quyền
Thông thường các ứng dụng sẽ yêu cầu quyền nếu bạn sử dụng những tiện ích như swap token, staking hay lending v.v… Mỗi ứng dụng sẽ yêu cầu những quyền khác nhau.
Với ảnh trên nếu giao dịch xác nhận, hợp đồng thông minh sẽ có quyền sử dụng số token Cake-LP có trong ví cho một mục đích được xác định trước. Với những giao dịch thông thường như swap, người dùng sử dụng các nền tảng như zapper.fi để swap token của mình sang các loại tài sản khác như các stablecoin USDT, USDC hay các token như ETH và BTCB v.v…Ngay sau đó Zapper sẽ yêu cầu quyền chi tiêu số tài sản tương ứng để chuyển đổi token theo số lượng bạn định trước, điều này rất nguy hiểm nếu nền tảng Zapper bị hack hay đơn giản ví bạn có nhiều tài sản có giá trị.
Thu hồi quyền
Bản thân MetaMask cực an toàn, ứng dụng này chạy độc lập và không có máy chủ hay server trung tâm, hầu hết các dữ liệu đều không được lưu trữ cục bộ nên việc bị hack rất khó. Phần lớn các vụ tấn công liên quan tới Metamask xảy ra ro các lỗ hổng từ những ứng dụng liên tới tới ví người dùng. Khi tương tác ví với các nền tảng như Pancakeswap hay Uniswap v.v.. ví của người dùng hoàn toàn có thể bị tấn công qua những backdoor, đặc biệt với những nền tảng DeFi mới mẻ và chưa được kiểm chứng bảo mật. Khi một ứng dụng được cấp toàn bộ quyền thì có thể sử dụng hầu như tất cả các token có trong ví cho một mục đích đặt trước, tuy nhiên đối với những hacker thì đây là một mỏ vàng khi họ chẳng cần passphrase mà vẫn có thể sử dụng toàn bộ các lệnh gửi nhận, swap, chuyển đổi đơn giản.
Ngày nay tin tặc trong thế giới crypto hoạt động mạnh do tiềm năng lớn khi tập trung mạnh vào các ứng dụng DeFi kém bảo mật hoặc cả một nền tảng DeFi, gần đây nhất có vụ tấn công tới nền tảng Axie Infinity đã lấy đi số tiền hơn 600 triệu đô. Điều này rất nguy hiểm nếu bạn không kiểm soát được ví của mình.
Cách thu hồi quyền ứng dụng Metamask
Metamask gần như hỗ trợ nhiều nền tảng blockchain do đó việc thu hồi cũng có một chút khác biệt trên mỗi nền tảng. Trong bài viết này mình sẽ hướng dẫn xóa quyền trên Ethereum và BNB Chain, các nền tảng khác sẽ có những đường dẫn truy cập phía cuối bài viết.
Hướng dẫn xóa quyền Metamask trên BNB Chain
Đối với nền tảng BNB Chain (trước đây là Binance Smart Chain) thì rất dễ dàng, bạn chỉ cần truy cập vào địa chỉ sau và điền địa chỉ ví của mình vào.
Tiếp theo bạn sẽ cần connect Web 3 bằng Metamask, lưu ý hãy chuyển sang BNB Chain nếu Metamask của bạn dùng cho nhiều nền tảng. Sau khi kết nối bạn sẽ nahans Revoke quyền, sẽ có giao dịch được đẩy lên Metamask và vận cần có phí để mạng blockchain BNB Chain xác nhận hành động.
Hướng dẫn xóa quyền Metamask trên Ethereum
Đối với Ethereum bạn sẽ cần một nền tảng khác có tên Zapper.fi, đây là một nền tảng của Debank.com, nền tảng này sẽ giúp bạn hóa quyền ứng dụng trên mạng blockchain Ethereum. Truy cập vào đường dẫn và chuyển tới phần Allowances, nếu ví của bạn có các ứng dụng được cấp quyền sẽ hiển thị ở đây.
Như ảnh trên ví của mình không hiển thị do mình chưa cấp quyền cho bất kỳ ứng dụng nào. Nếu có bạn cũng nhấn Revoke và thao tác sẽ tương tự như cách làm với BNB Chain.
Các công cụ khác
Ngoài các công cụ Bscscan và Zapper thì có rất nhiều các nền tảng hỗ trợ xóa quyền Metamask:
- Unrekt – hỗ trợ ETH, BSC, HECO và Polygon trên web và thiết bị di động.
- BSCscan – hỗ trợ BSC
- Beefy – hỗ trợ BSC
- Rabby.io – hỗ trợ ETH, BSC, xDai, Fantom, Polygon, OKEx
- Hyperjump UnRekt – hỗ trợ BSC và Fantom
- Polygonscan – hỗ trợ Polygon
Kết luận
Thu hồi quyền sử dụng hợp đồng thông minh là một bước quan trọng để đảm bảo an toàn cho tài sản trong ví của bạn. Bằng cách sử dụng các công cụ đơn giản và thân thiện với người dùng như Unrekt hay Rabby bạn sẽ chỉ mất một phút để thu hồi bất kỳ quyền nào.
Tham khảo: Rugdoc